구글 검색을 통한 개인정보 노출 문제가 여전히 개선되지 않고 있다. 올해 5월 데일리시큐는 지난 2014년 10월 정기국회 국정감사에서 지적된 공공기관 개인정보 노출 문제가 얼마나 개선됐는지 재조사한 바 있다. 그때도 6개월이 지났지만 여전히 다수의 공공기관 개인정보가 그대로 구글에 노출되고 있어 기사화 한 바 있다.
 
이번에 다시 데일리시큐는 인터넷 보안전문가 허장녕 씨와 함께 구글에 노출되고 있는 개인정보 파일이 얼마나 되는지 조사를 실시했다. 역시 결과는 예상대로 대형병원을 비롯해 다수의 공공기관에서 엑셀파일 형태의 개인정보가 그대로 노출되고 있었다. 개인정보보호법을 위반하고 있는 것이다. 조치가 시급하다.
 
이번 조사를 통해 드러난 곳은 국내 대형병원으로 환자 개인정보와 진료기록 등이 고스란히 엑셀파일 형태로 누구나 다운로드 가능한 상태로 노출되고 있었다는 것이 확인됐다. 이중 주민등록번호까지 노출된 환자 정보는 무려 1,159명에 달한다. 진료와 관련 노출된 정보는 무려 7천300여 건에 달한다.

 
특히 대전지역 모 대형병원의 경우, 2005년부터 2011년까지 587명의 환자 개인정보가 담긴 엑셀파일이 그대로 노출되고 있었고 누구나 다운로드 가능한 상황이었다. 노출된 정보는 환자 이름, 차트넘버, 주민등록번호, 성별, 입원일자, 입원시 나이, 휴대폰 번호, 집전화 번호, 진료항목 등으로 확인됐다. 이런 정보를 활용하면 얼마든지 보이스피싱이나 2차적인 공격으로 인한 실제 피해가 발생할 수 있는 수준의 정보들이다.
 
더 큰 문제는 병원 자체의 문제라기 보다는 해당 정보를 관리하는 외주업체의 문제로 보인다. 특히 병원들은 자체적으로 진료정보를 관리하는 프로그램을 개발할 수 없는 상황이라 대부분 외주업체에서 개발하고 관리해 주는 프로그램으로 진료정보를 관리하고 있다. 이때 외주 업체가 이를 관리하지 못하면 이러한 문제가 발생할 수 있어 SW개발 외주업체 관리에 각별한 주의를 기울여야 한다.
 
특히 최근 보안전문가들은 단순 주민등록번호 보다는 여권정보나 의료정보가 사이버범죄자들 사이에서 더 큰 돈이 되고 있어 의료정보가 해커들의 공격 타깃이 되고 있다고 한다. 이런 가운데 구글 검색만으로 환자 정보가 무방비로 노출되고 있다는 것은 심각한 문제가 아닐 수 없다.

한편 S 병원 관계자는 "이번에 유출된 개인정보는 본원 뿐만 아니라 국내 여러 병원들에게 임상연구 솔루션을 제공하는 모 소프트웨어 회사에서 유출된 것으로 즉시 해당 업체 측에 유출된 개인정보에 대해 서버 상에 다운 조치 및 삭제를 요청했다. 현재 삭제가 완료된 상태"라며 "본원은 현재 개인정보보호를 위해 정부통신망 이용촉진 및 정보보호 등에 관한 법률, 개인정보 보호법 등 병원이 준수해야 할 관련 법령 상에 개인정보 규정을 준수하고 있으며, 이번과 같은 외부 업체를 통한 환자 정보의 노출이 발생하지 않도록 외부업체의 관리에도 각별한 노력을 기울여 나가겠다"고 데일리시큐에 병원 입장을 전해 왔다.(기사 보도 후 바로 조치가 돼 해당 병원명은 비공개로 수정) 

 
좀더 조사를 해보니 ‘복지통합’ 기관에서 관리하고 있는 환자정보가 담긴 엑셀파일 역시 무방비로 노출되고 있었다. 이 파일을 살펴보면, 환자이름, 나이, 보험종류, 병원방문일자, 병명, 맥박수, 호흡, 체온, 의식수준, 환자의뢰기관(경찰, 119, 지자체, 종교기관, 노숙자 행려보호소 등으로 구분), 음주여부, 이혼여부, 자녀유무, 학력 등이 기록된 파일이었다.
 
2010년 1월부터 2014년 5월까지 정리된 정보로 추정되며 총 노출된 인원수는 6천798명에 달한다. 이중 주민등록번호 전체가 노출된 환자정보는 508명으로 조사됐다. 나머지는 주민번호 앞자리까지 공개됐다. 하지만 개인정보 이외 자세한 진료기록과 사적인 부분까지 조사가 이루어진 정보가 포함돼 있어 다양한 형태로 악용될 소지가 있어 신속한 삭제조치가 필요한 사안이다. 이건 또한 해당 파일을 관리하는 외주 업체의 잘못으로 보여진다.
 
이외에도 소량의 정보지만 이름과 진료차트 넘버, 주민등록번호 등이 담긴 엑셀파일들이 구글에 노출되고 있는 것을 확인할 수 있었다.
 
올해 3월에는 국내 백신업체를 해킹해 모 대학병원까지 침투한 사이버공격이 최근 밝혀진 바 있으며 해외 글로벌 보안기업들도 악의적 해커들이 의료정보를 타깃으로 많은 공격을 실행하고 있다고 발표한 바 있다. 이런 가운데 병원 진료와 연결된 개인정보가 구글에 그대로 방치되고 있다는 것은 심각한 사안이다. 관계 기관의 철저한 조사와 신속한 삭제 조치가 필요하다. 더불어 다른 병원에서도 환자 개인정보 노출이 발생하지 않도록 외주업체 관리와 정보보호팀의 각별한 노력이 필요한 상황이다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com