정보화사회실천연합이 확인한 개인정보 보호 조치가 미흡한 종합병원 목록
카드회사를 통해 1억 건 이상의 개인정보가 유출된 가운데, '민감정보'가 포함된 개인정보를 다루는 종합병원 홈페이지에서도 유출 가능성이 높은 것으로 확인됐다.
시민단체 정보화사회실천연합(정실련)은 전국 36개 종합병원 홈페이지를 분석한 결과 가입이나 로그인, ID·비밀번호 찾기 페이지에서 정보를 전송할 때 암호화가 적용되지 않은 사례를 다수 발견했다고 24일 밝혔다.
정실련은 지난달 12일 인터넷 패킷 분석 프로그램인 '와이어샤크'를 이용해 분석한 결과 이름과 주민등록번호, 아이디와 비밀번호 등이 암호화되지 않은 채 전송되는 사실을 발견했다.
홈페이지에 이런 '구간 암호화'가 적용되지 않은 종합병원은 △강릉원주대학교치과병원 △강북삼성병원 △건국대학교병원 △계명대학교 동산의료원 △고신대학교 복음병원 △동국대학교 일산병원 △서울시 동부병원 △서울특별시 보라매병원 △신촌연세병원 △양산 부산대학교병원 △울산대학교병원 △원광대학교 의학대학병원 △원주세브란스기독병원 △인하대학교병원 △충북대학교병원 △한동대학교 포항선린병원 등 16곳이다.
개인정보보호법 24조 3항에는 '고유식별정보를 처리하는 경우 해당 정보가 유출되지 않도록 암호화 등 안전성 확보에 필요한 조치를 해야 한다'고 규정돼 있다.
이번 조사에서 확인된 구간 암호화 미준수 구간은 △로그인 비밀번호 △ID·비밀번호 확인 주민등록번호 △회원가입 본인 확인 주민등록번호 등 세 가지 유형이다.
이 세 유형을 모두 지키지 않은 곳은 서울시 동부병원, 원광대학교 의학대학병원, 원주세브란스기독병원, 충북대학교병원, 한동대학교 포항선린병원 등 5곳이었다.
서울시 보라매병원, 계명대학교 동산의료원, 양산 부산대학교병원, 울산대학교병원은 이 가운데 두 구간에 암호화를 적용하지 않았다.
정실련이 강북삼성병원 로그인 페이지에서 가상의 아이디와 비밀번호인 'user0208'과 'pwd0208'을 입력한 결과 암호화되지 않고 전송되는 사실을 확인했다.(사진=정실련 제공)
조사 대상 36곳은 정실련이 지난해 3월 전국 52곳 종합병원 조사에서 미준수 사실이 발견된 곳으로, 특히 이번 조사에서 드러난 종합병원 16곳은 2년에 걸쳐 미준수가 시정되지 않은 셈이다.
PC에 악성코드가 설치된 경우 구간 암호화를 하지 않으면, 패킷 캡처 프로그램을 이용해 손쉽게 입력한 개인정보를 볼 수 있다는 게 전문가들의 의견이다.
개인정보가 흐르는 통로는 외부에서 들여다볼 수 없도록 조치돼야 하지만, 이들 병원의 경우는 내부를 훤히 들여다 볼 수 있는 셈이다.
특히 종합병원 홈페이지에는 진료예약이나 의료상담 등 법적으로 규정된 민감정보가 담겨있어 외부로 유출될 경우 피해가 더 크다.