온타리오 ‘환자 기록 엿보기’ 만연한 대형 병원 조사 착수

  의사·간호사 등 직원들이 환자 개인정보 무단 열람… 2023~2025년 사이 다수 발생 전처가 전남편 기록 뒤지거나 이웃 정보 훔쳐봐… 병원 측 대응 미흡 지적 개인정보보호위, “조사 즉시 전산 접근권 차단 및 신속한 피해 고지” 명령   더럼 지역의 대형 병원 네트워크인 레이커리지 헬스(Lakeridge Health) 소속 직원들이 환자들의 민감한 의료 기록을 상습적으로 무단 열람해온 사실이 드러나 온타리오주 개인정보보호위원회(IPC)가 고강도 조사에 착수했다.   의사부터 서기까지… 충격적인 ‘스누핑(Snooping)’ 실태   최근 공개된 IPC 결정문에 따르면, 2023년부터 2025년 사이에 레이커리지 헬스에서 발생한 무단 정보 접근 사례에는 의사, 유닛 클럭(Unit Clerk), 임상 실습생, 영상의학 기술자, 등록 실무 간호사(RPN) 등 다양한 직군이 연루되었다. 특히 한 의사는 감사 결과 무려 326명의 환자 정보를 부적절하게 열람한 사실이 밝혀져 두 차례나 병원 내 권한이 정지되기도 했다. 또한, 한 유닛 클럭은 병원 동료가 사망했다는 공지를 받은 직후, 사망한 동료의 전자 의료 기록에 접속한 것으로 드러났다.     전처가 전남편 기록 뒤지고 이웃 정보까지 훔쳐봐   개인적인 관계를 악용한 범죄 사례도 구체적으로 밝혀졌다. 한 남성은 자신의 전처가 레이커리지 헬스의 유닛 클럭으로 근무한다는 점을 이용해 자신의 의료 정보를 훔쳐봤을 것이라고 의심해 병원에 신고했다. 병원 측 조사 결과, 해당 직원은 2023년 4월에만 전남편의 기록에 두 차례 무단 접속한 것이 확인되었다. 또한, 한 환자는 이웃집에 사는 병원 직원이 자신과 가족 3명의 의료 정보를 훔쳐본 것 같다고 제보했다. 조사 결과 해당 직원은 업무상 아무런 관련이 없음에도 불구하고 23차례나 이웃 가족의 정보를 검색한 것으로 드러났다.   병원 측의 안일한 대응… ‘소 잃고 외양간 고치기’   이번 조사에서 IPC는 레이커리지 헬스의 미흡한 사후 처리를 강하게 질책했다. 병원 측은 무단 접근 의심 사례를 조사하는 동안 해당 직원의 전산 접근 권한을 즉시 차단하지 않아, 조사 중에도 추가적인 정보 유출 위험을 방치했다. 또한 피해 환자들에게 사실을 알리는 데에도 상당한 시간이 걸린 것으로 나타났다. 레이커리지 헬스는 과거에도 유사한 사건이 발생했을 때 "환자 보호 범위를 명확히 교육하고 시스템을 개선하겠다"고 약속했으나, 이후에도 2023년 8건, 2024년 8건, 2025년 상반기에만 5건의 무단 접근 사례가 보고되는 등 자정 능력을 상실한 모습을 보였다.   IPC, 강제 명령 하달… “즉각적인 접근 차단 및 통보 의무화”     온타리오 개인정보보호위원회는 레이커리지 헬스에 다음과 같은 강제 조치를 명령했다.   • 즉각적 조치: 무단 접근 조사 시작과 동시에 해당 직원의 의료 기록 접근권을 즉시 정지할지 여부를 결정할 것. • 투명한 절차: 접근권 차단 기준과 조사 단계별 타임라인을 명확히 설정할 것. • 신속한 고지: 징계 절차가 완료되지 않았더라도 무단 접근 사실이 확인되면 즉시 피해자에게 알릴 것.   '호기심’이라는 변명 뒤에 숨은 심각한 범죄 행위   병원은 환자가 가장 취약한 순간 자신의 가장 민감한 정보를 맡기는 곳이다. 의료진이 업무 외 목적으로 환자의 기록을 들여다보는 것은 '신뢰의 파괴'이자 명백한 범죄다. 레이커리지 헬스에서 의사가 수백 명의 기록을 뒤지고, 전처가 전남편의 정보를 훔쳐보는 일이 반복된 것은 병원 내부에 흐르는 안일한 보안 의식을 단적으로 보여준다. 시스템 개선보다 시급한 것은 "환자의 비밀은 생명만큼 소중하다"는 기본적인 윤리 의식의 회복이다. 강력한 징계와 실시간 감시 체계가 작동하지 않는 한, 환자들의 소중한 정보는 언제든 누군가의 가십거리로 전락할 수 있다. 토론토 중앙일보 편집팀 [email protected]온타리오 환자 환자 개인정보 환자 정보 의료 기록

