소프트케이알 - 스위퍼클라우드 개인정보 보안

제목	[조선닷컴 단독] 건당 50원… 당신의 진료정보가 샌다
날짜	2015-08-04 12:39:04
["300만원이면 어떤 병원도 해킹"… 성형·早産 기록까지 다 나왔다] 이름·주소·전화번호·투약·상담내용까지 인터넷 거래 성형외과·비뇨기과도… 브로커 "누구에게나 다 판다" - 10만원에 환자 정보 2000건 포털에 'DB 판매' 검색하면 브로커 글 수백개 이상 떠 중국서 만든 메신저 사용, 송금도 중국인 환전소에서 - "병원은 은행보다 훨씬 쉽다" 중소형·개인 병원이 더 취약… 민감한 개인 정보 많아 최근 검찰이 환자 4400만명의 진료 정보 47억건을 빼돌린 혐의로 의료 정보 시스템 대표 등 24명을 기소했다. 그런데 아직도 시중에선 개인 실명 의료 정보가 줄줄 새나가고 있는 것으로 확인됐다. 본지 취재 결과 전국 각지의 병·의원이 보유하고 있는 환자 정보가 인터넷상에서 마구 거래되고 있었다. 28일 본지 취재팀은 온라인 메신저를 통해 개인 정보 판매 브로커를 접촉했다. 브로커는 "병원 디비(DB·개인 정보를 모은 데이터베이스)를 갖고 있다"며 접근해왔다. "개인 정보 한 건당 50원씩 총 2000건에 10만원입니다." 흥정에서 거래까지 걸린 시간은 한 시간에 불과했다. 잠시 후 브로커가 파일을 보내왔다. 전국 각지에 있는 산부인과, 성형외과, 비뇨기과 등을 다녀간 개인 실명 의료 정보가 수두룩했다. 이름, 주소, 휴대전화 번호는 물론이고 비뇨기과를 찾은 환자의 상담 내용, 산부인과에 다녀간 임신부의 아이 태명까지 기록돼 있었다. 브로커는 "주로 제약사 관계자나 보험 관련 사업을 한다는 이들이 환자 정보를 달라고 하는데, 필요하다는 사람은 가리지 않고 거래한다"고 했다. 그는 "자료는 병원 홈페이지를 해킹해 확보했고, 병원별로 폴더를 만들어 해킹한 자료를 모아놓고 있다"고 했다. 본지 취재팀은 브로커에게서 건네받은 '비뇨기과 환자 명단'에서 연락처와 병명(전립선비대증)이 공개된 박모씨에게 전화를 걸었다. 깜짝 놀란 박씨는 "얼마 전 전립선비대증 때문에 고생하다 수술 상담을 받은 적이 있는데 대체 내 정보가 어떻게 새어 나간 것이냐"고 했다. 그는 "의료 정보가 유출된다고 들었지만 그게 내 얘기가 될 줄은 몰랐다"고 했다. 시중에서 이뤄지는 병·의원 환자 정보 거래는 인터넷 게시 글에서 시작된다. 구글 등 검색 사이트에서 '디비(DB) 판매'로 검색만 하면 '각종 DB 실시간 판매 중입니다. 대출 DB, 병원 DB, 성인 DB…' 같은 글이 수백 건 뜬다. 개인 정보 판매 브로커의 글이다. 이들 브로커와는 인터넷 메신저로 연락한다. 개인 정보 판매 브로커들이 거래하고 있는 환자들의 개인 의료 정보. 이 파일에는 치과를 다녀간 환자의 이름, 나이, 상담 내용, 치료액 합계까지 기재돼있다. /엑셀 파일 캡처 개인 정보 판매 브로커들은 경찰 추적을 피하기 위해 카카오톡, 네이트온 같은 국내 메신저가 아닌 중국 텐센트가 개발한 메신저 큐큐(QQ)를 주로 사용한다. 인터넷 게시글 하단에 기재된 브로커의 메신저 아이디를 친구로 등록하면 채 1분도 안 돼 메시지가 온다. '어떤 디비를 원합니까.' 본지 취재팀도 같은 방식으로 브로커를 접촉해 환자 정보를 구할 수 있었다. 브로커는 '총 수백만건에 달하는 병원 DB가 있다'면서 먼저 샘플을 보내줬다. 산부인과, 산후조리원, 비뇨기과, 성형외과를 다녀간 이들의 이름, 주소, 휴대전화 번호 등이 엑셀 파일에 일목요연하게 정리돼 있었다. 병명과 진료 시각, 상담 내용, 치료비 청구 액수까지 기록된 파일도 있었다. 