청구S/W·약학재단·통계업체 줄줄이 연루 '충격'

병의원 등 의료기관과 약국에서 환자 진료·처방과 조제 내역을 몰래 빼돌려 제약사 등에 불법으로 팔아넘긴 업체와 재단법인 등이 줄줄이 기소돼 충격을 주고 있다.

이들은 청구S/W 프로그램 업체부터 약학재단법인, 다국적 의료통계 업체까지 요양기관 전산과 정보에 관여하는 분야의 업체들로, 해당 요양기관과 환자 모르게 불법을 저지른 것으로 드러났다.

'개인정보범죄 정부합동수사단(단장 이정수)'은 병의원과 약국에서 환자 진료·처방·조제 정보를 불법으로 수집해 제약사 등에 팔아 불법 이득을 취한 사범들을 집중단속한 결과 오늘(23일) 총 24명을 기소하고 1명을 기소중지 처분했다고 밝혔다.

수사결과, 병원 보험청구심사 프로그램 공급업체 A사는 환자 동의 없이 환자 진료정보 등을 외부 서버로 전송받아 다국적 의료통계업체 E사에 판매했다.

약학 관련 재단법인 D는 같은 방법으로 약국으로부터 환자 조제정보를 외부 서버로 전송받아 E사에 판매하고, E사는 다시 위와 같이 불법 취득한 환자정보를 해외 본사로 보내 통계자료로 가공해 국내 제약사에 팔았다.

통신사 F사는 병원 측과 협의나 환자 동의 없이 전자차트 업체들과 결탁, 병원으로부터 환자 처방전 정보를 외부 서버로 전송받아 가맹점 약국에 유료 전송한 사실이 밝혀졌다.

검찰에 따르면 현재 A, E 업체 운영진 4명은 법원에서 구속영장이 기각됐고, A1에 대해서는 구속영장 재청구해 구속됐지만 적부심으로 석방된 상태다.

◆청구S/W업체, 병원 환자정보 불법수집 = 병원 의료정보 시스템 개발 업체 A사는 2008년 3월부터 지난해 12월 경까지 요양급여청구 사전 심사시스템(e-IRS) 프로그램, NOW 프로그램 등을 이용해 약 7500개 병원으로부터 약 7억2000만건의 환자 진료·처방정보, 즉 성명과 생년월일, 병명, 약물명, 복용량 등을 병원 측에 설명이나 환자 동의 없이 수집·저장·보유했다.

이후 이 업체는 이 데이터를 2011년 10월부터 지난해 12월경까지 3억3000만원을 받고 약 4억3019만건의 환자 진료·처방정보를 E사에 프로그램을 통해 공유할 수 있는 방식으로 임의 제공해 환자정보 불법처리 했다가 꼬리를 잡혔다.

전자차트 공급업체인 주식회사 B의 전·현직 대표이사 B1, B2, e-IRS 위탁판매업체인 주식회사 C의 영업본부장 C1은 유출 모듈이 설치됨을 알면서도 환자정보 유출을 도와 A사의 환자정보 불법수집을 방조했다가 적발됐다.

◆경영관리 프로그램으로 약국 환자정보 빼돌려 = 재단법인 D재단은 2011년 1월부터 지난해 11월경까지 가맹 약국에 경영관리 및 청구S/W 프로그램 PM2000 등으로 약 1만800개 약국으로부터 환자 조제정보(환자 주민등록번호, 병명, 약국 조제, 투약내역 등) 약 43억3593만건을 약국 모르게 환자 동의 없이 수집·저장·보유했다.

D재단은 이 데이터를 2011년 1월부터 지난해 11월경까지 약 16억원을 받고 E사에 팔아넘기는 방식으로 환자 정보를 불법처리 했다가 덜미를 잡혔다.

지난해 7월 서울중앙지검 형사2부는 D재단 전 집행부가 2013년 12월경까지 약국으로부터 부정한 방법으로 조제정보를 불법 취득한 혐의에 대해 각 불구속 기소해 현재 재판이 진행되고 있다.

