서울대병원에서 '2021년 6월 악성코드 감염과 사이버 공격으로 일부 환자 정보의 유출 정황이 확인돼' 관련 환자들에게 우편 안내문을 최근 보냈다. 유출 가능성이 높은 환자 정보는 병원등록번호, 환자명, 생년월일, 성별, 나이, 진료과, 진단명, 검사일, 검사명, 검사결과 등이다. 다만 병원은 주민번호 핸드폰번호 주소 영상검사 사진 등은 유출되지 않았다고 전했다.
그러나 국내 최고 대학병원에서 1년 전 이런 상황이 발생했지만 1년이 지난 후에야 알게되었다는 것에 대한 걱정과 우려는 피하기 어려울 전망이다. 또 유출 규모와 과정 등을 향후 상세히 밝혀 재발 우려를 없애야겠다.
앞서 서울대병원은 2021년 6월 5일부터 6월 11일까지 81만여건의 개인정보 유출이 추정된다고 교육부에 신고했다고 지난 20일 밝혔다. 유출 정보 81만여건 중 20만여건은 사망자 정보다. 또 병원은 인지 후 경찰청과 교육부, 보건복지부, 개인정보보호위원회에 관련 내용을 신고했다. 신고 당시 병원이 신고한 사례는 2만2681건에 불과했으나 경찰 조사를 통해 피해규모가 40배 가까이 늘어났다.
최근 서울대병원은 해당 환자들에게 우편 안내문을 발송했다. '사이버공격에 의한 개인정보 유출(의심)에 대한 안내'에 따르면 서울대병원은 21년 6월 악성코드 감염을 통해 발생했던 사이버 공격에 대한 수사 과정에서 일부 환자 정보의 유출 정황이 추가로 확인되었다고 밝혔다.
또 병원은 병원등록번호, 환자명, 생년월일, 성별, 나이, 진료과, 진단명, 검사일, 검사명, 검사결과의 정보가 유출 가능성이 높은 것을 추정하고 있으며 주민등록번호 핸드폰번호 주소 영상검사나 사진 등의 검사 결과는 유출되지 않았다고 밝혔다.
서울대병원은 이어 유출 정황에 대해 인지한 즉시 해당 IP와 불법접속 경로를 차단하고 취약점 점검과 보안, 조치를 완료해, 현재까지 해당 정보가 외부에서 발견되거나 이용된 사례는 확인되지 않고 있다고 덧붙였다. 다만 혹시 모를 피해의 최소화를 위해 개인 정보 유출로 인한 피해 의심 정황 시 적극적인 신고를 드린다고 부탁했다. 그러나 병원은 '유출 정황 인지 시점'이 언제인지를 밝히지 않아 사후약방문 우려도 있다.
마지막으로 병원은 "환자분들의 개인정보 보호를 위해 최선의 노력을 다하고 있으며, 2차 피해가 발생하지 않도록 관계부처와 긴밀하게 협조해 조사 진행 중"에 있으며 "개인정보보호와 관련해 불미스러운 일이 발생한 점 깊이 사과드리며, 향후 유사한 사례가 발생하지 않도록 더욱 최선을 다하겠다"고 전했다. 또 이와 관련해 의심 발생 시 검찰청 사이버범죄수사단과 경찰청 사이버테러대응센터로 문의해 달라고 덧붙였다.
박홍규 기자 kdf@kdfnews.com
