지난해 정보통신기업 및 물류기업 대규모 고객 개인정보 유출 사고로 촉발된 개인정보 보호 강화조치가 병원계에도 영향을 미칠지 주목된다. 

올해 연초부터 전남대병원, 강원대병원 등 랜섬웨어 공격으로 환자들의 민감한 정보 노출 위기가 발생하는 등 병원계도 매년 반복적인 개인정보 유출 위기에 놓이고 있기 때문이다. 

개인정보보호위원회(개인정보위)는 과징금 등 제재 실효성 강화를 위한 ‘개인정보 보호법 시행령’ 개정안을 마련, 6월 1일부터 7월 13일까지 입법예고한다고 밝혔다. 

반복적이거나 중대한 개인정보 침해행위에 대해 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 하는 게 골자다. 이는 올해 3월 공포돼 오는 9월 시행되는 개인정보 보호법 개정안의 후속조치다. 

다만 예산·인력·설비·장치 등의 투자 및 운영 등 대통령령으로 정하는 사유가 있는 경우에는 과징금을 감경해 사전적 예방투자를 유도하는 근거를 마련했다. 

구체적으로 보면, 고의·중과실로서 3년 내 위반행위 반복 및 1000만명 이상 대규모 피해가 발생하거나, 시정명령을 불이행하는 경우 위반 행위 중대성을 판단한 후 내용 및 정도, 경위 및 피해 규모 등을 종합 고려해 가중하는 방식으로 기준 금액을 산정한다. 

이후 가중·감경 등을 통해 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 절차를 체계화했다.  

아룰러 개정 법률에서 예산·인력·설비·장치 등의 투자 및 운영 등 대통령령으로 정하는 사유가 있는 경우에는 과징금을 감경하고, 과징금 감경의 상한(40%)을 정했다. 고의 또는 중대한 과실로 위반행위를 한 경우는 감경하지 않는다. 

개인정보위는 “개정안이 법 시행일인 올해 9월 11일에 맞춰 시행될 수 있도록 입법예고 기간 동안 이해관계자, 관계부처 등 의견을 수렴한 후 법제처 심사 등 절차를 거쳐 신속하게 개정을 완료하겠다”고 밝혔다. 

전남대·강원대병원 등 올해 연초부터 뚫린 대학병원, 환자 개인정보 유출 긴장 

한편, 올해는 연초부터 대형병원들이 랜섬웨어 공격으로 전산망이 마비되며 환자들의 민감한 개인정보가 유출될 위기에 처했다. 

지난 1월 전남대병원은 영상 검사 시스템이 랜섬웨어 공격을 받아 일시적인 마비가 발생했으나, 신속한 복구 작업으로 다행히 환자 개인정보 유출 등 최악의 사태는 면했다.

바로 다음날 강원대병원은 랜섬웨어 공격을 받아 원내 전산망이 전면 마비되는 상황이 발생했다. MRI(자기공명영상), CT(컴퓨터단층촬영) 등 주요 의료 영상시스템 접속이 차단되면서 외래 및 입원 환자들 진료에 막대한 차질이 빚어졌다. 

과거 2022년 대전 을지대병원, 이후 2025년 광주 기독병원 등 산발적인 공격은 있었으나, 연초에 동시다발적으로 상급종합병원의 핵심 진료망이 뚫린 것은 이례적이었다.

같은 달 인천의 한 대형병원에서도 환자의 민감한 개인정보가 담긴 전자의무기록(EMR)이 온라인 게시판에 올라와 병원 측이 내부 조사에 착수한 사건이 발생했다.

개인정보위가 지난해 1442개 공공기관을 대상으로 한 개인정보 보호수준 평가에서 대학병원인 전북대병원은 C등급, 강릉원주대치과병원은 D등급을 받으며 낮은 점수를 받았다.