- 건강과 사회
- 2015/04 제3호
반복되는 의료정보 유출 사고, 정부가 부추긴다
의료정보 상업화·원격의료 확대가 불러올 위험
의학의 아버지인 히포크라테스는 환자의 비밀보호를 가장 중요한 의료인의 덕목 중 하나로 뽑았다. 질병과 통증의 원인을 알고자 의료인을 찾아온 환자는 숨기고 싶은 과거를 말해야 할 때도 있고, 은밀한 신체 부위를 보여주기도 한다. 의료인은 환자의 건강과 생명을 지키기 위해, 환자의 이익을 위해서만 그 정보를 사용해야 한다.
히포크라테스가 지금 현실을 본다면 개탄을 금치 못할 것이다. 의료정보가 해킹되어 유출되는 사고가 빈번히 발생하고 있기 때문이다. 2015년 1월, 미국의 2대 건강보험업체인 앤섬은 8000만 명에 달하는 자사 개인고객정보를 해킹당했다. 이름과 생년월일, 사회보장번호, 집 주소, 이메일 주소, 소득 관련 정보 등이 유출되었다. 한국에서도 2013년 약학정보원이 약국 청구프로그램을 통해 환자의 개인 질병정보를 무단으로 수집하였다. 7억 4000만 건에 달하는 처방약 정보를 헬스케어 컨설팅 업체에 판매한 것이다. 작년에는 전자처방전 사업을 하는 SK텔레콤이 약국으로 전송된 처방전 정보를 회사 서버에 무단 전송·보관했다는 의혹이 제기되어 압수수색을 받았다. 뿐만 아니라 올해 1월 국내 의료프로그램 업체 지누스는 진료비 청구프로그램 서버에 담긴 진료기록 7억여 건을 헬스케어 컨설팅 업체에 판매해 검찰 조사를 받고 있다. 지난해 크게 논란이 되었던 카드사 정보 유출처럼 사회 전반에서 개인정보 유출 사건이 빈번하게 일어나고 있지만 특히 의료정보의 유출이 가장 많으며 증가 속도도 가파르다. 누가 나의 진료기록을 거래하는 것일까?
의료 정보의 전산화·상업화 과정
2000년대 이후 IT 기술의 발달로 사회 각 분야가 급속히 전산화되면서 의료계에도 전산 시스템이 적용된다. 2003년 전자의무기록(Electronic Medical Record, EMR)의 법적 효력이 인정되면서 전산화된 의료기록들이 건강보험청구의 근거자료로 활용되기 시작했다. 의료정보의 전산화로 현재는 다량의 개인정보가 디지털 정보로 수집·보관되어 건강보험공단에 전송된다. 환자 개인정보의 대량노출 가능성이 높아지고 있는 것이다. 더 큰 불안은 의료정보가 이윤창출의 수단이 될 수 있다는 것이다. 미국의 경우 이름과 주소, 사회보장번호, 의료보험 정보 등은 바로 환금(換金) 가능한 데이터다. 이는 희소성과 활용성이 높아 건당 최소 50~1000달러까지 거래된다고 한다. 의료 정보는 카드사 정보보다 약 50배 이상의 가치를 갖는다고 알려져 있다. 국내 사정도 다르지 않을 것이라는 게 전문가들의 의견이다.
누가 의료정보를 원하는가
민간의료 보험사, 제약회사와 같이 의료와 관련된 기업들은 개인 의료정보에 관심이 높다. 미국의 민간의료 보험사들은 획득한 개인 의료정보를 보험가입 심사와 보험금 지급 거절 등에 활용하고 있다. 의료 이용이 많을 것으로 예상되면 보험가입을 받지 않거나, 과거 병력을 이유로 보험금 지급을 거절하는 사례가 늘고 있다. 보험의 혜택이 절실한 사람들이 보험 가입 및 활용으로부터 배제되는 반인권적·차별적 행태가 발생하는 것이다. 생명보험 가입에서 배제 되는 경증 정신질환자의 경우가 대표적인 사례이다. 보험사들은 유출된 의료정보를 이용하여 차별을 더욱 구조화시키고 있다.
국내의 사정도 다르지 않다. 정부는 2005년부터 민간의료 보험사의 경영효율화나 보험사기 방지의 이유로 국민건강보험에서 수집한 개인 의료정보를 민간의료 보험사에게 넘기려 해왔다. 2005년에는 김효석 의원이 금융감독위원장이 국민건강보험의 환자개인정보를 민영보험사의 경영효율화를 위해 청구할 수 있도록 하는 법안을 추진한 적이 있으며, 2008년 11월 금융위원회가 국민건강보험의 진료자료를 넘겨받게 하려는 시도가 있었다. 2009년 3월에는 공성진 의원 외 14명이 보험사기방지를 위한 질병정보 공유를 위한 보험업법 개정을 추진한 바 있다. 이 모든 것들은 다 좌절되었다.
제약회사 역시 의료정보의 주요 고객이다. 지난해 발생한 약학정보원 사건과 올해 의료프로그램 업체 지누스 사건의 공통점은 의료정보를 판매한 대상이 한국IMS헬스라는 헬스케어 컨설팅 업체라는 사실이다. 한국IMS헬스는 구매한 처방 정보를 가공하여 국내 제약사를 대상으로 의약 전문 리포트를 판매하고 있다. 처방 기록을 알 길이 없는 제약업체에게 한국IMS헬스의 리포트는 거금을 들여서라도 확보해야 하는 핵심 영업 자료다. 이러한 정보들은 제약회사의 병원 영업과 리베이트로 이어지는 경우가 적지 않다.
