#. 개원한 지 한 달도 안 된 A의원 원장은 컴퓨터가 너무 느려 답답함을 느끼고 있었다. 당시 A의원에 있던 컴퓨터에는 백신도 깔려있지 않던 상황. 정보통신업체에 의뢰해 모니터링을 해봤더니 의원에 설치된 컴퓨터 모두에 중국에서 해킹 공격이 들어와 비트코인을 만드는 바이러스가 깔려 있었다. 비트코인은 물리적인 형태가 없는 온라인 가상화폐를 말한다.
#. 광주의 B의원은 요즘 한창 유행하고 있는 랜섬웨어의 침입으로 장장 일주일간 업무가 마비됐다. 모든 진료 데이터가 암호화돼버린 것. 컴퓨터 점검부터 세팅을 모두 다시 하고, 방어벽까지 설치한 후에야 진료를 재개할 수 있었다.
진료실 컴퓨터로 인터넷 서핑도 하고 환자 진료기록도 입력하며, 거기다 진료기록을 백업도 하고 있지 않다면?
이는 '랜섬웨어'에 당하기 쉬운 환경임은 물론 개인정보보호법 위반에 해당한다.
메디칼타임즈는 컨설팅업체 드림이앤씨, 메디컬커리어연구소 등과 '환자 개인정보보호'를 주제로 25일 서울 성균관대에서 토크콘서트를 개최했다.
테크앤로 법률사무소 구태언 변호사는 "진료실 컴퓨터에 환자 진료기록 데이터가 다 있는데 백업을 안 하는 것은 가장 큰 문제"라며 "진료정보가 들어있는 컴퓨터에서 개인 취미 목적의 인터넷 서핑을 하는 것은 말이 안 된다"고 꼬집었다.
그러면서 "마치 아무나 와서 드나들어도 되는 동네 마을회관과 같은 상황"이라며 "개인정보가 암호화돼 있으면 해커가 복사해도 읽을 수 없는 상태가 되는데, 동네의원은 많은 기술적, 물리적 조치에 관한 개인정보보호법 관련 고시를 위반한 상태다"고 말했다.
구 변호사는 병·의원이 갖진 개인 정보가 훼손되는 것도 개인정보보호법 제71조 1항 위반에 해당한다고 했다.
그는 "개인 정보가 훼손되는 것도 처벌 사항"이라며 "고객에 서비스를 제공하고 있는데 개인 정보가 훼손되면 고객서비스가 중단되는 것을 말한다. 이것도 법 위반"이라고 선을 그었다.
그러면서 "해커가 병원 시스템에 침입해 진료 데이터를 모두 유출하면 해당 병원은 영업정지 3개월의 행정처분을 받을 수 있고, 민사나 형사소송으로 법정에 서게 될 수 있다"고 설명했다.
개인정보보호, 이것만큼은 꼭 지키자
그렇다면 환자 개인정보보호를 위해 최소한으로라도 지켜야 하는 것은 뭘까.
토크 콘서트에 참석한 패널들은 백신 설치, 암호화, 데이터 백업은 기본 중의 기본이라고 입을 모으며 업무용과 개인용 컴퓨터를 분리해야 한다고 강조했다.
한영회계법인 홍성권 이사는 "외부 침입을 방어하려면 워드나 엑셀 등 오피스 프로그램은 암호화를 적용해야 한다"며 "자주 바꾸기가 번거롭더라도 비밀번호는 특수문자를 섞어 8자리 이상으로 주기적으로 변경해야 한다. 이는 기본이다"고 강조했다.
그러면서 "개인정보보호를 위해 굳이 비용을 들여 컨설팅을 받지 않아도 된다"며 "정부가 발표한 개인정보보호 가이드라인을 보고 실현할 수 있는 목표를 만들어 선별적으로 하면 된다"고 귀띔했다.
백신은 무료 백신도 좋지만 비용을 투자하는 게 좋다는 조언도 나왔다.
광통신 부품 개발업체 우리로 기준호 부장은 "랜섬 웨어가 들어오는 경로를 보면 인터넷과 이메일을 통하는 게 99% 이상"이라며 "인터넷을 제대로 통제하면 랜섬웨어의 침입을 받을 일이 눈에 띄게 줄어드는 것"이라고 운을 뗐다.
그러면서 "무료 백신도 괜찮지만 가장 값싸고 기본적인 백신을 사는 게 더 좋을 것"이라며 "상용화된 백신은 업무와 관련된 사이트만 선정해 접속할 수 있도록 하는 시스템을 갖추고 있고, 유에스비 등도 차단할 수 있다"고 설명했다.
구태언 변호사도 "개인적인 용도의 인터넷은 태블릿pc나 스마트폰으로 하고 진료 컴퓨터는 특정 포트를 다 막고 사이트도 제한하면 악성코드 감염률이 굉장히 줄어들 것"이라고 공감했다.
대신 홍 이사는 "웹 사이트 접속을 통제하는 것은 내부 직원의 동의를 얻어야 한다"며 "누군가가 독단적으로 해버리면 처음에는 수긍하더라도 바로 회피하는 방안을 찾아낼 것"이라고 했다.
"프로그램 유지·보수 원격관리는 피하세요"
특히, 개인 정보 전문가들은 원격 업무의 위험성을 지적했다.
대표적인 게 보안 및 청구프로그램 업체 직원이 원격으로 의원에 컴퓨터에 접속해 프로그램 유지, 보수 관리를 해주는 것.
또 성형외과, 피부과 등 비급여 진료과목 의원의 경우 주로 운영하는 예약 시스템도 문제가 될 수 있다. 예약 담당자들이 외부에서도 휴대전화로 의원 서버에 접속해 환자 예약 관리를 할 수 있는 시스템이다.
홍성권 이사는 "프로그램 유지, 보수 직원이 원격으로 진료실 컴퓨터에 접속하는 것을 허용해서는 안 된다. 무조건 방문토록 해야 한다"며 "외부인이 접근해서 활용토록 하는 것은 마치 대문을 잠가놓고 창문을 열어놓는 것과 똑같다"고 말했다.
예약 시스템 외부 접속은 행정처분 대상이라는 지적도 나왔다.
구태언 변호사는 "외부에서 원격으로 접속하면 아이디, 패스워드에다가 공인인증서, 아이핀 등으로 추가 인증을 해야 하는데 그렇게까지 하지는 않을 것"이라며 "이는 법상 기술적 고시 위반이다"고 설명했다.
이어 "해커는 아이디, 패스워드만 가로채면 얼마든지 접속해 정보를 긁어갈 수 있게 된다. 수만 명이 진료기록이 한 번에 털릴 수 있다는 소리"라며 "행정처분 대상이 아니라 유출되면 민·형사 처분도 받을 수 있다. 유출이 문제가 아니라 악의적인 해커는 환자 정보를 지워버릴 수도 있다"고 덧붙였다.
기준호 팀장도 "휴대전화는 컴퓨터보다 해킹 노출 위험이 200~300배 이상 높은데 그걸로 서버에 들어가 예약 일정을 조정하는 것은 위험한 발상"이라고 지적했다.