전 국민의 90%에 해당하는 4400만명의 환자 개인정보와 진료·처방정보가 불법으로 수집·유통된 사실이 드러나 충격을 주고 있다. 환자의 이름과 생년월일, 병명은 물론 처방된 약물의 이름과 처방량까지 유출됐다. 건수로는 47억건에 달하는 어마어마한 양이다.
개인정보범죄 정부합동수사반(반당 이정수 부장검사)은 개인정보보호법 위반 등의 혐의로 약학정보원 전·현직 원장과 임직원, 병원 보험청구 프로그램 업체 대표 등 24명을 불구속 입건 또는 약식 기소했다.
합수반에 따르면 약학정보원은 지난 2011년 1월부터 2014년 11월까지 전국 1만800여개 가맹 약국에 공급한 청구 프로그램을 활용, 환자의 부민번호·병명·투약정보 43억3593만건을 빼냈다.
병원 청구프로그램 관리업체인 지누스는 2008년 3월부터 2014년 12월까지 자체 개발 프로그램을 전국 병원 7500군데에 공급하면서 7억2000만건을 불법 수집했다. 대형병원이 아닌 중소병원들이 대상이었다.
약학정보원과 지누스는 이렇게 빼돌린 환자정보를 미국계 다국적 의료통계회사인 IMS헬스코리아 측에 팔아넘겼다. 이 대가로 약학정보원은 16억원, 지누스는 3억3000만원을 받아 챙겼다.
IMS헬스코리아는 확보한 정보를 재가공해 국내 제약업체에 다시 팔아넘긴 혐의를 받고 있다. 여기서 IMS 측이 얻은 이익은 70억원에 이른다.
국내 1위 통신업체인 SK텔레콤 역시 이번 사건에 연루됐다. SKT는 전자처방전 사업에 진출, 2만3060개 병원에서 7802만건을 불법 수집한 후 가맹점 약국에 건당 50원에 팔아 약 36억원의 불법 수익을 올렸다.
SKT는 전자처방전 프로그램에 정보유출 모듈을 심은 뒤 외부서버로 처방 내역을 실시간 전송한 것으로 전해진다. SKT는 환자정보 유출에 대한 검찰 수사가 한창이던 지난 3월 전자처방전 사업에서 발을 뺀 상태다.
“암호화됐다” 해명 불구 우려 그치지 않는 이유는
이 같은 사실이 밝혀지자 약학정보원을 비롯한 전산 업체들은 환자 개인정보가 모두 암호화돼 있어 유출 염려가 없다고 해명하고 있다. 약학정보원은 “행정자치부 권고에 따라 암호화 방식도 바꾸고 주민번호도 수집하지 않는 등 최선을 다했다”며 “억울한 측면이 많다”고 해명했다.
그러나 전문가들은 암호화 수준이 초보적이고, 이미 암호해독 프로그램까지 나와 있어 사실상 유출이 된 거나 마찬가지라고 입을 모은다. 특히 합수단 수사결과에 따르면 약학정보원 측은 암호해독 프로그램을 IMS에 함께 제공한 것으로 드러났다.
보건복지부는 이번 사건을 계기로 외주 전산업체에 대한 긴급 특별점검을 실시, 불법 수집된 환자정보의 파기여부를 확인하고, 건강보험 청구프로그램의 관리감독을 강화하겠다고 발표했다. 또 외주 전산업체 등록제를 도입하고 (가칭)건강정보보호법 제정을 추진하겠다고 밝혔다.
가장 큰 문제가 됐던 약학정보원의 ‘PM2000’은 사용 중단을 검토 중이다. 복지부 관계자는 “약국이 많이 쓰고 있다는 이유만으로 불법을 저지른 업체를 그냥 둘 수는 없다”며 “소명절차를 거쳐 합당한 이유를 내놓지 못하면 사용을 금지할 방침”이라고 전했다. 소명절차와 관련 법령에 따른 인증취소 절차 등을 거치면 앞으로 2개월 후부터는 사용이 금지될 것으로 전망된다.
일선 약국은 대혼란을 맞을 것으로 보인다. 이미 1만 곳이 넘는 약국이 사용 중인 데다, 프로그램이 무료 배포됐다는 점을 감안하면 새로운 프로그램을 도입·유지하는 데 상당한 비용과 시행착오가 예상되기 때문이다. 이미 사용 중인 청구 소프트웨어의 경우 가입비 10만원에 월 사용료 4만4000원을 지불해야 한다.
더 큰 문제는 유출된 환자정보의 2차 유출이다. 검찰은 이번에 유출된 환자정보가 의료 분야 외에 보이스피싱 등 다른 분야로 유출되진 않은 것으로 보고 있다.
그러나 이미 해외에 민감한 정보가 넘어간 만큼 다른 범죄에 사용될 가능성도 적지 않다는 우려다. 대한의사협회 강청희 부회장은 “진료정보가 제약사뿐만 아니라 2차 유출에 의해 일반 기업 혹은 개인해커에게 넘어갈 경우 더 큰 피해가 발생할 수 있다”고 우려했다.
환자단체·정치권 강력 비난…“징벌적 과징금 부과해야”
이같은 조치에도 불구하고 환자단체와 야당은 ‘소 잃고 외양간 고치는 격’이라며 강력 반발하고 있다. 연루 업체는 물론, 관계당국인 복지부를 상대로 대규모 소송도 불사하겠다는 입장이다.
한국환자단체연합은 “외주 전산업체의 영리목적 환자정보 유출 가능성은 오래 전부터 문제로 제기돼 왔다”며 “검찰에 기소된 업체 4곳을 일벌백계해 다른 외주 업체들에게 본보기로 삼아야 한다. 정부와 국회는 징벌적 과징금을 부과할 수 있도록 관련법을 제·개정하라”고 촉구했다.
새정치민주연합은 논평을 통해 “국민의 90%에 해당하는 4400만명의 개인 진료정보가 불법 수집되고 유통됐다는 사실은 충격적”이라며 “특히 비영리 재단법인인 약학정보원과 국내 1위 이동통신 업체인 SK텔레콤 등이 불법수집과 유통에 연루됐다는 것은 그냥 지나칠 일이 아니다”고 지적했다.
이어 “개인정보 유출에 대한 처벌을 강화해야 한다”며 “반복되는 개인정보 불법유출 사건을 근절하기 위해선 부당이득의 수십 배에 달하는 징벌적 과징금을 부과해야 한다”고 주장했다.
[인기기사]
·[Focus]바이오시밀러 시동 건 삼성, 2~3호는 언제? [2015/07/27]·환자단체 “질병·처방정보 유출 2차 피해” [2015/07/27]
·잘 나가는 의사 vs 못 나가는 의사, 연봉 차이는? [2015/07/27]
·글로벌 제약 합종연횡, 이번엔 '테바'-'앨러간' [2015/07/28]
·美 암전문의 118명 "항암제 너무 비싸" [2015/07/28]
김진구 기자 kim.jingu@joongang.co.kr <저작권자 ⓒ 중앙일보헬스미디어 무단전재 및 재배포금지>
※위 기사는 중앙일보헬스미디어의 제휴기사로 법적인 책임과 권한은 중앙일보헬스미디어에 있습니다.
