2024.03.28 (목)

  • 흐림동두천 1.0℃
  • 흐림강릉 1.3℃
  • 서울 3.2℃
  • 대전 3.3℃
  • 대구 6.8℃
  • 울산 6.6℃
  • 광주 8.3℃
  • 부산 7.7℃
  • 흐림고창 6.7℃
  • 흐림제주 10.7℃
  • 흐림강화 2.2℃
  • 흐림보은 3.2℃
  • 흐림금산 4.4℃
  • 흐림강진군 8.7℃
  • 흐림경주시 6.7℃
  • 흐림거제 8.0℃
기상청 제공
기사검색

치과 개인정보 보호에 대하여

스펙트럼

치과 원장님들은 개인정보보호 자율점검, 개인정보 보호교육, 성희롱 예방교육, 장애인 인식개선 교육, 아동학대 신고의무 교육 등 이름조차 익숙하지 않은 교육을 매년 1회이상 하게 되어 있습니다. 몇 년 전과 비교하면 참 귀찮은 일들이 많이 생겼습니다.

그냥 쿨하게 이런 교육 정도는 무시하시는 원장님도 계시겠지만, 그렇다 하더라도 개인정보 보호에 대해서는 꼭 법 때문이 아니더라도 신경을 쓰시면 좋겠습니다.

저희 덴트웹 초창기에 일어났던 일인데, 직원이 다른 치과로 이직하면서 환자 전화번호를 모두 엑셀파일에 저장해 가서 환자들에게 전부 문자를 보내 새로운 치과로 오시라고 광고를 한 사례가 있었습니다. 그 이후로는 덴트웹의 경우 대량으로 환자 정보를 저장하려면 저장하는 사람의 개인 공인인증서로 서명을 해야만 전화번호 등이 저장되도록 변경하기는 하였습니다만, 기본적으로는 직원별로 권한을 다르게 계정을 생성하여 로그인 해야 하는 것을 지키지 않고, 원장님 아이디 하나로 전 직원이 덴트웹을 사용해서 생긴 일이었습니다.(개인정보 보호법에 따라 청구 프로그램 로그인 시에는 청구프로그램을 사용하는 직원마다 각각 계정을 생성하여 최소한의 권한만 부여하여 사용하도록 되어 있습니다.)

개인정보 보호법에서는 이런 개인정보 유출 사고가 일어났을 때, 누가, 언제, 어디서 개인정보를 빼냈는지 알 수 있도록 하기 위해 접속로그를 남기도록 요구하고 있습니다. 그런데 얼마 전 개인정보 보호법과 관련된 “개인정보의 안전성 확보조치 기준” 개정안이 행정예고 되었습니다. 치과에서 매년 하고 계시는 “개인정보 자율점검”의 내용과 직접적인 관계가 있는 고시의 개정안인데요. 행정예고는 끝났고 아직 개정 고시는 나오지 않은 상태이지만, 이번 개정 고시의 주된 변경 내용은 개인정보를 열람, 취급한 로그를 더 구체적으로 자세히 기록하고, 더 오래 보관하도록 하고, 개인정보 파일을 다운받는 경우 다운로드 사유를 함께 기록하도록 한 것입니다.

결국 개인정보 유출사고가 일어났을 때, 누가, 언제, 어디서, 누구의 데이터를 유출시켰는지 로그를 통해서 꼭 찾아내라는 얘기인데, 이번 고시 개정안이 확정될 경우 작업 내용에 대한 로그의 범위가 늘어나고, 보존 기간도 기존 6개월에서 2년으로(2022년부터는 3년, 2025년부터는 5년으로 연장됨) 대폭 늘어나게 됩니다. 무언가 작업을 했던 로그 대부분이 2년 이상 보존되게 된다는 점에서 건강보험공단 현지조사나 국세청 세무조사 자료로도 활용하겠다는 의도로도 볼 수 있을 것 같습니다.

어쨌거나, 개인정보 보호를 위해서 치과에서 해야 할 것들이 있는데, 꼭 개인정보 보호법 때문이 아니더라도 치과에서 지켜 주셔야 할 가장 중요한 것 몇 가지를 말씀드리고 싶습니다.

우선, 청구 프로그램이나 전자차트 프로그램을 사용하실 때 원장님 계정 하나로 모든 직원이 공용으로 사용하는 경우가 있는데, 이런 경우 앞의 예와 같은 개인정보 유출사고를 막을 수 없습니다. 반드시 직원별로 각각 계정을 생성하여 최소한의 필요한 권한만 부여하여 각자의 아이디로 로그인하여 청구 프로그램을 사용해야 합니다.(행정안전부에서 개인정보보호 점검 실사를 나왔을 때도 이 부분을 아주 중요하게 체크하니 꼭 지켜 주시기 바랍니다.)

두번째는 주기적인 윈도우, 백신 업데이트와 이상한 이메일은 절대 열지 말고 바로 삭제하시라는 것입니다. 덴트웹을 운영하다 보면 랜섬웨어에 걸렸다고 연락오는 치과가 한 달에 1~2곳정도 꼭 있는데, 많은 종류의 악성코드나 랜섬웨어나 등은 윈도우 운영체제와 백신 업데이트를 잘 하는 것만으로도 방지되는 경우가 많습니다. 그리고, 요즘 온갖 피싱 메일들이 가끔 오는데 “저작권 위반 관련”, “공정거래 위원회”, “입사 지원” 등등등… 의 내용으로 이상한 첨부파일을 넣어서 메일이 오는 경우가 있습니다. 제목을 보면 메일을 읽어보고 싶은 마음이 굴뚝 같지만, 모두 악성코드를 심기위한 메일들이니 바로 삭제하시고 절대 첨부파일을 열지 않도록 주의하시기 바랍니다.

마지막으로, 윈도우 운영체제의 “사용자 계정 컨트롤(UAC)”은 꼭 켜고 사용하시기 바랍니다. 관리자 권한이 필요한 프로그램을 실행시킬 때 “이 앱을 실행하도록 허용하시겠습니까?”라고 뜨는 창이 귀찮다고 UAC를 꺼 두는 경우가 있는데, UAC가 꺼져 있으면 악성코드나 랜섬웨어 등도 아무 제약없이 관리자 권한을 획득하여 데이터를 손상시킬 수 있습니다. 피싱 메일의 첨부파일을 실수로 다운받아 실행시켰을 때 UAC가 켜져 있다면, “실행 하시겠습니까?”라고 한번 물어보기 때문에 “아니오”를 눌러 실행되지 않도록 할 수 있는 안전장치가 하나 더 생기게 됩니다.(인터넷 검색창에서 “사용자 계정 컨트롤”로 검색하시면 UAC를 켜는 방법을 쉽게 찾을 수 있습니다.)

얼마 전 기사를 보니 1년에 한번씩 심평원 사이트에서 시행하던 개인정보보호 자율점검이 올해부터는 치협 주관으로 바뀐다고 합니다. 개인정보보호 자율점검 항목을 보면 치과에서 도저히 하기 어려운 것도 있는 것이 사실이지만, 올 해에도 개인정보보호 자율점검을 꼭 받으시고 각 항목의 내용을 읽어 보시면서 “치과에서 이런 부분도 지켜야 하는구나”라고 인식하고 가능한 것만이라도 실천해 주시면 좋겠습니다.

※ 이 글은 본지 편집방향과 다를 수 있습니다.

이현욱 (주)덴트웹 대표