그는 '병원 홈페이지 해킹을 통해 빼낸 정보'라 했다. 브로커는 환자 개인 정보 한 건당 50원씩, 1만 건에 50만원을 요구했다. 그는 "한국 돈으로 은행에서 거래하면 다 걸린다"며 "서울 대림동이나 건국대 인근에 많은 중국인 환전소에서 돈을 송금해달라"고 했다. 흥정 끝에 그가 불러준 중국 은행 계좌로 10만원을 보내고 환자 정보 2000건을 넘겨받았다. ◇은밀한 정보도 손쉽게 구해 일부 파일엔 환자의 민감한 개인 정보가 모두 포함돼 있었다. A비뇨기과는 환자를 '전립선 비대증' '조루증' 등 증상별로 구분해놨다. 환자 이름 옆에 '요로 결석으로 한 번 응급실에 실려간 적이 있고, 결석 증상 비슷한 통증을 달고 사는데 원인을 못 찾고 있다'는 상담 내용이 들어간 경우도 있었다. 서울·경기 지역 유명 산부인과와 성형외과의 개인 정보도 포함돼 있었다. 병원 홈페이지에서 쓰는 아이디와 비밀번호는 물론 산부인과 개인 정보에는 배우자 이름과 출산 예정일, 아이 태명도 기재돼 있었다. 한 환자는 '자궁경부 무력증으로 인한 조산'이라고도 적혀 있었다. 직장인 A(32)씨도 얼마 전 한 브로커에게서 치과와 한의원 환자 정보 1000건(5만원)을 넘겨받았다. 그는 "보험 일을 하는 지인 부탁으로 알아봤는데, 이렇게 쉽게 구할 수 있을 줄 몰랐다"고 했다. 그래픽=김성규 기자 이처럼 인터넷에서 거래되고 있는 환자 정보는 주로 규모가 작은 중소형, 개인 병원의 환자 기록인 경우가 많다. 최근 내부에서도 환자 개인 정보 검색이 불가능하도록 보안을 대폭 강화한 대형 종합병원에 비해 규모가 작은 병원들은 개인 정보 보안이 취약한 편이다. 경찰 관계자도 "중소 병원에서 과거 한 번 빠져나간 개인 정보가 복사 과정을 거쳐 업자들 사이에서 끊임없이 공유되는 경우가 많다"고 했다. ◇대형 병원도 안심 못 해 대형 병원도 안심할 수는 없다. 실제 본지 취재팀이 브로커에게 특정 병원 해킹도 가능하냐고 묻자 "사이트당 최저 300만원을 받으며, 해킹 난이도에 따라 최종 견적이 달라진다"고 했다. 일부 대형 병원은 환자 정보를 암호화하는 등 해킹 방지 프로그램을 운영하고 있지만 대다수 병원들은 여전히 개인 정보 보호에 무관심하거나 투자를 꺼리는 것이 현실이다. 한 해커는 "해킹 난이도로 보면 병원은 은행 등 금융기관보다 훨씬 쉬운 편"이라며 "마음만 먹으면 주요 대학병원 정보도 빼낼 수 있다"고 했다. 개인 실명 의료 정보는 이를 마케팅에 활용하려는 제약업계나 보험업계에서 많이 찾는 것으로 알려져 있다. 일부 보험설계사는 이렇게 구입한 의료 정보 속 개인들에게 보험 가입 권유 전화도 돌린다고 한다. 보험업계 관계자는 "한 번 아파 본 사람들은 보험 가입에 대한 관심이 높은데, 이들에게 맞춤형으로 접근하면 보험 유치 성공률이 높다"고 말했다. 인터넷에서 거래되는 환자 정보는 대개 유출된 지 2~3년 이내의 것들이며, 최신일수록 가격이 올라간다. 또 시일이 지난 정보라 하더라도 정보 유통 시장에서는 언제든 '맞춤형 보이스피싱' 등 다른 2차 피해가 발생할 수 있다는 것이 전문가들 지적이다. 휴대전화 번호, 주소 등은 꽤 오랜 기간 바뀌지 않는 경우가 많은데, 그 유출 속도와 범위는 상상 이상이기 때문이다. 개인 실명 의료 정보엔 본인이 감추고 싶은 민감한 개인 정보가 포함돼 있어 병원 이용자들의 불안감은 더욱 커지고 있다. 주부 이명현(31)씨는 "환자 정보가 이렇게 샌다는 건 충격적"이라며 "앞으로 어떻게 믿고 병원에 가겠느냐"고 했다. [출처] 본 기사는 조선닷컴에서 작성된 기사 입니다

