전공의, 문서 지우고 튀어라?…보안업계 "무모하다"

[서울=뉴시스] 정병혁 기자 = 전공의 업무중단이 이어지고 있는 23일 서울시내 한 공공병원에서 의료진들이 대화를 나누고 있다. 2024.02.23.

"인계장을 의국 공용폴더에서 지우고 나오라"
"세트오더(사전 작성된 처방)도 이상하게 바꿔버려라"

의대 증원을 둘러싼 갈등이 날로 격화하는 가운데, 집단행동에 돌입한 전공의들이 병원 전산망 내 자료를 삭제하거나 변조하도록 종용하는 글이 인터넷에 유포돼 우려를 낳고 있다. 보안업계에선 이 같은 글을 행동에 옮길 경우 전산기록이 남아 곧바로 적발될 가능성이 높다는 경고가 나온다.

25일 보안업계에 따르면 최근 의사 커뮤니티 '메디스태프'에는 "병원 나오는 전공의들 필독"이라는 제목으로 "인계장을 바탕화면과 의국 공용폴더에서 지우고 나오라"는 글이 게시됐다. 이 글에는 "세트오더도 다 이상하게 바꿔버려라"며 "복구 가능한 병원도 있다니까 제멋대로 바꾸는 게 가장 좋다", "오더 중 2~3개를 삭제하라", "용량을 10분의 1로 줄이라" 등의 내용도 담겼다. 경찰은 작성자를 추적하기 위해 지난 22일 서울 서초구 메디스태프 본사에 압수수색을 실시하는 등 강제수사에 착수했다.

전공의 대다수가 근무하는 상급종합병원에선 의료진이 진료·간호 업무를 위해 EMR(전자의무기록)시스템과 OCS(처방전달 시스템)을 이용한다. 연간 매출 혹은 세입이 1500억원 이상인 상급종합병원은 정보통신망법상 ISMS(정보보호 관리체계 인증) 의무화 대상이다. KISA(한국인터넷진흥원) 현황에 따르면 전국 상위 병원 50여곳은 이 인증을 취득했다.

ISMS 인증요건의 주요사항 중 하나는 '로그 및 접속 기록'에 대한 시스템 마련과 관리다. 인증을 취득한 기관은 사용자의 접속일시와 접근한 파일 등에 대해 적어도 6개월 이상으로 정해진 기간 동안 관련 기록을 보존하게 된다. 이 같은 접속기록 보존은 개인정보보호법에도 안전성 확보조치 의무의 일부로 규정돼 있다.

한 보안업체 관계자는 "병원은 다량의 개인정보가 오가는 탓에 유출사고 방지와 사후조사를 위해 사용자 이용기록을 남길 수밖에 없는 구조"라며 "무단으로 문서를 삭제·변조한 사실이 드러날 경우 누가 했는지 쉽게 알 수 있다"고 말했다. 다른 관계자는 "EMR 시스템·OCS 등 전산망이 아닌 병원 컴퓨터에 파일 형태로 저장된 문서를 훼손하더라도, 보안 침해사고 조사는 CCTV 영상과 건물 출입기록 대조를 병행한다"며 "원격접속이 불허되고 건물 내 컴퓨터를 주로 사용하는 병원은 침해자 적발이 쉽다"고 밝혔다.

직장인이 퇴사하기 전 업무용 파일을 훼손해 재판에 넘겨진 사건은 드물지 않다. 대법원은 2022년 1월 백업하지 않은 자료를 인수인계 없이 삭제한 회사 임원 A씨에 대해 징역형 집행유예를 확정했다. 올해 1월에는 회사 구글 계정에서 파일 4216개를 삭제한 혐의로 기소된 직원 B씨가 1심에서 벌금형을 선고받은 사실이 보도되기도 했다. 특히 B씨는 파일을 즉시 복구 가능한 '휴지통'에 옮겨놓은 것에 불과하다고 항변했지만 유죄 판결을 면하지 못했다.


법조계에선 전공의들이 이 같은 행위를 할 경우 생명과 결부된 '진료'가 방해되는 만큼 형량 산정이 불리해질 것이란 전망이 나온다. 의료법은 지난해 11월 의사에게 금고형 집행유예 이상이 확정되면 법률상 결격사유가 있는 것으로 보고 범죄 종류와 상관 없이 의사면허를 취소하도록 개정됐다.