개인정보범죄 정부합동수사단은 지난 2015년 7월 23일 병원ㆍ약국에서 환자의 진료정보 및 처방정보를 불법으로 수집ㆍ판매한 혐의로 지누스와 한국IMS헬스, 약학정보원 법인 등을 기소했다. 2015년 9월 8일 첫 번째 준비공판을 포함해 총 다섯 번의 준비공판이 진행됐으며, 2016년 2월 29일이 돼서야 본 재판이 시작됐다. 이후 2016년 4월 21일까지 네 번의 공판이 진행됐으며, 현재까지 검찰이 신청한 40여명 중 5명(변호인 측인 신청한 증인 2명 제외)에 대한 증인신문이 완료됐다. 특히, 본 재판 4차 공판에서는 의료정보유출 관련 프로그램 중 하나인 e-IRS 2.1버전의 설치과정이 공개됐다. 더욱이 이 사건의 경우, 형사재판뿐만 아니라 2,102명의 피해자들이 제기한 손해배상청구소송도 진행되고 있다. 의료정보유출 사건의 진행상황을 정리해봤다.
▽검찰, 환자정보 불법 수집한 사범 기소
개인정보범죄 정부합동수사단은 2015년 7월 23일 환자와 의사의 동의 없이 병원ㆍ약국에서 진료정보 및 처방정보를 불법으로 수집ㆍ판매한 혐의로, 지누스와 한국IMS헬스, 약학정보원 등 법인을 포함해 총 24명을 불구속 또는 약식 기소했다.
지누스는 IT를 활용한 의료정보시스템을 개발해 관련 의료IT 솔루션과 서비스를 제공하는 업체로, 요양급여청구 사전심사시스템인 e-IRS를 개발한 업체다.
한국IMS헬스는 헬스케어 데이터 통계 분석 및 컨설팅 서비스를 제공하는 IMS헬스의 한국 법인이다. 국내 관련 법률 규정에 따라 집계한 국내 의약품 사용현황 정보를 가공해 의약품 시장 동향에 대한 통계자료를 제약사 등에 제공하고 있다.
합수단에 따르면 지누스는 2008년 3월부터 2014년 12월까지 e-IRS 등을 통해 약 7,500곳의 병ㆍ의원, 약 7억 2,000만건의 진료ㆍ처방정보를 불법수집했다. 2011년 10월부터 2014년 12월까지는 3억 3,000만원을 받고 약 4억 3,019만건의 진료ㆍ처방정보를 한국IMS헬스에 판매했다.
약학정보원은 2011년 1월부터 2014년 1월까지 1만 800곳의 가맹약국에 배부한 경영관리프로그램 PM2000을 통해 외부 서버로 전송 받은 약 43억 3,593만건의 조제정보를 약 16억원을 받고 한국IMS헬스에 판매했다.
한국IMS헬스는 불법 취득한 진료ㆍ처방정보 및 조제정보 약 47억건(총 4,399만명)을 해외 본사에 임의 제공하고, 통계자료로 가공해 국내 제약사들에 판매해 약 70억원의 수익을 챙겼다.
기소 당시 합수단은 의료ㆍ약학 이외의 다른 분야로 유출돼 활용된 흔적, 보이스 피싱 등 제3의 범행에 활용된 흔적, 해외에서 통계자료 외의 다른 용도로 사용된 흔적 등이 발견되지 않았다고 설명했다.
합수단은 “국민들의 사생활과 밀접한 정보가 불법으로 수집ㆍ판매되는 루트를 원천 차단했다는 점에서 의의가 있다. 향후에도 유관기관과 협력해 병원 및 약국은 물론, 관련 업체에서 환자정보를 불법 수집ㆍ판매하는지에 대해 지속적으로 점검하겠다.”라고 강조했다.
▽검찰vs피고 ‘개인정보’에 대한 엇갈린 주장
검찰 측과 피고 측은 첫 준비공판에서부터 대립했다.
서울중앙지방법원 제22형사부(재판장 김세윤 부장판사)가 담당하고 있는 이 사건 재판에서 검찰 측과 피고 측은 ‘개인정보’에 대해 각기 다른 해석을 내놨다.
검찰은 피고들이 정보주체의 동의 없이 무단으로 개인정보를 수집ㆍ제공함으로써 개인정보보호법을 위반했다고 주장했다.
검찰은 “특정 개인을 구별할 수 없어도 다른 사람과 구분할 수 있다면 개인정보다. 합리적 결합이 가능하면 개인정보성을 인정할 수 있으며, 이때 개인정보를 암호화한다고 해서 개인정보가 아니라고 할 수 없다. 암호화는 안전성 의무의 일환으로, 개인정보성과 무관하다.”라고 지적했다.
