"원격의료 진료실에 대한 보호 조치 부재와 비인가자의 원격의료 시스템 접근, 그리고 문제 발생 시 대응 절차 미흡 등 원격의료사업의 안전성 진단에서 상당한 오류가 발생했다."
특히 현재 상태의 서비스 수준으로 운영될 경우 '약학정보원 의료 정보 유출' 사례와 같은 보안 사고 발생이 자명하다는 지적이다.
대한의사협회 의료정책연구소는 28일 원격의료사업의 기술적 안전성을 진단하기 위해 발주했던 '원격의료체계 기술적 안전성 평가' 연구결과를 발표했다.[사진]
의협은 원격의료 서비스를 운영 중인 현장을 방문해 서비스 절차 및 운영 현황을 조사했다. 연구기간은 지난 2014년 10월 29일부터 2015년 7월 31일까지였고 고려대학교 정보보호대학원이 수행했다.
원격의료 현장 확인 불발, "복지부 비협조 분통"
연구소는 "연구를 진행하기 위해 총 22회에 걸쳐 보건복지부 및 원격의료 관련 기관에 현장 확인 협조를 요청했으나 원활하게 이뤄지지 않아 연구 진행 측면서 어려움이 컸다"고 전제했다.
이후 의협은 원격의료 서비스와 관련된 일부 기관(보건소, 마을회관)만이 협조 요청을 수용해 현장 확인을 진행했다.
연구소에 따르면 현장 확인 결과, '비 암호화 통신', '악성코드 감염 노출', '비밀번호 설정 취약', '파일 외부 전송 통제 불가', 'PC 보안 프로그램 미설치', '저 품질 영상' 등의 문제가 드러났다.
특히 'ID카드 도용으로 인한 오진 발생 가능', '외부인의 시스템 접근 차단 조치 부실', '서비스 이용 교육 및 정보 제공 부재', '이용자 개인정보 동의 및 관리 절차 부재' 등이 심각한 오류로 지목됐다.
연구소는 "국내·외 원격의료 관련 모든 기준을 수용하고 법령 및 표준과 국외 선진보안관리체계를 일원화해 높은 수준의 원격의료체계 평가 기준을 개발해야 한다"고 밝혔다.
연구소는 "원격의료를 포함한 의료 분야 전체를 평가할 수 있도록 평가기준을 '의료분야' 13개 대분류와 '원격의료분야' 3개 대분류로 구분해 총195개의 평가항목을 개발했다"고 소개했다.
연구소는 "현장 확인 내용을 바탕으로 개발한 195개의 평가항목 중 44개만 적용 가능했다"며 "그 결과 적용된 모든 평가항목에서 제시하는 보안 요구사항을 만족하지 못했다"고 덧붙였다.
게다가 조직, 운영, 자산, 정책 등과 관련된 평가항목은 복지부의 비협조로 인해 확인할 수조차 없었다고 비판했다.
원격의료서비스에 이용되고 있는 의료기기(블루투스 혈압측정계)에 대한 모의 해킹도 수행해 취약점을 점검했다.
연구소는 "그 결과 의료기기와 관리어플리케이션, 서버 구간에 대한 분석과 기기 내 저장 데이터 분석을 통해 개인 정보는 물론 파라미터 변조를 통한 타인의 혈압 측정 결과 확인 및 변조 가능했다"고 분석했다.
환자 개인정보 거래로 경제적 이득 취한 사건 발생했는데도 원격의료 도입?
이날 기자회견에서 최재욱 의료정책연구소장은 "외부 해킹이나 보안장치 미비 등에 의한 정보유출이 아니라 약학정보원이 약국에 청구프로그램을 무료 배포한 후 악용했다는 점에서 충격적"이라고 짚었다.
장기간에 걸쳐 환자 정보를 수집하고 지속적으로 이를 거래 대상으로 삼아 경제적 이득을 도모했다는 점에서 계획적이었고 주도면밀했다고 밖에 볼 수 없다는 것이다.
최 소장은 "정보 주체의 동의없이 약국 동의만으로 환자 정보를 처리하는 것은 명백한 위법"이라고 지적했다.
더욱이 소프트웨어 사용에 대한 동의가 없는 약국의 경우에는 환자 정보 수집이 이뤄질 수 없었다거나 익명화했으므로 문제화될 것이 없다는 태도는 문제있다고 비판했다.
그러면서 최 소장은 "또 다시 약정원과 같은 단체에게 환자 정보를 지속적으로 다룰 수 있도록 허용한다면 이는 환자의 민감 정보에 대한 보안과 안전성 확보 노력을 포기하는 것과 같다"고 말했다.
그러면서 원격의료 도입시 필연적으로 건강정보 유출의 위험을 안게 될 수밖에 없어 이번 약학정보원과 더불어 지목된 SK텔레콤 사례를 반면교사로 삼아야 한다고 제언했다.
정보 유출자에 대한 실질적 제재조치인 행정처분 신설 당위성에 대해서도 피력했다.
최 소장은 "의사가 환자의 비밀을 누설할 경우, 자격정지 2월의 행정처분을 받게 되나 약사는 환자 비밀을 누설하더라도 행정처분은 명확하게 규정하고 있지 않다"고 짚었다.
이에 "이번 사건을 계기로 약사 또는 관련 기관들에 실효성 있는 제재 수단을 도입해야 한다”며 “현행 범위 내에서 가장 무거운 조치가 내려져야 한다"고 재차 주장했다.
"2000여억원 피해 예상, 약정원 정보 유출 사고 반면교사 삼아야"
이 같은 문제가 더욱 심각한 것은 최근 발생한 '약학정보원 정보 유출 사고' 때문이다. 실제 사례를 반영한 시나리오에 위험 분석을 통해 피해 규모를 산정한 것도 이러한 이유에서다.
연구소는 "결국 지금의 원격의료 서비스는 보안 기능이 갖춰져 있지 않아 대부분 시나리오에 대해 위험도가 높은 것으로 확인됐다"고 경고했다.
'약학정보원 정보 유출' 사고를 기반으로 한 시나리오의 피해 규모를 산정한 결과, 약2000억원에서 2700억원 정도 피해가 일어날 것으로 예상됐다는 점은 시사하는 바가 크다는 것이다.
연구소는 "이렇듯 원격의료 서비스는 '비 암호화 통신', '접근 통제 미비', '보안 프로그램 미비' 등으로 인해 기술적 안전성 조치가 전무한 상태"라고 거듭 우려를 표했다.
이에 "복지부 등 정부와 관련 기관은 서비스 품질 향상과 병행해 보안성 증대에 예산과 정책 자원을 투입해 사전에 대비해야 한다"고 강조했다.
아울러 연구소는 "국민 생명을 담보로 하는 원격의료 서비스는 이해 당사자만의 문제가 아니라 국민 전체가 관심을 가져야 한다"고 덧붙였다.