MedicalTimes
  • 정책
  • 제도・법률

청구SW 환자정보 유출 위험 여전, 정부 수수방관

발행날짜: 2016-09-23 05:00:58

심평원 검사 강화 고시 1년째 보류…백 도어 공격 시 속수무책

|초점|구멍 뚫린 건강보험 청구SW

지난해 약학정보원과 지누스의 진료정보 불법 수집 사건 이 후 환자 개인정보에 대한 중요성이 커졌음에도 건강보험 청구 소프트웨어(SW)를 통한 개인정보 유출 위험이 여전한 것으로 드러났다.

특히 건강보험 청구SW 검사 시 개인정보 유출 가능성을 확인하기 위한 고시개정도 지연되고 있는 상황이다.

더불어민주당 정춘숙 의원(보건복지위)이 22일 건강보험심사평가원으로부터 제출받은 '연도별 청구SW 업체(상용)' 종별 현황'에 따르면, 청구SW를 자체개발해서 사용하는 상급종합병원 43곳을 제외한 모든 요양기관이 민간업체에서 개발한 청구SW를 사용하고 있는 것으로 나타났다.

구체적으로 상급종합병원을 제외하고 의원과 약국, 병원급 요양기관 8만6404곳이 민간업체 청구SW를 사용하고 있다.

행자부 의료기관 개인정보보호 위반 주요 사례 내용.
하지만 민간업체가 개발한 청구SW의 경우 환자 개인정보 유출 위험성이 여전한 상황이다.

실제로 지난해 7월 정부합동수사단은 청구SW를 통해 환자의 개인정보 및 진료처방 등 질병정보를 병원과 약국으로부터 불법 수집해 판매한 혐의로 지누스사(병원 보험청구 심사프로그램 회시), 약학정보원(약국 경영관리 청구 프로그램), IMS 헬스코리아(다국적 의료통계회사), SK텔레콤(이동통신사) 등 4곳 관계자 24명을 기소하기도 했다.

더구나 보건복지부는 청구SW를 통한 환자 개인정보 유출이 문제가 되자 이를 막기 위해 관련 고시를 개정을 진행했지만 고시를 시행하지도 못하고 있다.

복지부는 지난해 9월 개인정보 유출을 막기 위해 청구SW 검사 범위에 개인정보보호법 관련 보안 기능을 추가해 '요양급여비용 심사청구소프트웨어의 검사 등에 관한 기준' 고시 개정을 위한 행정예고를 했지만, 1년여가 지나서도 시행하지 않고 있다.

이에 따라 청구SW를 검사하는 심평원은 현재도 검사 시 개인정보 유출 가능성 여부를 제외한 6개 항목(▲데이터 송·수신 기능 ▲접수 및 심사결정, 진료비 지급 관련 부문 ▲보완·추가청구, 자료의 백업기능 ▲진료내역 등 로그(LOG) 관련 데이터베이스 시간 저장기능 ▲의약품 처방·조제 지원 소프트웨어 기능 ▲복지부가 정한 청구방법 관련 기능 및 데이터)만을 검사하고 있는 실정이다.

즉 대부분의 요양기관이 사용하는 민간업체의 청구SW의 경우 개인정보 유출 위험성이 여전하다는 것이다.

대한의사협회 손문호 정보통신 자문위원은 "약정원과 지누스 사태 이 후 청구SW 업체들은 환자 개인정보를 요양기관 자체적으로 보관할 수 있도록 하는 한편, 업체 자체적으로는 별도로 수집하지 않고 있다"고 설명했다.

그는 "즉 다른 방법으로 개인정보 유출을 막기 위한 차구책"이라며 "청구SW 개인정보 유출 사태가 발생할 경우 해당 민간업체들은 존폐가 걸린 문제로 최근 민간업체 자체적으로는 수집하지 않는 대신 요양기관에서만 이를 수집할 수 있도록 하는 시스템으로 변화하고 있다"고 전했다.

연도별 청구SW 업체(자체개발기관) 종별 현황(단위 : 요양기관 수, 2016. 9. 13 기준)
해커의 백 도어(Back Door)에 속수무책인 '청구SW'

여기에 현재로서는 청구SW 검사범위에 백 도어(Back Door) 가능성도 확인 할 수 없는 상황인 것으로 나타났다.

백 도어(Back Door)란 프로그래머들의 다른 PC에 대한 접근 편의를 위해 시스템 설계자가 고의적으로 만들어 놓은 것으로 최근에는 '해킹에 취약한 부분'을 일컫는 용어로 쓰이고 있다

즉 언제든지 해커들이 마음만 먹으면 청구SW를 해킹해 환자 개인정보가 유출될 수 있다는 것이다.

그러나 현재로서는 이러한 백 도어(Back Door) 가능성을 사전에 확인․검사할 수 제도적인 시스템이 전무한 상태다.

심평원 관계자는 "청구SW 검사범위에 백 도어(Back Door) 가능성 확인 여부는 포함돼 있지 않다"며 "현재로서는 기술적으로 백 도어(Back Door)를 확인할 도구가 없는 상황으로 해커들의 위험성에 노출돼 있다"고 말했다.

이어 "청구SW 버전 업데이트 등 변경이 필요한 경우에는 현재 검사를 실시하고 있으며, 검사항목의 적정여부를 검사해 적정하다고 판단되는 경우 승인번호를 부여하고 있다"며 "요양기관 의료정보 유출방지 대책의 일환으로 심평원에서 DUR을 통해 PC 보완프로그램을 올해 4월부터 제공하고 있다"고 덧붙였다.