서울대학교병원에서 직원 간 내부 업무 메일을 발송하는 과정에서 수신처를 잘못 지정해 환자 1만 6000여 명의 진료 기록이 외부로 유출되는 사고가 발생했다. 병원 측은 사고 인지 직후 해당 메일을 회수하고 관계 기관에 신고 절차를 마쳤다고 밝혔다.

병원 측의 설명을 종합하면 사고는 지난 14일 오후 2시 7분쯤 발생했다. 원내 직원이 동료에게 업무 관련 자료를 보내려다 수신자 이메일 주소를 오기입하면서 외부인 1명에게 환자 정보가 담긴 파일이 전송됐다. 유출된 자료에는 산모와 신생아의 이름, 환자 번호, 생년월일, 신체 정보(키·체중), 산과력, 성별, 검사 결과 등 민감한 의학적 정보가 포함된 것으로 확인됐다.

다만 병원 측은 이번 유출 항목에 주민등록번호와 휴대전화 번호 등 핵심 식별 정보는 포함되지 않았다고 설명했다. 사고 발생 직후 해당 직원이 자진 신고했으며, 병원 전산 시스템 확인 결과 수신자가 아직 해당 메일을 열람하지 않은 미수신 상태인 것으로 파악됐다.

서울대병원은 즉각 수신자에게 메일 삭제를 요청하는 한편 이메일 서비스 운영업체에 연락해 추가 확산 방지 조치를 취했다. 개인정보보호법 등 관련 법령에 따라 사고 내용을 개인정보보호위원회와 교육부에 신고하고, 피해 대상자들에게도 개별 통지 절차를 진행 중이다.

병원 관계자는 유출 사실을 인지한 즉시 대응팀을 가동해 확산 차단에 주력했다며 향후 이와 같은 개인정보 유출 사례가 재발하지 않도록 내부 관리 체계와 직원 교육을 대폭 강화하겠다고 말했다.

이번 사고는 외부 해킹이 아닌 내부 직원의 단순 실수로 인해 대규모 환자 정보가 노출됐다는 점에서 병원 내 정보 취급 보안 체계의 허점을 드러냈다. 대학병원 특성상 민감한 의료 데이터가 빈번하게 공유되는 만큼 메일 발송 전 승인 절차나 외부 메일 차단 시스템이 제대로 작동했는지에 대한 점검이 요구된다.

환자들의 진료 정보는 재식별될 경우 2차 피해로 이어질 가능성이 큰 만큼 병원 측의 후속 조치와 별개로 당국의 조사 결과에도 관심이 쏠리고 있다. 이번 유출 사고로 인해 공공 의료기관의 개인정보 관리 책임과 시스템 보안 수준을 둘러싼 논란은 당분간 지속될 것으로 보인다.

기존 보안 매뉴얼의 실효성 여부와 함께 오송신 방지 기술 도입 등 실질적인 재발 방지책 마련이 시급하다는 지적이 나온다.