["300만원이면 어떤 병원도 해킹"… 성형·早産 기록까지 다 나왔다]

이름·주소·전화번호·투약·상담내용까지 인터넷 거래 성형외과·비뇨기과도… 브로커 "누구에게나 다 판다"

- 10만원에 환자 정보 2000건
포털에 'DB 판매' 검색하면 브로커 글 수백개 이상 떠 중국서 만든 메신저 사용, 송금도 중국인 환전소에서

- "병원은 은행보다 훨씬 쉽다"
중소형·개인 병원이 더 취약… 민감한 개인 정보 많아

최근 검찰이 환자 4400만명의 진료 정보 47억건을 빼돌린 혐의로 의료 정보 시스템 대표 등 24명을 기소했다. 그런데 아직도 시중에선 개인 실명 의료 정보가 줄줄 새나가고 있는 것으로 확인됐다. 본지 취재 결과 전국 각지의 병·의원이 보유하고 있는 환자 정보가 인터넷상에서 마구 거래되고 있었다.

28일 본지 취재팀은 온라인 메신저를 통해 개인 정보 판매 브로커를 접촉했다. 브로커는 "병원 디비(DB·개인 정보를 모은 데이터베이스)를 갖고 있다"며 접근해왔다. "개인 정보 한 건당 50원씩 총 2000건에 10만원입니다." 흥정에서 거래까지 걸린 시간은 한 시간에 불과했다.

잠시 후 브로커가 파일을 보내왔다. 전국 각지에 있는 산부인과, 성형외과, 비뇨기과 등을 다녀간 개인 실명 의료 정보가 수두룩했다. 이름, 주소, 휴대전화 번호는 물론이고 비뇨기과를 찾은 환자의 상담 내용, 산부인과에 다녀간 임신부의 아이 태명까지 기록돼 있었다.

브로커는 "주로 제약사 관계자나 보험 관련 사업을 한다는 이들이 환자 정보를 달라고 하는데, 필요하다는 사람은 가리지 않고 거래한다"고 했다. 그는 "자료는 병원 홈페이지를 해킹해 확보했고, 병원별로 폴더를 만들어 해킹한 자료를 모아놓고 있다"고 했다.

본지 취재팀은 브로커에게서 건네받은 '비뇨기과 환자 명단'에서 연락처와 병명(전립선비대증)이 공개된 박모씨에게 전화를 걸었다. 깜짝 놀란 박씨는 "얼마 전 전립선비대증 때문에 고생하다 수술 상담을 받은 적이 있는데 대체 내 정보가 어떻게 새어 나간 것이냐"고 했다. 그는 "의료 정보가 유출된다고 들었지만 그게 내 얘기가 될 줄은 몰랐다"고 했다.

시중에서 이뤄지는 병·의원 환자 정보 거래는 인터넷 게시 글에서 시작된다. 구글 등 검색 사이트에서 '디비(DB) 판매'로 검색만 하면 '각종 DB 실시간 판매 중입니다. 대출 DB, 병원 DB, 성인 DB…' 같은 글이 수백 건 뜬다. 개인 정보 판매 브로커의 글이다. 이들 브로커와는 인터넷 메신저로 연락한다.

개인 정보 판매 브로커들이 거래하고 있는 환자들의 개인 의료 정보. 이 파일에는 치과를 다녀간

환자의 이름, 나이, 상담 내용, 치료액 합계까지 기재돼있다. /엑셀 파일 캡처

개인 정보 판매 브로커들은 경찰 추적을 피하기 위해 카카오톡, 네이트온 같은 국내 메신저가 아닌 중국 텐센트가 개발한 메신저 큐큐(QQ)를 주로 사용한다. 인터넷 게시글 하단에 기재된 브로커의 메신저 아이디를 친구로 등록하면 채 1분도 안 돼 메시지가 온다. '어떤 디비를 원합니까.'

본지 취재팀도 같은 방식으로 브로커를 접촉해 환자 정보를 구할 수 있었다. 브로커는 '총 수백만건에 달하는 병원 DB가 있다'면서 먼저 샘플을 보내줬다. 산부인과, 산후조리원, 비뇨기과, 성형외과를 다녀간 이들의 이름, 주소, 휴대전화 번호 등이 엑셀 파일에 일목요연하게 정리돼 있었다. 병명과 진료 시각, 상담 내용, 치료비 청구 액수까지 기록된 파일도 있었다. 그는 '병원 홈페이지 해킹을 통해 빼낸 정보'라 했다.

