[단독] 의료기관평가인증원, 개인정보 1000여건 유출

조사위원 이름, 소속, 생년월일, 전화번호 등 포함… 구멍인가, 구글의 힘인가

기사승인 2018-02-24 01:00:00

공공기관에서의 개인정보 유출사건이 또 발생했다. 이번엔 의료기관평가인증원 조사위원들이 피해를 입었다.

의료기관평가인증원(원장 한원곤, 이하 의평원)은 지난 1월31일 기획재정부로부터 공공기관으로 지정된 재단법인으로 보건복지부로부터 의료기관의 시설 및 장비, 의료서비스 등을 평가해 의료질과 환자안전 수준을 높은 기관을 인증하는 사업을 위탁·운영하고 있다.

문제는 의평원의 핵심기능인 의료기관 인증평가를 수행하는 조사위원들의 개인 및 사회정보가 온라인상에 그대로 노출된 것. 확인된 바에 따르면 유출된 정보는 조사위원의 이름과 지역, 소속 기관명, 부서, 직책, 직종, 이메일, 연락처, 생년월일로 총 1029명분이다. 다행히 주민등록번호와 비밀번호는 암호화가 돼 유출되지 않은 것으로 파악됐다.

의평원은 개인정보 유출이 확인된 지난 14일 해당 자료의 다운로드 접속경로를 즉시 차단하고, 취약점 점검과 보완조치에 나섰다. 개인정보 유출시 이행지침에 따라 한국인터넷진흥원으로 유출사실도 신고했다.

개인정보보호법에 따라 홈페이지에 유출사실을 8일간 공지했다. 공지와는 별도로 단문문자서비스(SMS)를 활용해 유출사실과 금융사기, 악성코드 바이러스감염 등 유의사항을 개별적으로 전달했다. 2차 피해예방 및 손해배상 등 구제절차에 대한 안내와 상담도 제공했다.

의평원 관계자는 “최근 상담문의 전화도 크게 줄었다”면서 “현재까지 확인된 바로는 개인정보 유출에 따른 피해는 없었다. 2차 피해에 대한 우려도 크지 않은 상황”이라고 말했다. 이어 “법이나 지침 상 조치해야할 부분들은 모두 진행했다”고 부연했다.

행정안전부 개인정보안전과 관계자 또한 “의평원의 개인정보 유출사건에 대한 보고를 받았으며 보안점검 등 현장실사는 조사요원들의 일정상 3월 중에 진행될 예정”이라고 밝혔다. 아울러 이 관계자는 “유사한 사건들이 공공기관 등에서 종종 발생하고 있다”고 전했다.

이들에 따르면 일련의 개인정보 유출은 구글(Google)의 검색로봇이 과거 공개로 설정돼 색인(분류·저장)해 놓은 인터넷상 정보를 검색 시 끌어오는(크롤링, Crawling) 과정에서 비공개로 설정이 변경된 정보도 고스란히 노출되도록 만들어 발생하는 문제다.

실제 이 같은 구글의 검색방식으로 인해 비회원은 접근을 할 수 없도록 설정된 인터넷카페의 회원주소록 등이 인터넷 검색 중 그대로 드러나는 경우들이 종종 발생했다. 더구나 구글의 경우 국내 개인정보보호법의 적용을 받지 않아 관련 정보 삭제 및 차단이 쉽지 않은 상황이다.

이와 관련 의평원 관계자는 “구글을 통해 해당 정보가 검색되지 않도록 차단하고 저장된 색인 등을 삭제하도록 수차례 요청해 처리가 됐다”며 “기술적으로 좀 더 세밀하고 총체적으로 문제가 발생하지 않도록 컨설팅과 전반적인 점검을 하고 있다”고 설명했다.

하지만 일부에서는 우려를 표하기도 했다. 한 의료계 인사는 “조사위원들은 의평원의 의료기관에서 인증평가를 직접 수행하는 핵심인력들로 의사나 간호사, 의무기록사 등 전문가들”이라며 “인증평가를 수행하는 기관에서의 정보는 높은 수준의 보안과 보호가 요구된다”면서 재발방지를 위한 대책이 필요하다고 강조했다.

한 전자업계 관계자도 “구글의 검색엔진 성능이 우수해 이처럼 비공개 정보까지 긁어가는 경우가 있다”며 “높은 수준의 보안이 필요한 경우 보안전문가들로부터 홈페이지 등에 자료를 올릴 때를 상정한 정보공개 설정 등을 확인하는 교육을 받고, 상시 점검이 필요하다”고 말했다.

오준엽 기자 oz@kukinews.com

기사모아보기