2026.04.30. 11:17

개인정보 유출 병원 '줄소송' 위기…굿사마리탄 등 소유 'PIH'

LA 한인타운 인근 굿사마리탄 병원을 비롯해 남가주에 여러 개의 병원을 소유하고 있는 ‘PIH 헬스 호스피털’이 환자 개인정보 관리 소홀로 피소됐다.  ‘PIH 헬스 호스피털’은 지난해 12월 랜섬웨어 공격으로 환자 1700만 명의 정보가 유출된 것으로 알려진 바 있다. 이번 소송은 피해자 중 한 명이 제기한 것이다.     LA 데일리뉴스는 위티어 지역 거주자 페르디난드 리베라가 본인의 민감한 개인정보 보호를 소홀히 했다며 PIH 헬스 호스피털을 상대로 소송을 제기했다고 지난 5일 보도했다.   리베라는 소장에서 PIH 헬스 호스피털이 환자 개인정보 관리, 사생활 침해 보호 등에 실패했다며 손해배상을 요구하고 있다.     신문은 리베라 케이스가 첫 소송이며, LA 카운티 수피리어 법원에는 PIH 헬스 호스피털과 관련한 손해배상 청구 소송이 12건 이상 접수됐다고 전했다.   앞서 지난해 12월 1일 해커들은 PIH 헬스 호스피털 환자들의 개인정보를 탈취했다며 요구 조건을 공개한 바 있다. 당시 해커들은 PIH 헬스 호스피털이 요구 조건을 수용하지 않을 경우 환자 정보를 인터넷에 공개하겠다고 협박했다. 〈본지 2024년 12월 16일 A-4면〉   유출된 정보는 환자의 정밀진단 및 검진 기록 810만 건 이상이 담긴 개인정보로 알려졌다.   해킹 사건 직후 PIH 헬스 호스피털 소유의 LA 굿사마리탄 병원, 다우니, 위티어 병원은 랜섬웨어 공격으로 환자 진료 및 예약 등 서비스에 문제가 발생했다. 당시 병원은 환자와의 연락, 메시지 관리, 스케줄 확인 등에도 어려움을 겪었다. 일부 수술 일정도 연기되거나 취소됐다.   한편 PIH 헬스 호스피털이 해커들의 요구 조건을 수용했는지는 알려지지 않았다. 데일리뉴스는 PIH 헬스 호스피털 측이 리베라의 소송에 관해 언급하지 않았다고 전했다. 다만 PIH 헬스 호스피털 아만다 엔리쿠에즈 대변인은 “우리는 커뮤니케이션, 임상 신청 및 기술 등을 온라인 상태로 안전하게 되돌리고 있다”고 전했다. 김형재 기자개인정보 줄소송 개인정보 유출 환자 개인정보 개인정보 보호

2025.01.07. 21:38