브로커는 환자 개인 정보 한 건당 50원씩, 1만 건에 50만원을 요구했다. 그는 "한국 돈으로 은행에서 거래하면 다 걸린다"며 "서울 대림동이나 건국대 인근에 많은 중국인 환전소에서 돈을 송금해달라"고 했다. 흥정 끝에 그가 불러준 중국 은행 계좌로 10만원을 보내고 환자 정보 2000건을 넘겨받았다.

◇은밀한 정보도 손쉽게 구해

일부 파일엔 환자의 민감한 개인 정보가 모두 포함돼 있었다. A비뇨기과는 환자를 '전립선 비대증' '조루증' 등 증상별로 구분해놨다. 환자 이름 옆에 '요로 결석으로 한 번 응급실에 실려간 적이 있고, 결석 증상 비슷한 통증을 달고 사는데 원인을 못 찾고 있다'는 상담 내용이 들어간 경우도 있었다.

서울·경기 지역 유명 산부인과와 성형외과의 개인 정보도 포함돼 있었다. 병원 홈페이지에서 쓰는 아이디와 비밀번호는 물론 산부인과 개인 정보에는 배우자 이름과 출산 예정일, 아이 태명도 기재돼 있었다. 한 환자는 '자궁경부 무력증으로 인한 조산'이라고도 적혀 있었다.

직장인 A(32)씨도 얼마 전 한 브로커에게서 치과와 한의원 환자 정보 1000건(5만원)을 넘겨받았다. 그는 "보험 일을 하는 지인 부탁으로 알아봤는데, 이렇게 쉽게 구할 수 있을 줄 몰랐다"고 했다.

그래픽=김성규 기자

이처럼 인터넷에서 거래되고 있는 환자 정보는 주로 규모가 작은 중소형, 개인 병원의 환자 기록인 경우가 많다. 최근 내부에서도 환자 개인 정보 검색이 불가능하도록 보안을 대폭 강화한 대형 종합병원에 비해 규모가 작은 병원들은 개인 정보 보안이 취약한 편이다. 경찰 관계자도 "중소 병원에서 과거 한 번 빠져나간 개인 정보가 복사 과정을 거쳐 업자들 사이에서 끊임없이 공유되는 경우가 많다"고 했다.

◇대형 병원도 안심 못 해

대형 병원도 안심할 수는 없다. 실제 본지 취재팀이 브로커에게 특정 병원 해킹도 가능하냐고 묻자 "사이트당 최저 300만원을 받으며, 해킹 난이도에 따라 최종 견적이 달라진다"고 했다.

일부 대형 병원은 환자 정보를 암호화하는 등 해킹 방지 프로그램을 운영하고 있지만 대다수 병원들은 여전히 개인 정보 보호에 무관심하거나 투자를 꺼리는 것이 현실이다. 한 해커는 "해킹 난이도로 보면 병원은 은행 등 금융기관보다 훨씬 쉬운 편"이라며 "마음만 먹으면 주요 대학병원 정보도 빼낼 수 있다"고 했다.

개인 실명 의료 정보는 이를 마케팅에 활용하려는 제약업계나 보험업계에서 많이 찾는 것으로 알려져 있다.

일부 보험설계사는 이렇게 구입한 의료 정보 속 개인들에게 보험 가입 권유 전화도 돌린다고 한다. 보험업계 관계자는 "한 번 아파 본 사람들은 보험 가입에 대한 관심이 높은데, 이들에게 맞춤형으로 접근하면 보험 유치 성공률이 높다"고 말했다.

인터넷에서 거래되는 환자 정보는 대개 유출된 지 2~3년 이내의 것들이며, 최신일수록 가격이 올라간다. 또 시일이 지난 정보라 하더라도 정보 유통 시장에서는 언제든 '맞춤형 보이스피싱' 등 다른 2차 피해가 발생할 수 있다는 것이 전문가들 지적이다. 휴대전화 번호, 주소 등은 꽤 오랜 기간 바뀌지 않는 경우가 많은데, 그 유출 속도와 범위는 상상 이상이기 때문이다.

개인 실명 의료 정보엔 본인이 감추고 싶은 민감한 개인 정보가 포함돼 있어 병원 이용자들의 불안감은 더욱 커지고 있다. 주부 이명현(31)씨는 "환자 정보가 이렇게 샌다는 건 충격적"이라며 "앞으로 어떻게 믿고 병원에 가겠느냐"고 했다.

[출처] 본 기사는 조선닷컴에서 작성된 기사 입니다