제 54호 | 2015.03.13
반복되는 의료정보 유출 사고, 정부가 부추기나?
의료정보 상업화·원격의료 확대가 불러올 위험
누군가 나의 진료기록을 거래하고 있다
의학의 아버지인 히포크라테스는 환자의 비밀을 지키는 것을 가장 중요한 의료인의 덕목 중 하나로 뽑았다. 질병과 통증의 원인을 알기 위해 의료인을 찾아온 환자는 숨기고 싶은 과거를 말해야 할 때도 있고, 은밀한 신체 부위를 보여주기도 한다. 의료인은 환자의 건강과 생명을 지키기 위해, 환자의 이익을 위해서만 그 정보를 사용해야 한다.
히포크라테스가 지금 현실을 본다면 개탄을 금치 못할 것이다. 의료정보가 해킹되어 유출되는 사고가 빈번히 발생하고 있다. 2015년 1월, 미국의 2대 건강보험업체인 앤섬이 8000만 명에 달하는 자사 개인고객정보를 해킹 당했다. 이름과 생년월일, 사회보장번호, 집 주소, 이메일 주소, 소득 관련 정보 등이 유출되었다. 한국에서도 2013년 약학정보원이 약국 청구프로그램을 통해 환자의 개인 질병정보를 무단으로 수집하여 7억4천만 건에 달하는 처방약 정보를 헬스케어 컨설팅 전문업체에 판매한 사건이 발생했다. 2014년에는 전자처방전 사업을 하고 있는 SK텔레콤이 병원에서 약국으로 전송한 처방전 정보를 회사 서버로 무단 전송해 보관했다는 의혹이 제기되면서 압수수색을 받았다. 뿐만 아니라 올해 1월 국내 의료프로그램 업체 지누스가 진료비 청구프로그램 서버에 담긴 7억 건에 달하는 진료기록을 무단으로 복사해 빼돌리고 헬스케어 컨설팅 업체에 판매해 검찰 조사를 받고 있다. 지난해 크게 논란이 되었던 카드사 정보 유출 등 사회 전반에서 개인정보 유출 사건이 빈번하게 일어나고 있지만 특히 의료정보의 유출이 가장 많으며 증가 속도도 가파르다.1) 이런 현상의 원인은 무엇일까?
전산화와 상업화
우선 의료정보의 전산화를 들 수 있다. 과거 환자의 의료정보는 보통 종이로 된 진료차트에 작성이 되어 환자가 방문했던 병·의원에서만 보관을 하며 환자가 방문해야만 열람이 가능했다. 2000년대 이후 IT 기술의 발달로 사회 각 분야가 급속히 전산화되면서 의료계에도 전산화 흐름이 나타났다. 2003년 전자의무기록(Electronic Medical Record, EMR)의 법적 효력이 인정되면서 전산화된 의료기록들이 건강보험청구의 근거자료로 활용되기 시작했다. 최근에는 전자의무기록이 도입되지 않은 병·의원을 찾기 어려울 정도이다.2)결국 의료정보의 전산화로 다량의 개인정보가 디지털 정보로 수집, 보관되어 건강보험공단에 전송되는 등 대량으로 처리 가능해 지면서 환자 개인정보 대량노출의 가능성이 높아지고 있는 것이다.
또다른 중요한 이유는 의료정보가 상업화되어 이윤의 수단이 될 수 있다는 것이다. 미국의 경우 이름과 주소, 사회보장번호, 의료보험 정보 등은 바로 환금 가능한 데이터이며 사회보장번호나 의료보험 정보 등은 희소성과 활용성이 높아 건당 최소 50달러에서 1,000달러까지 거래된다고 하며 이는 신용카드 정보보다 50배 이상의 가치를 갖는다고 한다. 국내 사정도 다르지 않을 것이라는 게 전문가들의 의견이다.
의료정보를 노리는 기업들
민간의료보험사, 제약회사 등 의료와 관련된 모든 기업들이 개인 의료정보에 관심을 가지고 있다. 민간의료보험사가 환자의 개인 의료정보를 수집하려 혈안이 되어 있는 것은 주지의 사실이다. 2005년부터 민간의료보험사의 경영효율화나 보험사기 방지 등의 명분으로 국민건강보험에서 수집한 개인 의료정보를 민간의료보험에게 넘기려는 시도는 끊임없이 있어왔다.3) 정부가 나서서 민간의료보험을 활성화시키기 위해 의료정보를 팔아넘기려는 시도를 끊임없이 하고 있는 것이다.
