작년 서버 악성코드에 감염
최초 신고 땐 “2만여건 확인”
조사 후 40배 많은 “81만건”

‘민감정보 유출’ 고지해놓고
“다 샜다기보다 가능성” 딴말

서울대병원이 악성코드 감염으로 유출된 환자 정보가 최대 81만건에 이를 수 있다고 교육부에 신고한 것으로 확인됐다. 1년 전 서울대병원이 최초 신고한 유출 규모보다 40배 가까이 많은 수치다.

바깥으로 새어 나간 정보에는 환자 이름, 생년월일뿐 아니라 민감 정보인 진단명, 검사 일자 등도 포함됐다.

19일 전용기 더불어민주당 의원실이 교육부에서 제출받은 자료에 따르면 서울대병원은 81만여건의 개인정보 유출이 추정된다고 교육부에 신고했다.

유출 정보는 환자 이름, 생년월일, 성별, 나이, 진료과, 진단명, 검사일, 검사 결과 등이다. 유출이 의심되는 81만여건 중 20만여건은 사망자 정보로, 현재 진행 중인 경찰청 사이버테러수사대의 최종 수사 결과에 따라 피해 범위가 더 커질 수 있다.

경찰 조사 결과 지난해 6월5일부터 11일까지 서울대병원 서버는 악성코드에 감염됐다. 이로 인해 직원 PC 공유폴더에 저장된 파일 등이 외부로 유출됐다. 정보 유출을 인지한 서울대병원은 경찰청과 교육부, 보건복지부, 개인정보보호위원회에 관련 내용을 신고했다. 신고 당시 병원 측이 확인한 유출 사례는 2만2681건에 불과했으나 경찰 조사를 통해 40배 가까이 피해 규모가 늘어난 것이다

서울대병원이 사건 발생 직후 피해 규모를 축소하려고 한 정황도 있다. 지난 13일 개인정보 유출이 추가로 있었다는 소식이 전해지자 병원 측은 “주민등록번호, 휴대폰 번호, 주소, 영상 검사나 사진 등의 검사 결과는 유출되지 않았다”고 밝혔다.

그러나 지난해 7월6일 병원 측이 작성한 개인정보 유출 신고서를 보면 환자의 집주소, 휴대폰 번호, 의학 사진, 검사 결과 등이 유출됐다고 적혀 있다.

또 같은 달 7일 추가로 작성된 신고서에는 직원 사번, 성명, 주민등록번호, 근무부서정보, 휴·복직 정보, 거주지 연락처 등이 유출됐다고 기록돼 있다. 민감정보 유출을 부인한 병원 측 해명과 신고서에 적힌 내용이 상이한 것이다.

병원 관계자는 “주민등록번호 등이 유출된 사례는 이미 지난해 고지해 추가로 설명하지 않은 것”이라면서 “81만여건의 개인정보가 모두 유출됐다기보다는 유출 가능성이 있어서 신고한 것”이라고 말했다.

서울대병원은 피해 인지 이후 공격자 IP와 접속경로를 차단했다. 범행과 관련된 시스템 네트워크를 분리하는 등 보안조치도 시행했다. 추가 유출을 확인한 뒤에는 개인정보 유출이 있었다고 홈페이지에 알리고 환자들에게 알림 문자도 발송했다. 병원 측은 현재까지 개인정보가 외부에서 발견되거나 이용된 사례가 확인되지 않았다는 입장이지만 아직 섣불리 결론 내릴 문제가 아니라는 지적이 나온다.

전용기 의원은 “서울대병원은 정보 유출 사실을 숨기는 데 급급할 게 아니라 환자들의 피해 회복을 위해 정확한 정보를 공개적으로 알려야 한다”고 말했다.

병원 측은 “환자의 개인정보 보호를 위해 노력하겠다”며 “2차 피해가 발생하지 않도록 관계 부처와 긴밀히 협력할 것”이라고 밝혔다.