이어 “방통위의 빅데이터 개인정보보호 가이드라인을 보면 접속기록 등 요건이 공개된 개인정보가 빅데이터며, 실제 개인정보를 빅데이터라고 할 수 없다. 특히 지누스나 약학정보원의 경우, 환자나 의ㆍ약사가 프로그램 이용에 동의한 것일 뿐 처리업무 위탁에 동의한 것이 아니다.”라고 꼬집었다.
반면, 피고들은 특정 개인을 식별할 수 없는 암호화된 정보를 개인정보라고 할 수 없다고 공통되게 주장하고 있다.
지누스 측 변호인은 “지누스가 한국IMS헬스에 제공한 정보는 특정한 개인을 식별할 수 없으며, 실제 수집한 항목과 제공한 항목이 동일하지도 않다. 또 병ㆍ의원 몰래 개인정보를 처리하지 않았다.”라고 주장했다.
한국IMS헬스 측 변호인은 “비식별화된 정보만 받아 이를 본사에 보내 통계처리만 했으며, 판매한 것 역시 개인정보가 아닌 통계분석결과다. 더욱이 개인정보 자체 수집을 목적으로 한 것이 아니며, 사회에 해악을 끼치려는 목적도, 행위도 없었다.”라고 강조했다.
약정원 측 변호인은 “약정원이나 다른 피고 모두 개인정보를 불법적으로 수집해 유출하려는 의도가 없었다. 수집한 정보는 개인 식별이 불가능한 것은 물론, 개인정보보호법에서 말하는 개인정보도 아니다. 이 과정에서 정보의 주체를 속이지도 않았다.”라고 피력했다.
▽황 전 지누스 부사장vs지누스 측 변호인 대립
서울중앙지방법원 제22형사부(재판장 김세윤 부장판사)는 2016년 4월 21일 기준으로 세 번의 증인신문 공판을 진행했다. 세 번의 공판에서는 검찰이 신청한 40여명의 증인 중 5명이 법정에 나와 증언했다. 여기에 지누스가 추가로 신청한 증인 2명까지 포함하면 총 7명이 증인석에 올랐다. 모두 지누스와 관계된 증인들이었다.
특히, 7명의 증인 중 황OO 전 지누스 부사장과 지누스 측 변호인 간의 신경전이 대단했다.
지누스 측 변호인은 황 전 부사장이 이 사건의 최초고발자라면서 횡령죄로 고발된 데 따른 보복성 진술이 의심된다고 지적했다.
지누스 측 변호인은 “황 전 부사장은 회사의 자료를 빼돌려 창업을 준비하고 퇴사 후 지누스와 유사한 사업목적의 회사를 설립했다. 설립 후에는 지누스와 분쟁 중이던 업체의 의료장비를 팔았다.”라며, “검찰에서 수사한다고 하니 관련 자료를 검찰에 넘기고 진술을 했다. 이는 결국 용이하게 영업하려는 목적이 아닌가.”라고 비판했다.
또한 “황 전 부사장이 검찰에 제출한 자료는 김 전 지누스 영업팀 직원이 백OO 전 지누스 개발팀 직원에게 받은 것이다. 심지어 유사 프로그램은 e-IRS의 1년 전 버전과 비슷했다. 김씨와 백씨는 현재 황 전 부사장과 같은 회사에 근무 중이다.”라고 꼬집었다.
황 전 부사장은 검찰에서 먼저 연락이 왔기 때문에 조사에 응한 것일 뿐, 음해성 고발이 아니라고 주장했다.
황 전 부사장은 “영업을 편히 하려고 고발한 것이 아니며, 검찰조사에 답한 것에 불과하다. 김씨와 백씨 영입도 사전에 이야기하지 않았다.”라며, “프로그램 소스를 복제했다고 하는데, 2016년부터 그 회사의 대표가 됐기 때문에 잘 모르는 내용이다.”라고 말했다.
이어 “지누스에 근무할 당시 개인정보 암호화를 하지 않았으며, 2013년 3월 퇴사할 때까지 개인정보 암호화에 대해 진행된 내용은 없었다.”라며, “e-IRS를 통해 수집ㆍ저장한 정보의 관리권한은 지누스에 있다.”라고 설명했다.
▽법정서 e-IRS 설치 시연…”서버저장 안 알려”vs“정보처리 위탁 의의”
2016년 4월 21일에 서울중앙지방법원 서관 510호 법정에서 진행된 본 재판 4차 공판에서는 의료정보유출 사건의 관련 프로그램 중 하나인 e-IRS 설치시연이 이뤄졌다. e-IRS 중에서도 검찰이 의료정보를 유출했다고 한 당시 버전인 e-IRS 2.10 버전의 설치과정이 시연됐다.
지누스에 따르면 e-IRS를 구입한 의사들은 가장 먼저 e-IRS 판매대행사인 M사를 통해 계정(ID와 비번)을 생성한다. 계정은 요양기관 정보를 입력한 후, 지누스가 승인해야만 사용 가능하다. 이때 e-IRS 구입 시 제공받은 인증 USB도 필요하다.
