줄줄 새는 개인 의료 정보…웨어러블 헬스 케어 성장 가로막는 주범
최근 병원 진료 정보 유출 사건이 또 터졌다. 1월 15일 검찰의 발표에 따르면 한 의료 소프트웨어 개발 업체가 빼돌린 진료 정보 기록은 무려 7억 건에 달한다. 주민번호를 비롯해 환자의 병력과 처방 기록이 세세하게 기록돼 있다. 이 정보는 유출을 넘어 글로벌 의료 컨설팅 업체에 판매까지 됐다. 소프트웨어 개발 업체 대표는 구속됐고 그저 그런 사건·사고로 마무리되는 분위기다.
최근 의료계에서 발생했던 진료 기록 유출 사건은 2가지 공통점을 지닌다. 현장 의·약사들 모르게 의료 소프트웨어 사업자가 몰래 빼돌렸다는 점, 귀착지에 글로벌 의료 컨설팅 기업이 존재한다는 점이다.
열쇠는 의료 소프트웨어 개발 업체가 쥐고 있다. 이들 기업들은 중소 병원이나 약국에 소프트웨어를 저가에 공급하는 대신 소프트웨어 업데이트를 틈타 진료 정보를 탈취한다. 업데이트 버전에 진료 기록을 복사하는 모듈을 심어 두는 방식이다. 노골적인 방식도 있다. 소프트웨어 유지·보수 명목으로 의사나 약사의 PC에 접근해 손쉽게 정보를 빼내오기도 한다. 사실상의 해킹 행위다.
정보기술(IT)에 대한 정보가 부족한 의사나 약사들이 이를 감지해 낼 리 없다. 로그 파일을 분석해 이상 행위를 탐지할 수도 없고 직접 코딩을 배워 심사평가원의 요구 사항을 충족시키기도 불가능하다. 작은 병원과 약국에 서버를 갖추고 보안 관련 인력을 채용할 수도 없는 노릇이다. 이 때문에 의료 소프트웨어 기업에 대한 의존도가 높을 수밖에 없다. 그야말로 속수무책이다.
7억 건 달하는 환자 정보 유출
이는 국내 제약 생태계의 비즈니스 사슬과 관련이 깊다. 약품 처방 정보가 필요한 제약회사와 처방 정보를 손에 쥔 의료 컨설팅 회사의 이해가 맞물리면서 의료 기록 유출이 빈발하게 된다. 의료 소프트웨어 개발 업체는 데이터를 빼돌려 컨설팅 업체에 판매하는 사업에 동참한다.
의료 정보는 메신저 대화 내용보다 더 민감한 개인의 정보 영역에 속한다. 친구나 가족에게조차 들키고 싶지 않은 자신만의 질환 목록이 버젓이 빼돌려져 팔리고 있다면? 상상만 해도 끔찍한 일이다.
의료 산업의 잇단 정보 유출 사건은 웨어러블 헬스 케어의 성장을 더디게 만드는 요소다. 진료 기록 유출에 대한 불안감이 지속된다면 웨어러블 기기에 대한 구매 의사도 위축될 가능성이 높다. 웨어러블 기기에서 원격진료 기관까지는 암호화돼 전달되더라도 이후 심사평가원으로 넘어가는 과정에서 진료 정보가 새어 나갈 가능성이 얼마든지 있다.
카카오톡 감청 논란은 다음카카오가 종단 간 암호화 기술을 적용하면서 일단락됐다. 그러나 병원의 진료 정보 유출은 다양한 이해관계인이 얽혀 있어 해결되기가 쉽지 않아 보인다. 의료 정보 시스템 개발 업체를 비롯해 병원, 약국, 의료 컨설팅 업체, 건강보험심사평가원까지 복잡하게 맞물려 있기 때문이다. 카카오톡보다 더 민감한 정보를 다루고 있지만 암호화나 보안을 대하는 방식은 심각할 정도로 허술하다.
개인 진료 정보는 카톡 메시지보다 더욱 엄격한 관리가 요구되는 정보에 속한다. 하지만 진료 기록의 공백 없는 암호화 전송 문제는 사회적으로 공론화하지 못하는 경우가 많다. 의료 분야에 소프트웨어가 침투하는 속도가 빨라지고 있지만 의료계의 IT에 대한 인식 전환은 여전히 느릿느릿하기만 하다.
이성규 블로터닷넷 매거진팀장