[쿠키뉴스=김양균 기자] 지난 2015년 이탈리아의 정보거래업체 ‘해킹팀’의 내부 정보가 유출되면서 대중은 이른바 ‘감시의 시대’에의 두려움이 극에 달했다. 특정전문기관에 위임한 개인정보, 가령 금융·의료 등에 대한 보안은 해커 및 해킹프로그램 등 외부의 침입을 막는 것에만 중점을 둔 측면이 없지 않았다. 막대한 정보를 쥔 내부자가 개입한 ‘은밀한’ 정보 유출에는 상대적으로 안심하거나 소홀했다는 이야기다. 특히 개인의 의료기록과 같은 민감한 정보의 경우 의료법 23조에 의거, 안전하게 ‘봉인’되어 있으리란 의료소비자들의 ‘믿음’도 한몫했다.
故 백남기 농민의 전자의무기록 무단 열람 사례는 그러나 이러한 믿음이 얼마나 허망한 것인지를 여실히 보여준 계기다. 감사원이 2015년 11월 14일부터 2016년 12월 30일 사이에 서울대병원 종합의료정보시스템의 EMR과 PACS를 통해 백 농민의 의무기록 로그를 분석한 결과는 충격적이다. 734명이 4만601회에 걸쳐 무단 열람한 것이다. 문제는 이들이 모두 서울대병원 관계자들이란 사실이다.
◇ ‘구멍’은 줄어들었다지만…
의료법 제23조에 따르면 전자의무기록은 전자서명법에 따라 전자서명이 기재된 진료기록부, 간호기록부, 기타 진료에 관한 기록을 의미한다. 현재 서울대학교병원은 이를 위해 종합의료정보시스템(Electronic Medical Record & Hospital Information System)과 의료영상저장전송시스템(PACS: Picture Archiving Communication System)을 운영하고 있다. 종합의료정보시스템의 EMR(Electronic Medical Record)에는 외래·입원·수술·마취·간호·임상관찰·응급 기록과 의사지시 등이 포함된다. PACS에는 CT·MRI·엑스레이·내시경·초음파 등의 영상자료가 있다.
타과 소관 환자의 전자의무기록 열람 사유는 의사의 경우 ▶추가오더 입력 ▶미비기록 작성 ▶환자상담 및 협진 ▶진단서·의뢰서·사본발급 ▶예정환자 조회 ▶예정확인 변경 ▶약제업무 ▶진료지원 업무 ▶원무보험 ▶사전 승인 업무 ▶교육 ▶출력 ▶여타의 사유 등이다. 간호사의 경우에는 ▶미비기록 작성 ▶예정환자 조회 ▶특수부서 ▶진료지원 업무 ▶교육 ▶환자상담 ▶사전 승인 업무 ▶출력 ▶여타의 사유 등이다.
서울대병원 자체적으로 열람 사유를 정해두었고, 그에 앞서 의료법 제23조 제3항 및 제87조 제1항의 규정에 따라 정당한 사유 없이 전자의무기록에 저장된 개인정보를 탐지하거나 누출할 경우에는 5년 이하의 징역 또는 5000만원 이하의 벌금에 처해진다. 이렇듯 명백히 환자의 의료기록 보호를 위한 법 및 내부규정이 있음에도 왜 백남기 농민의 경우와 같은 일이 벌어진 걸까?
감사원 분석에 따르면 무단 열람 사유는 호기심(157명), 교수의 열람 지시(3명), 담당의사에게 치료부탁 목적의 사전 열람(1명) 등이다. 의사(86명), 간호사(57명), 보건직(13명), 학생(3명), 연구원(1명), 기능직(1명) 순이었다. 이를 통해 유추할 수 있는 점은 하나다. 바로 의료정보에 대한 의료진의 느슨한 인식이다.
이와 관련 서울대병원 관계자는 “백남기 농민 이후로 시스템 접근 권한 보안을 강화했다”며 “현재 의료법을 어겨가며 호기심 및 다른 의도로 환자의 의무기록을 본다는 것은 한마디로 ‘바보 같은 짓’이다”라고 밝혔다. 쿠키뉴스 취재 결과도 관계자의 말과 다르지 않았다. 다만 ‘구멍’이 있었다. ‘직원이 직원을 열람하는’ 경우다. 다음의 사례는 환자 정보가 어떻게 악용될 수 있는지를 보여준다.
“환자의 의무기록은 약점을 잡는 방식으로 악용하는 경우도 있다. 서울대병원 소속 직원이 병원에서 치료를 받는다 치자. 이 경우 진료와 전혀 관계없는 이들이 열람, 뒷말을 퍼뜨리기도 한다. 가령 정신과 진료기록 등을 무단 열람한다고 생각해보라. 해당 직원에게는 치명적일 수 있다. 문제는 이런 일들이 서울대병원에서 버젓이 벌어졌고 벌어지고 있다는 것이다.”
쿠키뉴스 취재 결과 확보한 이 같은 증언은 병원 직원의 의료기록이 해고 및 인사고과 등에 악용될 가능성을 보여준다. 이에 대해 병원 측은 “상상하기 어려운 일”이라고 펄쩍 뛰었다. 병원 홍보팀 관계자는 “누가 의도적으로 병원 직원의 진료 기록을 보고 약점을 잡겠는가”라고 말하면서도 “의사가 병원 직원의 의료기록을 들여다보는 것까지 시스템으로 막는 것은 불가능하다”고 현실적 한계를 인정했다.
다만, 관계자는 “병원 시스템 상에서 직원이 감염의 위험 등을 숨기는 경우, 인사상의 문제로 직결된다”면서 이러한 ‘예외 사항’에 대해 “병원 내부의 파벌 및 정치에 따른 악의적인 의도로 자행되는 내부직원의 의료정보 무단열람은 있을 수 없는 일”이라고 일축했다.
angel@kukinews.com