다음으로 지누스 홈페이지에 접속해 우측 하단의 e-IRS 설치메뉴를 클릭해 설치프로그램을 내려 받아 실행한다. 이때 계정 생성 시 저장한 요양기관번호를 입력하는 화면이 뜨고, 여기에 추가로 진료과목 및 사용프로그램을 선택한다.
모든 정보가 등록되면 ID와 비밀번호를 입력하는 화면이 나타나며, ID와 비밀번호 입력 후에는 ‘개인정보 위탁 확약서’ 팝업이 뜬다. 이 팝업에는 위탁계약 체결 시 고려사항 등을 내용으로 하는 행정안전부(현 행정자치부)가 만든 기관별 개인정보 자료가 파일로 첨부돼 있다.
온라인 도움말(매뉴얼) 파일도 함께 제공되는데, 여기에 별도의 보안전문업체 서버에 저장된다고 명시돼 있다는 것이 지누스 측의 설명이다.
시연을 담당한 지누스 측 관계자는 “개인정보 위탁 확약서를 읽고 동의하지 않는다고 해서 프로그램을 사용할 수 없는 것은 아니다. 다만 동의할 때까지 팝업이 계속 뜬다.”라며, “확약서의 내용은 e-IRS 내 개인정보 메뉴에서도 확인할 수 있다.”라고 설명했다.
e-IRS 메뉴로는 ▲병ㆍ의원 e-IRS 프로그램에 저장ㆍ생성된 EDI 파일 접수(전송)하는 ‘청구파일접수’ ▲접수된 EDI 기반으로 진료과별, 질환별, 연령별 진료통계 제공하는 ‘진료분석’ ▲심평원으로부터 받은 심사결과통보서(삭감여부) 확인하는 ‘심결접수현황’ ▲e-IRS 사용 병ㆍ의원의 약제별 적정성 평가 분석 및 통계 제공되는 ‘평가분석’ 등이 있다.
이에 대해 검찰은 서버저장 전송여부를 알 수 없다고 주장한 반면, 지누스는 정보처리 위탁을 받았다는 데 의의가 있다고 주장했다.
검찰은 “사용자인 의사들이 e-IRS의 각 메뉴를 이용할 때, 생성된 파일들이 컴퓨터나 e-IRS 프로그램 자체에 저장되는지 아니면 지누스 서버로 전송돼 저장되는지 알 수 없다. 이에 대한 설명이 없으니, 프로그램상 저장으로 알 수도 있지 않나.”라고 강조했다.
반면, 지누스 측 변호인은 “개인정보 위탁 확약서 팝업과 매뉴얼 내 서버저장 내용 언급 등을 통해 정보가 별도의 서버에 저장된다고 명시했다. 이를 통해 우리는 사용자로부터 정보처리를 위탁 받은 것이다.”라고 피력했다.
▽의료정보유출 손해배상소송은 어디까지 왔나?
의료정보유출 사건은 형사재판과 함께 민사재판도 진행 중이다.
대한의사협회는 2014년 2월 13일 대한약사회와 약학정보원, 한국IMS헬스를 상대로 제기한 의료정보유출 손해배상 청구소송을 제기했다. 이 소송의 원고만 총 2,102명에 달하며, 청구금액도 54억 500만원에 달한다.
그 동안 진행된 공판에서 원고 측은 피고들이 정보 주체의 동의를 받지 않고 불법으로 개인정보를 처리해 인격권을 침해 받았다는 입장이다. 반면, 피고 측은 개인정보가 아니며 개인정보라고 해도 침해하지도, 손해를 발생시키지도 않았다는 입장이다.
지난 공판에서 원고 측 소송대리인은 “약사회와 약학정보원은 정보 주체의 동의 없이 처방전에 기재된 의료정보를 불법으로 수집ㆍ판매했다. 한국IMS헬스는 정보 주체의 동의 없이 약사회와 약학정보원으로부터 불법으로 개인정보를 제공 받았다.”라고 주장했다.
이어 “피고들은 암호화했기 때문에 개인정보가 아니라고 하지만 암호화 방식이 간단했다. 이로 인해 원고들은 인격권을 침해 받았다.”라며, “위자료로 200만원을 청구한다. 특히 의사들은 면허번호 등까지 유출된 데 따라 300만원의 위자료를 청구한다.”라고 요구했다.
그러나 피고 측 소송대리인은 “특정 개인을 식별할 수 있는 개인정보가 아니다. 더욱이 원고들의 개인정보를 침해했다고 입증할 증거가 없으며, 개인정보라고 해도 위자료를 배상할 손해가 발생하지 않았다.”라고 반박했다.
한편, 서울중앙지방법원 제26민사부(재판장 윤강열 부장판사)는 오는 4월 29일 오후 3시 50분 동관 565호 민사법정에서 11차 공판을 진행한다. 이날 공판에서는 원고들의 정보유출여부 등에 대한 원고 측의 PT변론이 이뤄질 예정이다.