연차수당 확인을 위해 관련 직원들에게 보낸 메일에 전 직원의 급여내역을 첨부한 연세의료원

연차수당 확인을 위해 관련 직원들에게 보낸 메일에 실수로 전 직원의 급여내역을 첨부한 연세의료원이 개인정보법 위반으로 과태료 처분을 받았다.

개인정보보호위원회는 27일 제17회 전체회의를 열고 개인정보보호 법규를 위반한 12개 의료기관에 총 1813만원의 과징금, 8410만원의 과태료 처분과 시정조치를 의결했다고 밝혔다.

개인정보위에 따르면 연세의료원은 급여담당자가 연차수당 확인을 위해 해당 직원들에게 메일을 보내면서 실수로 전 직원의 급여내역을 첨부해 보냈다. 개인정보가 외부로 유출되지는 않았지만 시스템 안전조치 등 관리가 일부 미흡한 사실이 확인돼 과태료 300만원 처분이 내려졌다.

바노바기성형외과는 고객관리 시스템이 랜섬웨어에 감염돼 6251명의 고객에게 협박문자가 발송되는 사고가 발생했다. 이 과정에서 개인정보 유출 사실을 이용자에게 즉시 통지하지 않는 등 개인정보법 총 4개 항목을 위반한 것으로 조사됐다. 바노바기성형외과는 총 1060만원 과태료를 부과받았다.

리뉴미피부과 화곡점 등 7개 지점도 보안시스템 관리 부실로 해킹공격을 받은 것으로 나타났다. 이 과정에서 총 21만4590건의 고객 이름과 휴대전화번호 등 개인정보가 다크웹에 노출됐다. 다크웹은 특수 웹브라우저를 사용해야만 접근할 수 있는 웹사이트로 주로 불법적인 정보가 거래된다. 리뉴미피부과는 불법 접근을 차단하지 않는 등 개인정보법 2개 항목을 위반해, 각 지점 당 과태료 600만원 처분을 받았다.

약국을 운영하는 개인 사업자가 처방전을 집 근처 분리수거장에 버린 사실이 경찰에 신고 접수된 사례도 있었다. 개인정보위는 고객 처방전을 의무 보유기간인 3년이 지난 이후에도 파기하지 않고 보관하다가 파쇄처리 없이 버리는 등 개인정보법 네 개 항목을 위반했다고 판단했다. 이외에 대한의학회는 홈페이지 관리자 인증수단의 허점을 악용한 해킹공격으로 학회 활동자 등 약 9221명의 이름과 휴대전화 번호가 유출됐다.

송상훈 개인정보위 조사조정국장은 "의료기관은 환자 건강상태 등 신체특징정보와 주민등록번호, 신용카드번호 등 다양하고 중요한 개인정보를 다루고 있어 더욱 철저히 관리해야 한다"며 "앞으로도 국민의 민감정보를 다루는 의료기관에 개인정보 보호관리와 감독을 강화해나갈 예정"이라고 말했다.