카카오톡 암호화 논란은 약과였다. 의료계의 진료기록 관리는 부실하다 못해 형편없기까지 했다. 이미 대부분의 진료 정보가 소프트웨어에 의해 처리되고 전달되고 있었지만 암호화 등 민감 정보 관리 방식은 허술했다. 그 틈을 타 의료 소프트웨어 개발 업체들이 진료 정보를 빼돌리고 이를 판매하는 데 거리낌이 없었다. 검찰에 적발돼 구속까지 관련자들이 구속까지 됐지만 이러한 행태가 근절될 수 있을지는 미지수다.
#. 사건 1. 약학정보원 처방기록 유출
2013년 12월, 약학정보원은 7억4천만건에 달하는 처방약 정보를 IMS헬스에 판매하다 적발됐다. 검찰은 2014년 7월 약학정보원 관계자를 불구속 기소했다. 약학정보원은 약사들이 사용하는 ‘PM2000’이라는 약국경영관리 소프트웨어를 통해 처방 내역을 수집했고 이를 한국IMS헬스에 판매했다. 주민번호 등 일부 개인정보는 암호화됐지만 생년월일 등은 고스란히 전달된 의혹을 받고 있다.
#. 사건 2. 지누스 병원 진료기록 유출
2015년 1월, 병원 청구소프트웨어 개발업체 지누스가 환자나 병원장 동의 없이 7억건에 달하는 진료기록을 무단으로 빼돌려 한국IMS헬스에 판매하다 적발됐다. 검찰은 이 업체 대표를 구속했고 현재 추가 혐의점을 찾고 있는 중이다. 지누스는 청구소프트웨어 업데이트 과정에 파일을 수집할 수 있는 모듈을 몰래 숨겨 설치했다는 혐의를 받고 있다.
카톡 유출보다 위험한 의료계 진료기록 판매
최근 의료계에서 발생했던 처방기록 유출 사건은 2가지 공통점을 지닌다. 현장 의약사들 모르게 의료 소프트웨어 사업자가 개입해 정보 유출이 이뤄졌다는 점, 귀착지에 한국IMS헬스라는 글로벌 의료 컨설팅 기업이 존재한다는 사실이다.
이는 국내 제약생태계의 비즈니스 사슬과 관련이 깊다. 한국IMS헬스는 국내 제약사를 대상으로 고가의 의약 전문 리포트를 판매하고 있다. 익명을 요구한 전직 의료컨설턴트 이아무개 씨는 “한국IMS 헬스의 리포트는 제약사들이 비용을 지불해서 구매할 정도로 제약 영업에 필수적”이라고 말했다. 고급 정보가 담겨 있는데다 데이터가 구체적이어서 활용가치가 높다는 것이다.
한국IMS헬스는 병원과 약국 소프트웨어 개발 기업을 통해 처방 정보를 고가에 구매한다. 이 정보는 다시 국내 제약업계로 판매되고 병원을 대상으로 한 제약 영업에 활용된다. 처방 기록을 알 길이 없는 제약업체에 한국IMS헬스의 리포트는 거금을 들여서라도 확보해야 하는 핵심 영업 자료다.
결국 약품 처방 정보가 필요한 제약회사와 처방 정보를 손에 쥔 의료컨설팅 회사의 이해가 맞물리면서 의료 기록 유출이 빈발하게 발생하고 있다. 이는 다시 제약회사의 병원 영업과 리베이트로 이어지는 악순환의 고리로 이어지는 경우가 적지 않다.
진료기록 어떻게 유출될까
의료 소프트웨어 기업들이 환자들의 수많은 진료기록을 빼내갈 수 있었던 건 취약한 보안 시스템에서 기인한다. 소규모 의원급 기관이나 약국은 IT 전문 인력이 없어 외부 진료비 청구 소프트웨어에 주로 의존한다. 문제는 진료비 청구 소프트웨어를 업데이트 하면서 소프트웨어 개발업체가 수시로 병원이나 약국 PC를 접근한다는 사실이다. IT 기술에 둔감한 의사나 약사는 이를 감지해낼 수단을 갖고 있지 않다.
지누스도 이 점을 노렸다. 지누스는 유지보수 계약을 체결한 대학병원 의료정보시스템에 접근해 처방 정보가 담긴 파일을 통째로 수집했다.
일반적으로 병원들은 진료비 청구를 위해 건강보험심사평가원의 청구 포털 서비스에 SAM 파일 형태로 진료내역을 첨부한다. 이 때 SAM 파일은 암호화되지 않은 상태다. 세세한 진료 내역이 담겨 있는 SAM 파일만 몰래 빼내면 해당 병원의 거의 모든 진료 내역을 확인할 수 있다.
지누스는 유지보수 병원의 SAM 파일을 빼내올 수 있는 모듈을 몰래 설치하는 방식을 동원했다. 소프트웨어를 업데이트 파일에 이 모듈을 은밀하게 심은 것이다. 암호화되지 않는 구간의 빈틈을 악용한 사례다. 김한정 건강보험심사평가원 홍보팀 차장은 “이는 명백한 해킹 행위”라고 했다.