민간의료보험사들은 획득한 개인 의료정보를 보험가입 심사와 보험금 지급 거절 등에 활용할 것이다. 의료 이용이 많이 할 것 같은 사람은 보험 가입단계에서부터 배제되고, 보험금 지급 사유가 발생하면 과거 병력을 이유로 보험금 지급을 거절할 것이다. 결국 보험의 혜택이 더욱 절실한 사람들이 보험 가입 및 활용으로부터 배제되는 반인권적이고 차별적인 행태가 발생할 것이다. 실제로 현재도 경증 정신질환자의 생명보험 가입 배제 등 차별 문제가 제기되고 있는 상황에서 보험회사들이 유출된 의료정보를 이용하게 되면 차별을 더욱 구조화시킬 수 있다.4)
제약회사 역시 의료정보의 주요 고객이다. 지난해 발생한 약학정보원 사건과 올해 의료프로그램 업체 지누스 사건의 공통점은 의료정보를 판매한 대상이 한국IMS헬스라는 헬스케어 컨설팅 업체라는 사실이다. 한국IMS헬스는 구매한 처방 정보를 가공하여 국내 제약사를 대상으로 의약 전문 리포트를 판매하고 있다. 처방 기록을 알 길이 없는 제약업체에 한국IMS헬스의 리포트는 거금을 들여서라도 확보해야 하는 핵심 영업 자료다. 이러한 정보들은 제약회사의 병원 영업과 리베이트로 이어지는 악순환의 고리로 이어지는 경우가 적지 않다.
의료민영화의 중심에 있는 영리자회사까지 이러한 움직임에 함께하고 있다. 지난해 서울대병원의 영리자회사인 헬스커넥트가 환자의 의료정보를 수집해 문제가 됐다. 헬스커넥트는 '개인의료기록을 활용한 플랫폼 및 서비스 사업'을 드러내놓고 추진하고 있으며, 서울대병원은 환자의 '전자의무기록 편집저작물을 사용할 수 있는 권리'를 헬스커넥트에 팔아 넘겼다. 헬스커넥트는 건강관리서비스인 헬스온을 통해 환자 개인정보를 수집해왔다.
거꾸로 가는 정부
이런 상황인데도 한국의 의료정보 보호 관련 법제화는 미비한 수준이다. 관련 법제로는 2011년 제정된 ‘개인정보보호법’이 있으며 의료법과 검역법, 응급의료에 관한 법률, 보건의료기본법 등 개별 법률에서 정보의 관리에 관한 규제가 일부 존재하는 수준이다.5) 의료정보의 특수성을 반영할 수 있는 통합된 의료정보 보호 관련 법률이 필요한 상황이다.
그러나 정부는 의료정보 보호 관련 제도 정비에 힘을 쏟는 것이 아니라 의료정보를 활용하기 위해 관련 규제를 푸는데 초점을 맞추고 있다. 정부가 2014년 8월 발표한 6차 투자활성화 대책에는 ‘건강정보 보호 및 활용 법률’이 포함되어 있는데, 건강정보의 보호보다 의료기관끼리 건강정보를 교류하고 개인 식별이 가능한 건강정보를 외부 기관이 합법적으로 이용할 수 있도록 길을 터놓는 조항들이 주된 내용이다. 또한 2014년 12월 28일 '규제기요틴' 과제에 포함된 '의료기관 진료기록 관리·보관의 편의성 제고' 건에서도 의료정보의 외부 보관 및 공유를 허용하겠다는 내용이 포함되었다.
원격의료의 위험 무시하나
정부는 원격의료 도입을 위해 개인 의료정보의 외부보관 및 공유를 허용하겠다고 여러 차례 밝힌 바 있다. 원격의료가 시행되고 의료기관 이외의 곳에 민감한 개인질병정보가 집적·관리되고 이것이 통신망을 통해 교류될 경우, 필연적으로 정보누출의 위험을 안게 될 수밖에 없다. 또한 원격의료 장비 중개업자 등 다양한 제3자가 개입하게 되므로 그 위험성은 당연히 커질 수밖에 없다.
