해킹으로 진료기록 바뀌어 환자 사망한다면…
구태언 변호사(테크앤로 법률사무소)
2013.12.29 14:24 댓글쓰기

IT와 의료기술간 융합에 따른 의료기기 자동화가 확산될수록, 각종 불법복제 소프트웨어 사용에 따른 악성코드 감염이나 허술한 보안관리에 따른 외부해킹으로 인한 의료사고의 위험성도 그만큼 커진 게 사실이다.

 

특히 해커의 악의적인 정보 조작에 의한 잘못된 의료 처방과 같은 사이버 테러로 이어질 경우, 대형사고로 번질 가능성마저 있어 주의가 요구된다.

 

지난 7월 미국 라스베가스에서 열린 글로벌 보안 콘퍼런스 '블랙 햇(Black Hat)'에서는 이러한 의료사고의 이면을 여실히 보여주는 실험이 시연됐다.

 

 의사의 원격조정으로 체내에서 심장박동이나 인슐린 농도를 조절함으로써 생명을 유지시켜주는 체내삽입형 의료장치들의 주파수를 해킹하는 장면을 연출한 것이다.

 

한 보안업체의 연구원은 직접 당뇨 환자의 체내에 심어져 있는 인슐린 주입기기를 해킹하여, 인슐린 주입량을 치사량 수준으로 조작해 결국 환자를 사망에 이르도록 만들었다. 악의적인 해킹이 얼마나 끔찍한 결과를 초래할 수 있는지를 보여주는 장면이다.

 

그렇다면 이처럼 해커의 악의적인 진료기록 조작으로 인해 의사가 잘못 처방하여 환자가 사망한다면, 과연 이 책임은 누구에게 물을 수 있을까? 실제 일어날 수 있는 가상의 상황을 통해, 그 법적 책임을 알아보자.

 

당뇨전문병원에 근무하는 IT담당자 A씨는 병원의 비용절감 압박에 못이겨 다수의 PC에 운영체제(OS)를 비롯해, 각종 불법 소프트웨어를 설치하여 사용하고 있었다. 외부해커의 정보유출 가능성을 알고 있었지만, 병원장이 정품 소프트웨어 구매결재를 계속 거부함에 따라 결국 정품 구매를 미루고 있었다.

 

그러던 중 외부해커가 불법 OS의 취약점을 이용해 악성코드를 심은 뒤, 환자의 진료기록을 뒤바꾸는 사건이 발생했다.

 

 보안설비조차 제대로 설치되지 않아 IT담당자인 A씨는 물론, 이 회사에 근무하는 어느 누구도 해커의 침입을 알아채지 못했다. 같은 병원에 근무하는 의사 B씨는 이처럼 진료기록이 바뀐 사실을 인지하지 못하고, 환자에게 인슐린을 과다 투입하여 결국 환자가 사망하는 사건이 발생했다.

 

이 경우 환자 사망에 따른 책임은 환자 기록을 뒤바꾼 해커, 보안 관리를 철저하게 하지 않은 IT담당자, 환자기록을 제대로 확인하지 않은 의사, 정품 구매를 허락하지 않은 병원장, 과연 누구에게 얼마나 책임을 물을 수 있을까?

 

이 병원은 비록 정보통신망을 이용해 민감한 개인정보인 환자의 진료기록을 다루고 있지만 현행법상 병원은 비영리로 운영되어야 하고 외부 서비스 목적이 아니라 내부 업무처리를 위한 것이라는 점에서 개인정보보호법이 적용되므로 병원은 개인정보처리자(개인정보 보호법 제2조 제5호)로서 각종 의무규정을 따라야 한다.

 

개인정보보호법 제29조는 개인정보가 분실, 도난, 유출, 변조 또는 훼손되지 않도록 기술적, 관리적, 물리적 조치를 취하도록 규정하고 있으며, 제73조 제1호는 이를 위반하여 개인정보가 분실등되는 경우 형사처벌까지 하도록 규정하고 있다.

 

이 사건의 경우 개인정보처리자가 악성코드를 예방할 수 있는 백신 프로그램이나 침입방지시스템, 침입탐지시스템 등 보안조치를 게을리한 결과 개인정보가 변조 내지 훼손된 사안일 가능성이 크다.

 

그렇다면, 불법 운영체제(OS)를 사용하고 개인정보보호법 제29조를 위반하여 개인정보의 잘못된 처리가 발생하였으며 그에 따라 환자가 사망까지 하게 되었으므로, 위법한 업무처리로 인한 과실로 환자가 사망한 책임을 지게 되며 구체적으로는 관련자들에게 개인정보보호법 제73조 위반죄와 형법상 업무상 과실치사죄의 책임을 물을 수 있다.

 

즉, 병원장은 정품구매를 허락하지 않아 그 취약점을 통해 위와 같은 사고를 야기했으므로 업무상 과실치사죄, 개인정보보호법상 안전조치 의무를 이행하지 않았으므로 개인정보보호법 위반죄를 지게 된다.

 

환자의 진료기록이 뒤바뀐 것을 철저하게 확인하지 않은 의사는 업무상 과실치사죄를 지게 된다. 병원은 개인정보보호법상 안전조치 의무를 이행하지 않아 과태료가 부과될 수 있고, 주민번호가 변조됐다면 5억원 이하의 과징금에 처해질 수 있다. 해커는 의도적으로 진료기록을 뒤바뀌었다면 살인죄에 처해질 수 있으며, 해커가 살인을 의도한 것이 아닌데도 그와 같은 결과가 발생했다면 과실치사죄가 된다.

 

앞으로 더 많은 IT기술이 의료기기와 연결돼 더욱 똑똑한 기능과 경험을 제공할 것이다. 하지만 여전히 많은 의사들은 IT기술에 대한 배경이 부족하고, 네트워크에 연결된 의료기기들은 외부 위협에 거의 무방비 상태로 노출돼 있다. 우리가 예상할 수 있는 최악의 시나리오는 지금 당장이라도 발생할 수 있다는 점을 명심하자.



관련기사
댓글 0
답변 글쓰기
0 / 2000
메디라이프 + More
e-談