개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사2부장)은 15일 의사들의 컴퓨터에 ‘건강보험심사평가원 요양급여 사전심사시스템’ 프로그램을 설치해주고 각 병원이 관리한 환자 진료기록 등 개인정보 7억건을 빼돌린 혐의(개인정보보호법 위반)로 G사 대표 김모(47)씨를 구속했다고 밝혔다.
김씨는 심평원 요양급여 비용 청구를 쉽게 하는 프로그램을 병원들에 제공하면서 몰래 ‘모듈’까지 설치, 의사들이 기록하는 온갖 정보가 G사의 서버에 전송되도록 만든 혐의다. 김씨는 이 대규모 정보를 글로벌 제약시장 조사업체 I사에 수억원을 받고 팔아넘긴 것으로 조사됐다.
개인정보보호법에 따르면 건강에 관한 정보는 ‘민감정보’로 분류돼 정보 주체가 동의하지 않으면 처리할 수 없다. 법령상 개인정보를 취급할 수 없는 사기업인 G사는 환자나 의사 어느 쪽에서도 동의를 받지 않았던 것으로 드러났다. 전자처방전 등 의료용 소프트웨어를 개발하는 업체들이 통상 민감정보를 암호화해 취급·보관하지만, G사는 암호화도 하지 않은 것으로 확인됐다.
I사는 원할 때마다 G사의 서버에서 민감정보를 여과 없이 열람할 수 있었고, 필요하면 파일 형태로 내려 받을 수도 있었다. 검찰 관계자는 “의사들의 동의 없이 진료 차트가 그대로 빠져나간 격”이라고 설명했다. I사는 이렇게 모은 전국 환자 정보를 지역별·연령대별·성별 약품 소비 성향을 말해주는 빅데이터로 가공, 제약업체 대상 마케팅에 활용해온 것으로 조사됐다.
검찰 관계자는 “법적 다툼이 이뤄지는 중에도 민감정보 유출이 계속될 것이라는 우려에 구속영장을 청구한 것”이라고 설명했다. 같은 방식으로 병원들에 전자차트 프로그램을 제공한 뒤 모듈을 통해 민감정보를 빼내온 업체들도 검찰 수사선상에 올라 있다. 검찰 관계자는 "민감정보 유출을 막으려면 많은 병원이 전자차트 진료 방식 대신 종이를 사용해야 할 상황"이라고 설명했다.