더욱이 의료민영화의 중심에 있는 영리자회사까지 이러한 움직임에 동참하고 있다. 지난해 서울대병원의 영리자회사인 헬스커넥트가 환자의 의료정보를 수집해 문제가 됐다. 헬스커넥트는 ‘개인의료기록을 활용한 플랫폼 및 서비스 사업’을 드러내놓고 추진하고 있으며, 서울대병원은 환자의 ‘전자의무기록 편집저작물을 사용할 수 있는 권리’를 헬스커넥트에 팔아 넘겼다. 헬스커넥트는 건강관리서비스인 헬스온을 통해 환자 개인정보를 수집해왔다.
합법적인 의료정보 거래?
현재 한국의 의료정보 보호관련 법제화는 미비한 수준이다. 2011년 제정된 개인정보보호법과 의료법과 검역법, 응급의료에 관한 법률, 보건의료기본법 등은 개별 법률에서 정보 관리에 관한 규제가 일부 존재하는 수준이다. 의료정보의 특수성을 반영할 수 있는 통합된 의료정보 보호 관련 법률이 필요한 상황이다. 그러나 정부는 의료정보 보호가 아닌 의료정보 활용을 위해, 관련 규제를 푸는 데 초점을 맞추고 있다. 정부가 2014년 8월 발표한 6차 투자활성화 대책에는 ‘건강정보 보호 및 활용 법률’이 포함되어 있다. 의료기관끼리 건강정보를 교류하고, 외부 기관이 합법적으로 이용할 수 있도록 길을 터주겠다는 내용이다. 또한 작년 12월 28일 ‘규제기요틴’ 과제에 포함된 ‘의료기관 진료기록 관리·보관의 편의성 제고’ 건에서도 의료정보의 외부 보관 및 공유를 허용하겠다는 내용이 포함되었다.
심장도 멈춘다? 원격의료 해킹의 위험
앞서 보았듯 정부는 개인 의료정보의 외부보관 및 공유를 허용하겠다는 의지가 강하다. 바로 이것이 원격의료 도입을 위해 필요한 수순이기 때문이다. 따라서 원격의료의 시행은 의료기관 이외의 곳에 민감한 개인질병정보가 집적·관리됨을 뜻한다. 통신망을 통해 교류될 경우 정보누출의 위험은 커질 수밖에 없는 데도 말이다. 또한 원격의료 장비 중개업자 등 다양한 제3자가 개입하게 되므로 그 확산 범위는 넓어질 수 있다.
실제로 원격의료 기기와 의료 관련 정보는 해킹에 매우 취약한 것으로 알려져 있다. 원격의료 추진을 위한 기업과 학계의 조직인 한국U-헬스협회의 정책전문위원조차도 우려를 표명했다. 정부가 기본적인 암호체계를 마련하지 않아 원격의료 영상이 손쉽게 해킹당할 수 있으며, 삼성전자도 이러한 문제를 감당할 수 있을 만큼 기술력이 높지 않다고 지적했을 정도다.
미국에서는 원격의료 관련 기기들의 보안 취약 사례가 속속들이 보고되고 있다. 2013년 7월 글로벌 보안 컨퍼런스 Black-hat에서는 무선통신 기능을 지원하는 심박기와 같은 삽입형 의료기구를 해킹해 고압 전류를 흘려보내는 실험이 시연되었고, 약물을 치사량까지 주입해 환자를 사망에 이르게 하는 가상실험도 시연되었다. 2012년 미국 회계감사원 조사 보고서에는 의료기기의 해킹 가능성에 대한 연구결과가 포함되었다.
최근 정부는 의료계와 시민사회의 반대를 무시하고 원격의료 시범사업을 강행하고 있다. 그러나 시범사업에서도 의료정보 유출의 위험성이 제기되고 있다. 의협에 따르면 정보보안 전문연구기관과 함께 시범사업 현장을 살펴본 결과, 상당수 원격의료시스템이 해킹에 무방비 상태로 드러나는 등 안전성 우려가 커졌다. 원격의료의 주요 수단인 PC는 악성코드·바이러스 감염 우려, 환자 정보의 취약한 보안성 등이 확인되었다.
우리에게 다가온 불안감과 위험을 낮추기 위해
보건의료를 산업 발전과 이윤 창출의 도구로만 보면 여러 가지 부작용들이 나타날 수밖에 없다. 기업과 정부의 이러한 관점으로 인해 개인 의료정보는 점차 상업화되고 있다. 이윤 창출을 목적으로 하는 민간보험사는 이윤 극대화를 위해 의료정보를 수집하고 있으며, 제약회사도 마케팅을 위해 의료정보를 수집하고 있다. 원격의료 업체들도 빠른 상용화를 위해 보안에는 신경 안 쓰고 상품화에만 몰두하고 있다. 개인 의료정보에는 프라이버시의 문제뿐만이 아니라 개인의 건강 문제까지 걸려있다. 따라서 지금 우리의 불안감과 위험을 낮추는 방법은 의료정보 보호 제도 개선·강화일 수밖에 없다. 더욱이 전 국민의 의료정보 유출 위험을 높이고, 보안에 취약성을 드러낸 원격의료 추진을 멈춰야 한다. ●