[단독] 세브란스 등 유명 대학병원 환자정보 수십만 건 제약사 유출

연세 세브란스 병원과 가톨릭 성모 병원 등 유명 대학 병원에서 민감한 환자 정보 수십만 건이 제약사로 넘어가 경찰이 수사 중인 것으로 KBS 취재 결과 확인됐습니다.

유출된 정보에는 환자의 이름과 주민등록번호, 민감한 병명 등이 포함된 것으로 조사됐습니다.

경찰청 중대범죄수사과는 신촌 세브란스 병원과 서울 성모 등 카톨릭대학교 병원 여러 곳, 고대 병원 등에서 환자 정보가 유출된 정황을 확인하고, 관련 직원들을 개인정보보호법 위반 혐의로 입건해 수사하고 있습니다.

경찰은 지난해 12월 리베이트 의혹을 수사하면서 중외제약 본사를 압수수색했습니다. 압수물을 분석하던 경찰은, 중외제약 제품을 처방받은 환자의 이름과 각종 정보가 담긴 서류 뭉치를 확인했습니다. 주요 대학 병원에서 유출된 개인 정보였습니다.

■ 연세 세브란스 병원서 10만 건 넘게 유출

유출 건수가 가장 많은 곳은 연세 세브란스 병원이었습니다. 10만 건이 넘었는데 환자 이름과 주민등록번호, 처방 의약품뿐 아니라 에이즈 감염 여부도 포함된 것으로 전해졌습니다.

경찰은 이 병원 약무국 관계자가 환자 정보를 엑셀로 정리해 중외제약 영업사원에게 넘긴 것으로 보고 있습니다.

국내 5대 병원 중 하나인 서울성모병원 등 가톨릭대학교 병원 여러 곳에서도 2018년부터 2년 동안 환자 정보 수만 건이 유출됐습니다.

경찰은 이 병원의 경우, 유출 경로로 고참 전공의를 뜻하는 '의국장'들을 의심하고 있습니다.

전임 의국장들이 후임자에게 알고 지내던 제약회사 영업사원을 소개해주며, 관계를 이어온 것으로 파악됐습니다. 대신 제약사 영업사원들은 병원 주변 식당에 미리 식사 비용을 내줬던 것으로 조사됐습니다.

고대병원에서는 신약을 테스트하는 임상시험 연구원들이 문제가 됐습니다. 병원 관계자는 "임상 연구원들이 의사의 아이디, 비밀번호로 병원 시스템에 접속한 뒤 중외제약 제품 처방 환자를 분류해 건넨 것 같다"고 밝혔습니다.

■병원 법인도 '개인정보 보호법' 위반 혐의로 입건

경찰은 병원을 운영하는 의료법인도 개인정보를 철저히 관리하지 못한 책임이 있다고 보고, 개인정보보호법 위반 혐의로 입건했습니다.

개인정보보호법 29조는 개인정보를 처리하는 법인이 개인정보의 안전성 확보에 필요한 기술적, 관리적, 물리적 조치를 해야 한다고 규정하고 있습니다.

또 관련 고시에는 '정보 접근 권한은 필요 최소한의 범위로 차등 부여해야 한다' '아이디와 비밀번호는 공유하지 않는다' '개인정보를 다운로드한 게 발견되면 그 사유를 확인해야 한다'고 돼 있습니다.

경찰은 이 같은 규정이 잘 지켜졌는지, 연세의료원장 등 병원 고위관계자들과 전산보안 담당 직원들을 참고인으로 불러 조사했습니다.

이에 대해 해당 병원들은 "아직 정확한 사실관계를 모른다"면서, 수사 결과를 지켜보겠다는 입장을 밝혔습니다.

중외제약 측은 일부 영업사원들이 병원에서 처방 내역을 받은 것은 맞다고 밝혔습니다. 다만 영업 실적을 증빙하기 위한 목적이었고, 다른 용도로 활용하지 않았다고 해명했습니다.