◆환자정보의 불법 활용 = 다국적 의료통계 업체인 E사는 A사를 통해 3억3000만원을 주고 병원 환자 정보 약 4억3019만건을 환자 모르게 공유방식으로 불법 제공받았고, D재단에게서도 같은 방식으로 16억원 가량을 주고 약국 환자 정보 약 43억3593만건을 환자 모르게 제공받아 수집·저장·보유했다.

E사가 이 같이 불법 취득한 정보의 양은 약 47억건, 총 4399만명분으로, 국민의 대다수 환자정보라는 것이 검찰 측 설명이다. E사는 해외 본사 K에 이를 임의로 빼돌려 통계처리(병원별·지역별·연령별 특정 약의 사용현황 등)를 의뢰한 후 그 자료를 바탕으로 국내 제약사에 판매해 약 70억원을 벌어들인 것으로 드러났다.

추후 조사가 이뤄지자 E사는 거래 업체인 D재단에 허위진술을 요구하기도 했다.

원래 E사는 환자 주민등록번호를 알파벳으로 암호화(치환방식) 하는 방식을 개발해 A사와 D재단에 제공했는데, 이 업체 임원은 D재단 팀장에게 허위진술을 요구해 형사2부 수사에서 'D재단이 자체개발 했다'는 취지로 허위진술을 한 것이 수사 중 드러났다.

한편 이와 연루된 D재단은 지난해 5월과 9월경 환자 인적사항에 대해 일방향암호화(SHA2-512) 방식을 도입했다고 주장했지만, 수사결과 해독값을 USB에 담아 E사에 몰래 줬다고 검찰은 설명했다.

◆환자 동의없는 전자처방전 사업 = 통신사 F는 병원 전자차트 프로그램 업체 B, E1, E2, E3, E4 등 16개 업체의 도움을 받아 유출 모듈을 임의로 설치한 뒤 2011년 10월부터 지난해 12월경 2만3060개 병원으로부터 약 7802만건의 처방전 내역(환자 성명·생년월일·병원명·약품명 등)을 병원과 환자 몰래 ?暳뭍?외부서버로 전송받아 수집·저장·보유했다.

이후 데이터를 불법처리해 그 중 149개 병원으로부터 약 52만건의 전자처방전 정보를 탐지해 가맹점 약국에 건당 50원에 판매했다가 적발됐다. 이들이 약국에 팔아치운 데이터는 약 36억원 상당으로, 그만큼의 환자정보와 불법처리, 전자처방전 정보가 누출된 것이다.

F사 거래 업체이자 전자차트 공급사인 B사, G사, H사, I사, J사 등 16곳은 프로그램에 유출 모듈 설치를 허용해 F사의 환자 정보 불법수집을 방조했다.

정부합동수사단은 범죄수익 취득 등 가담정도가 중한 차트업체 5곳(B사, G사, H사, I사, J사)은 형사처벌하되, B사의 전현직 대표이사는 A사의 범행도 방조해 죄질이 무겁다고 판단해 각 구공판하고 G사, H사, I사, J사의 대표이사는 각 구약식 처리하기로 했다.

가담 정도가 비교적 경미한 나머지 업체 11곳은 기소유예 또는 불입건 처리했다. 합동수사단은 "현재까지 보이스피싱 등 제3의 범죄 흔적은 보이지 않아 추가 피해를 예방할 수 있었다"며 "빅데이터 활용이라는 명목으로 국민 환자 정보가 동의없이 이용되는 데에 경종을 울렸다"고 수사결과를 자평했다.

이어 합동수사단은 "향후에도 환자정보의 불법 취급을 엄중하게 처벌할 예정이며, 유관기관과 협조해 병원·약국 등의 환자정보 유출 여부를 점검할 계획"이라고 밝혔다.