기사입력시간 15.10.16 04:49최종 업데이트 15.10.16 04:49

제보

환자정보 유출사건, '암호화'가 쟁점

약학정보원 재판, 개인정보 여부 놓고 공방

검찰 "암호화해도 개인정보", 피고 "식별 의도 없다"



암호화한 주민등록번호는 개인정보에 해당되는가?
 
이 점이 환자 개인정보 유출 사건 형사재판의 쟁점으로 떠올랐다.
 
개인정보보호법 제23조는 개인의 동의를 얻은 경우에만 민감정보 처리를 할 수 있도록 명시하고 있어, 암호화된 정보가 개인정보에 해당한다면 동의를 구하지 않은 처리자는 범법자가 된다.

 
서울중앙지방법원 제22형사부가 15일 진행한 약학정보원 등의 개인정보보호법 위반 2차 공판준비기일에서는 이 같은 내용이 주요 쟁점으로 다뤄졌다.
 
이 사건은 개인정보범죄 정부합동수사단이 지난 7월, 병원·약국에서 환자정보를 불법 수집·판매한 혐의로 약학정보원, 지누스, 한국IMS헬스 등 관계자 24명을 기소한 사건이다.
 
약학정보원(약학 관련 재단법인)과 지누스(병‧의원 보험청구심사 프로그램 공급업체)는 환자 개인정보를 수집해 환자 동의 없이 한국IMS헬스(다국적 의료통계업체)에 제공한 혐의, 한국IMS헬스는 지누스와 약학정보원으로부터 개인정보를 받아 미국 IMS헬스 본사에 제공한 혐의를 받고 있다.


 

쟁점⓵ 암호화
 
이날 검찰과 피고인들은 개인정보 암호화를 주요 이슈로 내세웠다.
 
피고인들은 문제가 된 환자 개인정보를 있는 그대로 제공하지 않고 암호화했다. 주민등록번호의 경우 13~15자리 영문으로 치환하는 방식이다.
 
이렇게 암호화된 정보는 환자를 다른 사람과 '구분'할 수는 있지만, 누구인지 '식별'할 수 없는 정보이므로 개인정보가 아니라는 게 피고인들의 주장이다. 
 
한국IMS헬스 변호인은 "예컨대, 연령별 고지혈증 유병률 같은 의미있는 의료통계를 내기 위해서는 환자의 나이, 성별 정보가 필요하다. 제공받은 환자 정보는 A환자와 B환자가 같은 사람인지 아닌지 '구분'하기 위한 키(KEY)값에 불과할 뿐 개인을 식별할 의사와 필요성이 전혀 없다"고 설명했다.
 
변호인은 "본사도 전세계 수억명 환자의 의료정보를 통계 처리할 뿐 개개인의 정보를 관리하지 않는다"면서 "때문에 IMS는 유럽, 일본 등 각국 지사에서 암호화된 정보를 제공받고 있지만, 어떤 국가에서도 이것을 문제 삼은 적 없으며, 특정인의 의료정보가 식별 가능한 형태로 유출된 적도 없다"고 강조했다.
 
약학정보원 변호인 역시 "서울대 법대 교수로부터 '암호화해 복호화가 이뤄질 수 없는 주민번호 자체는 고유 식별정보로서 가치가 없고, 개인정보보호법 보호 대상이 아니다'는 의견서를 받았다"면서 "그만큼 학계에서도 암호화된 주민번호 관련 논란이 있다"고 피력했다.
 
검찰은 단호하다. 암호화는 안정성 확보조치의 일환일 뿐, 암호화를 했더라도 명백한 개인정보라는 것이다.
 
검사는 "특정한 개인을 식별할 수 있는 성명, 주민번호, 결제정보, 주소 등은 모두 개인정보에 속한다"면서 "이를 암호화했다고 해서 개인정보성이 없어지는 것은 아니다. 합리적으로 결합 가능하면 개인정보성이 인정된다"고 단정했다.
 

쟁점⓶ 치환규칙 공유
 
게다가 주민번호를 영문으로 바꾼 치환규칙 조차도 암호화라고 볼 수 없는 수준이라는 지적이다.
 
그마저 피고인들은 서로 치환규칙을 공유해 암호화의 의미를 상실했다는 것.
 
검사는 "일방향 암호화는 원래 값이 무엇인지 알 수 없도록 하는 방식인데, 암호화하는 측에서 암호화하기 전의 데이터와 이후 데이터를 함께 제공해 암호화하지 않고 제공한 것과 같은 결과가 나타났다"고 말했다.
 
검사는 "제공받는 측에서 암호화 값을 다시 주민번호로 복호화할 수 있기 때문에 암호화의 의미가 전혀 없다"고 못박았다.
 

쟁점⓷ 의도 고려해야 하나?
 
피고인들이 강력하게 주장하는 것 중 하나는 개인정보 수집 및 제공 '의도'가 없었다는 점이다. 
 
IMS 변호인은 "검찰이 문제 삼는 암호화는 개인정보보호법 시행(2011년 9월) 이전인 2010년 10월부터 사용한 것"이라며 "법 시행 이전부터 개인정보의 비식별화를 위해 암호화해 제공받던 것을 법 시행 후 암호화 방법이 문제되면서 범죄 취급받는 것"이라고 지적했다.
 
때문에 검찰은 현재의 관점에서 과거의 미흡한 암호화 방식에 집중할 게 아니라, 암호화의 이유와 복호화 의도가 있었는지 고려해야 한다는 것이다. 
 
변호인은 "암호화 기술은 계속 진화한다. 현재 기준으로 과거 암호화 방식을 범죄로 평가하는 것은 신중해야 한다"면서 "피고인들은 개인정보를 비식별화하기 위해 당시 지식과 경험 안에서 나름대로 암호화 한 것이고 복호화의 의도는 전혀 없었다"고 강조했다.

#개인정보보호법 # 환자 개인정보 # ims # 약학정보원 # 지누스 # 메디게이트뉴스

송연주 기자 (yjsong@medigatenews.com)열심히 하겠습니다.
댓글보기(0)

전체 뉴스 순위

칼럼/MG툰

English News

전체보기

자료실

사람들