실제로 원격의료 기기와 의료 관련 정보는 해킹에 매우 취약한 것으로 알려져 있다. 원격의료 추진을 위한 기업과 학계의 조직인 한국U-헬스협회의 정책전문위원조차도 정부가 원격의료 시범사업을 위한 기본적인 암호체계 하나 준비하지 않아 원격의료 영상이 손쉽게 해킹당할 수 있으며, 삼성전자도 이런 문제를 감당할 수 있을 만큼 기술력이 높지 않다고 지적했을 정도다.
또한 미국에서 원격의료 관련 기기들의 보안 취약 사례가 속속들이 보고되고 있다. 2013년 7월 글로벌 보안 컨퍼런스 ‘Black-hat’에서 원격진료 기계를 해킹하는 실험 시연되었으며 2012년 미국 회계감사원 조사 보고서에서도 의료기기의 해킹 가능성에 대한 연구결과가 포함되었다.6)
최근 정부는 의료계와 시민사회의 반대를 무시하고 원격의료 시범사업을 강행하고 있는데 시범사업에서도 의료정보 유출의 위험성이 제기되고 있다. 의협에 따르면 정보보안 전문연구기관과 함께 시범사업을 진행하고 있는 현장을 살펴본 결과, 상당수 원격의료시스템이 해킹에 무방비 상태인 것으로 드러나는 등 안전성 우려가 높았다. 원격의료의 주요 수단인 PC의 악성코드·바이러스 감염 우려와 환자 정보의 취약한 보안성 등이 확인되었다.
의료정보 보호 제도 개선에 집중하고 성급한 원격의료 추진을 중단해야
보건의료를 산업 발전과 이윤 창출의 도구로만 보면 여러 가지 부작용들이 나타날 수밖에 없다. 기업과 정부의 이러한 관점으로 인해 개인 의료정보는 점차 상업화되고 있다. 이윤 창출을 목적으로 하는 민간의료보험이 이윤 극대화를 위해 의료정보를 수집하고 있으며 제약회사도 마케팅을 위해 의료정보를 수집하고 있다. 원격의료 업체들도 빠른 상용화를 위해 보안에는 신경 안 쓰고 상품화에만 몰두하고 있다. 이런 상황에서 규제책을 마련해 개인 의료정보를 보호해야 할 정부가 도리어 기업의 편을 들어 규제를 완화하고 있다. 개인 의료정보는 프라이버시의 문제뿐만이 아니라 개인의 건강문제가 걸려있는 심각한 문제다. 정부는 의료정보 보호 제도 개선에 집중해야 할 것이며, 국민의 의료정보를 유출의 위험에 빠뜨릴 원격의료 추진을 당장 중단하여야 할 것이다.
각주
1) 실제로 미국 신분도용범죄정보센터(ITRC)에 따르면 지난해 783건의 개인정보 유출사고가 발생했으며, 이 중 42.5%가 의료·헬스케어 분야에서 일어났다. 일반 기업은 33.0%, 정부·군 11.7%, 교육 7.3%, 금융권 5.5%를 차지했다.
2) 우리나라는 2011년 기준 병원의 모든 장비를 통합해 필름을 없애는 의료영상저장전송시스템(PACS) 보급률 세계 1위, 환자의 차트를 전산화하는 전자의무기록(EMR)의 의원급 보급률 세계 1위이다.
3) 2005년에는 김효석의원이 금융감독위원장이 국민건강보험의 환자개인정보를 민영보험사의 경영효율화를 위해 청구할 수 있도록 하는 법안을 시도한 적이 있으며 2008년 11월 금융위원회가 국민건강보험의 진료자료를 넘겨받게 하려는 시도가 있었고 2009년 3월에는 공성진 의원 외 14명이 이번에 내세운 보험사기방지를 위한 질병정보 공유를 위한 보험업법 개정을 추진한 바 있다. 이 모든 것들은 국민들의 반대로 다 좌절되었다. 2011년에는 심평원과 금감원이 보험사기 명목의 업무협약을 체결한 바 있으며 2013년에는 국민건강보험공단과 금감원이 유사한 내용의 업무협약을 체결하였다.(보건의료단체연합, 2012).
4)"생명보험사 질병정보 모으는 건 인권침해" (의협신문 2014.1.23.)
5) 의료정책연구소, 개인의료정보의 관리 및 보호방안, 2013
6) 김진숙, 미국의 개인 의료정보와 원격의료기기 보안의 취약 사례, 의료정책연구소, 2015. 1. 30.