익명을 요구한 의료 소프트웨어 개발자는 “지누스의 경우 일부 대학병원의 의료 소프트웨어 유지관리보수 업체로 선정됐고 지누스는 이를 통해 해당 대학병원의 의료정보시스템에 접근할 권한을 획득했다”고 설명했다. 이 개발자는 “병원마다 암호화하는 방식이 워낙 달라서 심사평가원은 SAM파일 형태로 청구내역서를 접수 받는다”라며 “심사평가원 포털에 접수되기 직전 암호화되지 않은 파일을 외부로 유출한 것으로 알고 있다”고 말했다.
지누스 청구 소프트웨어 담당자는 <블로터>와 전화통화에서 유출 경위를 묻는 질문에 “알려 드릴 이유가 없다”며 설명을 거부했다. 이를 수사하고 있는 개인정보범죄 합동수사단 관계자도 “수사 중인 사안이라 수법을 알려줄 수 없다”고 말했다.
약학정보원의 정보 유출은 다소 차이가 있다. 한국IMS 헬스로 판매된 것은 동일하지만 주민번호 등 개인정보는 암호화된 방식으로 전달됐다. 약학정보원은 약사들이 설치한 'PM2000'이라는 소프트웨어를 통해 처방 내역을 수집한 뒤 이를 한국IMS헬스에 판매했다.
검찰은 PM2000 업데이트 과정에서 정보를 수집한 행위가 불법적이라는 입장인 반면, 약학정보원은 “약사의 동의를 구했다”고 반박하고 있다. 한국IMS 헬스에 구매한 정보의 환자의 생년월일이 기재돼있다는 점을 들어 복호화 여부도 현재 쟁점이 되고 있다.
여전히 취약한 진료기록 보안
의료정보는 메신저 대화내용보다 더 민감한 개인의 정보 영역에 속한다. 친구나 가족에게조차 들키고 싶지 않은 자신만의 질환 목록이 버젓이 빼돌려져 팔리고 있다면? 상상만 해도 끔찍한 일이다. 예를 들어 웨어러블 기기에서 생성된 정보가 병원으로 곧장 직행하게 될 경우 해당 병원의 소프트웨어를 개발한 업체는 나의 생체 정보를 훤히 들여다 볼 수 있다는 의미다.
이러한 불법적 관행이 반복되는 데는 의료계 특히 제약업계의 마케팅 방식과 관련이 깊다. 일반적으로 국내 제약업체는 IMS헬스와 같은 의료컨설팅 업체로부터 특정 의약품의 처방 내역 데이터를 구매해 영업 전략을 수립한다. 때문에 병원별 의약품 처방 내역 DB는 비즈니스 관점에서 높은 가치를 가질 수밖에 없다.
여기에 병원이나 약국의 허술한 진료정보 관리 시스템도 거들고 있다. 이미 누차례 지적된 문제지만 좀체 개선되지 않는 영역이다. 2014년 발표된 논문 ‘PC 기반 요양기관 진료정보 보호 방안에 관한 연구’는 이렇게 적고 있다.
“병원급 이상 의료기관들 역시 자체적으로 진료정보를 안전하게 관리하더라도 처방정보를 전달받는 전국 약 2만개 약국의 취약한 환경을 통해 외부로 유출될 위협이 여전히 존재한다. 진료비 청구소프트웨어 제공업체의 자유로운 접근이 가능한 현재의 구조에서는 여전히 정보유출 사고의 재발이 가능하다”
모바일 헬스케어 확산의 걸림돌
의료 산업의 이러한 정보 유출 사건은 웨어러블 헬스케어 성장을 더디게 만드는 요소다. 진료 기록 유출에 대한 불안감이 지속될 경우 웨어러블 기기에 대한 구매 의사도 위축될 가능성이 높다. 웨어러블 기기에서 원격진료 기관까지는 암호화돼 전달되더라도 이후 심사평가원으로 넘어가는 과정에서 진료정보가 새어나갈 가능성이 존재하기 때문이다.
건강보험심사평가원 홍보실 김한정 차장은 “지누스의 경우 청구프로그램을 인증 받을 때는 문제가 없었다”라며 “문제는 이후에 업데이트 하는 과정에서 빼내가는 모듈을 추가한 것인데, 그 뒤 문제에 대해선 우리도 권한이 없다”고 말했다.
김 차장은 “심사평가원에서는 암호화 API를 현재도 제공하고 있다”라며 “하지만 이를 반드시 적용해야 한다고 강제하기 힘든 상황”이라고 해명했다. 전송되는 모든 파일에 대한 암호화를 권장하고 있지만 이를 집행하기가 어려운 여건이라는 것이다.
카카오톡 감청 논란은 다음카카오가 종단간 암호화 기술을 적용하면서 일단락됐다. 하지만 병원의 진료정보 유출은 다양한 이해관계자가 얽혀 있어 해결되기가 쉽지 않아 보인다. 의료정보시스템 개발업체를 비롯해 병원, 약국, 의료컨설팅업체, 건강보험심사평가원까지 복잡하게 맞물려 있는 탓이다.
개인 진료정보는 카톡 메시지보다 더욱 엄격한 관리가 요구되는 정보에 속한다. 하지만 진료기록의 공백 없는 암호화 전송 문제는 사회적으로 공론화하지 못하는 경우가 많다. 의료 분야에 소프트웨어가 침투하는 속도는 빨라지고 있지만 의료계의 IT 기술에 대한 인식 전환은 여전히 느릿느릿하기만 하다.