원격의료를 제공하는 의료기관의 권한이 없는 내부임직원이 원격의료 시스템에 저장되어 있는 개인정보 및 의료정보를 외부로 돈을 받고 유출할 경우 손실액은 얼마나 될까.

대한의사협회 의료정책연구소로부터 '원격의료체계 기술적 안전성 평가'연구용역을 받은 고대 정보보호대학원 이경호 교수는 약학정보원 정보 유출 사고와 같은 사례를 시나리오로 구성해 원격의료 서비스 위험분석을 실시했다.

약학정보원이 배포한 PM2000을 통해 환자의 개인정보 및 의료정보가 유출됐다고 보고, 이 교수는 원격의료 시스템에서 환자의 개인정보와 의료정보가 내부 임직원을 통해 악의적으로 유출될 가능성을 열어뒀다.

그 결과 진단서 및 임상결과 등 의료정보의 경우 최소 손실액이 약 2090억원, 최대 손실액이 약 2687억원 수준으로 나타났다. 주민번호 및 건강정보 등 개인정보는 최소 손실액 약 1768억원, 최대 손실액은 약 2273억원이다.

피해규모는 직접손실(사고대응비, 매출감소액)과 간접손실(이미지 회복비용, 법적 벌금 및 민사 소송비용) 등이 포함됐다.

원격의료 서비스에서 제2의 약학정보원 사태의 의료정보 보안사고가 발생할 경우, 1건당 2000억원~2600억원 가량의 손실액이 발생하는 것이다.

이 교수는 "약학정보원의 경우 7억건, 사람 수로 하면 5000만명 이내의 정보가 유출됐는데, 원격의료 서비스 시나리오에서도 이 정도 규모를 1건의 보안사고로 봤다"며 "연구결과 원격의료 시스템에 제대로 된 보안조치가 이뤄지지 않아 내부 임직원이 악의적으로 정보를 유출하려면 가능하다는 얘기가 된다"고 밝혔다.

이 같은 약학정보원 시나리오는 현재 서비스 되고 있는 원격의료 시범사업의 보안체계가 제대로 이뤄지지 않았다게 검증되면서 적용하게 됐다.

이 교수팀은 지난 5월 11일 N업체가 B마을회관에 서비스하고 있는 주민생활건강 원격관리 시스템의 현장확인을 다녀왔다.

총 61명의 마을 주민이 이용하고 있는 원격의료 시스템의 경우 ID 카드 도용으로 인한 오진, 외부인의 시스템에 대한 접근차단 조치 부실, 서비스 이용교육 및 정보제공 부재, 이용자 개인정보 동의 및 관리절차 부재 등의 문제점이 드러났다.

N업체에서 사용하고 있는 블루투스 혈압측정계 등으로 의료기기 보안의 취약점 또한 입증됐다. 연구팀은 블루투스 혈압측정계 어플리케이션이 해킹이 가능하며, 타인의 혈압 측정결과를 확인하거나 위·변조 할 수 있다는 사실을 밝혀냈다.

최재욱 의료정책연구소장은 "원격의료 보안 수준이 전무하다는건 심각한 문제"라며 "그럼에도 불구하고 원격의료 시범사업의 투명한 정보공개가 이뤄지지 않고 있다"고 지적했다.

지난 9개월 동안 연구를 진행하는 과정에서 정부가 원격의료 시범사업 관련 정보를 원천 봉쇄하고 은폐하고 있다는게 최 소장의 설명이다.

최 소장은 "무엇을 숨기고, 보여주기 싫어했는지 이번 연구를 통해 알려졌다"며 "정부는 지금이라도 원격의료에 대한 정보보안과 안전성에 대해 이해당사자가 안심할 수 있는 시스템을 갖춰야 한다"고 강조했다.

강청희 의협 상근부회장 또한 "원격의료 추진 세력은 의료기관과 환자가 아닌 IT업체"라며 "약학정보원 사태에서 보듯 업체나 단체의 이익에 따라 환자 진료정보가 판매될 가능성이 있다. 이 부분 만큼은 정부가 정책을 추진하면서 반드시 고민해야 한다"고 밝혔다.