시민단체 정보화사회실천연합(정실련)은 전국 36개 종합병원 홈페이지를 분석한 결과 가입이나 로그인, ID·비밀번호 찾기 페이지에서 정보를 전송할 때 암호화가 적용되지 않은 사례를 다수 발견했다고 24일 밝혔다.
정실련은 지난달 12일 인터넷 패킷 분석 프로그램인 '와이어샤크'를 이용해 분석한 결과 이름과 주민등록번호, 아이디와 비밀번호 등이 암호화되지 않은 채 전송되는 사실을 발견했다.
홈페이지에 이런 '구간 암호화'가 적용되지 않은 종합병원은 △강릉원주대학교치과병원 △강북삼성병원 △건국대학교병원 △계명대학교 동산의료원 △고신대학교 복음병원 △동국대학교 일산병원 △서울시 동부병원 △서울특별시 보라매병원 △신촌연세병원 △양산 부산대학교병원 △울산대학교병원 △원광대학교 의학대학병원 △원주세브란스기독병원 △인하대학교병원 △충북대학교병원 △한동대학교 포항선린병원 등 16곳이다.
개인정보보호법 24조 3항에는 '고유식별정보를 처리하는 경우 해당 정보가 유출되지 않도록 암호화 등 안전성 확보에 필요한 조치를 해야 한다'고 규정돼 있다.
이번 조사에서 확인된 구간 암호화 미준수 구간은 △로그인 비밀번호 △ID·비밀번호 확인 주민등록번호 △회원가입 본인 확인 주민등록번호 등 세 가지 유형이다.
이 세 유형을 모두 지키지 않은 곳은 서울시 동부병원, 원광대학교 의학대학병원, 원주세브란스기독병원, 충북대학교병원, 한동대학교 포항선린병원 등 5곳이었다.
서울시 보라매병원, 계명대학교 동산의료원, 양산 부산대학교병원, 울산대학교병원은 이 가운데 두 구간에 암호화를 적용하지 않았다.
PC에 악성코드가 설치된 경우 구간 암호화를 하지 않으면, 패킷 캡처 프로그램을 이용해 손쉽게 입력한 개인정보를 볼 수 있다는 게 전문가들의 의견이다.
개인정보가 흐르는 통로는 외부에서 들여다볼 수 없도록 조치돼야 하지만, 이들 병원의 경우는 내부를 훤히 들여다 볼 수 있는 셈이다.
특히 종합병원 홈페이지에는 진료예약이나 의료상담 등 법적으로 규정된 민감정보가 담겨있어 외부로 유출될 경우 피해가 더 크다.
개인정보보호법 23조에는 건강 등 정보주체의 사생활을 현저히 침해할 우려가 있는 정보를 '민감정보'로 규정해 엄격히 처리하도록 하고 있다.
정실련 손영준 대표는 "병원은 일반 홈페이지와는 달리 개인정보뿐 아니라 진료예약 정보 등 민감한 정보까지 노출될 위험성이 높다"면서 "어느 분야보다 철저한 개인정보 보호 관리가 필요하다"고 강조했다.