#지난 2월 14일 오후 6시께 의료기관평가인증원의 의료기관 인증 평가를 수행하는 조사위원들의 개인 및 사회정보가 온라인상에 그대로 노출되는 보안 사고가 발생했다. 유출된 정보는 조사위원 1029명의 성명, 지역, 소속기관, 직종, 이메일, 연락처, 생년월일 등이었다. 이 사고에 대해 인증원은 구글 검색로봇의 크롤링 기능에 의해 발생했다고 밝혔다. 참고로 크롤링 기능은 과거에 공개로 설정되어 색인된 인터넷상 정보가 이후 비공개로 설정이 변경되었더라도 검색될 수 있도록 하는 기능을 말한다. 과거에도 크롤링에 의한 인터넷 카페 회원주소록 등이 유출되는 경우가 수차례 발생했었다.
의료기관평가인증원의 보안 의식에 문제가 있다는 지적이 국회 보건복지위원회 국정감사에서 제기됐다.
더불어민주당 기동민 의원은 인증원의 개인정보 유출 사고와 관련해 “누가 현장에서 의료기관 인증 평가를 수행하고 있는지 쉽게 파악할 수 있는 내용이었고, 유출 사고에 따른 피해 규모와 수습 방안은 무엇인지 확인할 필요가 있다”고 지적했다.
당시 인증원 측은 개인정보 유출로 인한 피해 및 조사위원 대상 손해 배상을 진행하지 않았고, 2차 피해도 발생하지 않았다고 밝혔었다. 개인정보 유출 당사자인 조사위원들 역시 해촉된 경우는 없었다.
그리고 사고발생 두 달여 후 실시된 보건복지부 감사에서 인증원의 취약한 시스템 보안 문제가 다시 지적돼, 복지부는 시정을 명령했다.
이와 관련해 기 의원은 의료계의 지적을 인용해 “조사위원들은 의료기관에서 신청한 인증평가를 직접 수행하는 핵심 인력들로서 의사나 간호사, 의무기록사와 같은 전문가들이므로 향후 높은 수준의 보안과 보호는 물론 재발방지를 위한 대책이 필요하다”고 강조했다.
아울러 구글의 검색엔진 성능을 제대로 파악해 높은 수준의 보안이 필요한 경우 보안전문가들로부터 홈페이지 등에 자료를 올릴 때 상정한 정보공개 설정 등을 확인하는 교육을 받고 상시 점검해야 한다는 게 기 의원의 주장이다.
기 의원은 “사고 이후 인증원은 개인정보 유출 당사자들에 대한 공지, 홈페이지 공표 등 한국인터넷진흥원이 권고한 지침을 이행했다”면서 “그러나 두 달이 지나 복지부 감사에서 시스템 보안 문제가 재차 지적됐다”고 밝혔다.
이어 “복지부 감사 이후 시스템 보안 강화 조치를 취했다고 하지만, 일련의 과정을 보면 개인정보 유출 사고의 중대성을 간과한 채 이를 단순 사고로만 취급하고 서둘러 무마하려 한 것은 아니었는지 우려된다”고 비판했다.
김양균 기자 angel@kukinews.com
