개인정보 중 가장 치명적인 개인 ’의료’ 정보

대표적인 게 보이스피싱이죠. 환자들은 질병을 가지고 있잖아요. 가족한테 이 환자가 응급상황이 발생해서 빨리 입금해야 한다고 범죄자가 거짓말을 했을 때, 그 범죄자가 환자의 개인정보를 가지고 있으면… 누가 그 개인정보를 알 거라고 생각하겠어요. 그러니까 선뜻 믿고 돈을 송금하는 일이 충분히 생길 수 있죠.

갑상선암을 앓고 있는 환자단체연합회 안기종 대표의 말입니다. 기법이 날로 진화하는 보이스피싱과 개인 질병 정보가 결합한다면? 훨씬 심각한 범죄가 일어날 수도 있다는 이야기입니다.

개인 의료정보에는 이름이나 주민등록번호 등 기초적인 개인정보에 더해, 개인의 병력이나 처방약 등에 관한 정보까지 담겨 있습니다. 전문가들은 개인 질병 정보가 원치 않게 공개될 경우 질병을 가진 사람이 각종 사회적 차별을 받을 수 있고, 상업적으로 활용되면 보험 가입이 거부되거나 각종 표적 마케팅에 노출되는 등의 부작용이 생길 수 있다고 지적합니다. <건강과 대안>이상윤 연구위원(의사)의 말을 들어볼겠습니다.

우리나라 보험회사는 질병이 있는 사람은 보험 가입 잘 안 해주죠. 고혈압이 있으면 보험료를 더 높여서 받거나 건강 문제가 있으면 아예 보험 가입을 안 해주기도 합니다. 개인 의료정보가 오픈돼서 보험사가 어떤 사람의 병력을 알게 되면 굉장히 높은 보험료를 청구하거나 아예 보험 가입을 거부할 근거가 될 수 있습니다.

“보관이 아니라 ‘쓰루’(Through,통과)였다”

그래서 개인 질병 정보는 겹겹이 보호받고 있습니다. 의료법에서는 의료행위 당사자가 아닌 제3자가 환자기록을 열람할 수 있게 해서는 안 된다고 못박고 있고, 개인정보보호법에서는 환자 동의 없이 진단 및 처방 정보가 유통되지 못하게 막고 있습니다. 유출될 경우 큰 위험성이 있기 때문에 규제가 많을 수 밖에 없습니다.

하지만 법에 나온 것처럼 개인의 질병 정보가 잘 보호받고 있을까? 작년 6월 뉴스타파는 SK텔레콤이 개인 질병 정보를 수집한 뒤 약국에 판매하고 있다는 의혹을 단독으로 보도했습니다. 당시 SKT측은 뉴스타파에 보낸 설명서를 통해 현재 개인정보를 수집하고 있지 않으며, 서버로 전송된 자료는 7일 이내에 자동으로 삭제된다고 말했습니다. 뉴스타파의 의혹 제기가 근거 없다는 주장이었습니다.

하지만 보도 1년여가 지난 7월 23일, 검찰과 정부가 함께 꾸린 개인정보범죄 정부합동수사단은 뉴스타파 보도와 일치하는 수사 결과를 발표했습니다. SK텔레콤이 2011년부터 약 3년간 모두 7802만건의 환자 개인 정보를 무단 수집한 뒤 약국에 팔았다는 내용이었습니다. 환자의 개인 정보는 건당 50원에 거래됐고, SK텔레콤은 36억 원 가량의 불법 수익을 올린 혐의를 받고 있습니다.

하지만 여전히 SK텔레콤은 문제가 없다는 입장입니다. SK텔레콤 관계자는 검찰 수사 결과에 불만을 표시하며, 의료법 위반 여부도 아직 다퉈볼 여지가 있는데 검찰이 다른 개인정보 판매 업체들과 묶어서 함께 발표하는 바람에 기업 이미지 손상을 입었다는 것입니다. 또한 SK텔레콤 서버에 환자 개인 의료 정보가 거쳐갔던 것은 사실이지만 “보관이 아니라 쓰루(through, 통과)였다”면서 개인정보의 무단 수집은 없었다는 종전의 입장을 되풀이했습니다.

활용 가치가 높은 환자 개인 정보를 SKT는 정말 ‘통과’만 시켰을까? 확실한 검증을 위해서는 서버를 들여다보는 수밖에 없습니다. 1년여 전 취재 당시 SKT는 뉴스타파 취재진의 공개 검증 요청을 처음에 수용했다가, 취재진이 보안 전문가와 동행해 서버를 검증하겠다고 하자 납득하기 어려운 이유를 들어 안되겠다며 말을 바꿨습니다.내부 보안규정상 검증이 어렵다는 말이었습니다. 하지만 처음 검증 요청을 했을 때 SK텔레콤 같은 IT 대기업에서 내부의 기본적 보안 규정조차 검토해보지 않고 공개 검증 요청에 응했다는 것은 납득하기 어렵습니다. 전문가가 가서 제대로 들여다 보면 불법적인 환자 정보 수집 등이 드러날 가능성이 있어서 검증 요청을 거부한 것일 수 있습니다.이번 검찰의 수사 결과 발표로 판단해 보면 그렇습니다.

의료계의 빅브라더를 꿈꾸는 재벌들

보건의료단체연합 변혜진 기획실장은 SKT와 같은 재벌 대기업이 3년간 36억 원의 이익을 얻기 위해 전자처방전 사업을 시작했겠냐고 반문합니다. 다른 목적이 있었을 것이라는 뜻입니다. 당장 손해를 보고 위법 소지까지 감수하면서 이 사업을 강행했던 이유는 무엇이었을까요? 그 속뜻을 엿볼 수 있는 대목이 여기 있습니다. 전자처방전 사업을 왜 시작했냐고 묻는 뉴스타파의 질문에 SK텔레콤은 이렇게 답했습니다.

정부 정책에 발맞추어 기존 의료산업도 ICT 관점에서 혁신할 수 있는 부분이 있을 수 있다는 가능성의 관점에서 검토하였던 것임

“기존 의료산업도 ICT관점에서 혁신할 수 있는 가능성”이라는 말은 결국 정보통신기술(ICT)기업인 SKT도 기존 의료산업에 뛰어들 사업 기회가 생기고 있으니 앞으로 이 사업을 통해 혁신을, 또 이익을 추구해 보겠다는 뜻으로 읽힙니다.

SKT뿐만 아니라 최근 재벌 대기업들은 너나없이 의료 산업에 뛰어들고 있습니다. SK그룹의 계열사들이 서울대학교 병원과 합작해서 원격의료 산업에 진출하고 ‘헬스케어 ICT 솔루션’이라는 이름의 병원정보시스템을 구축했습니다. 또 삼성전자나 삼성생명 등 삼성그룹의 핵심 계열사들은 자신들의 기존 사업과 의료산업을 면밀하게 연결시키면서 의료 영리화에 앞장서고 있습니다. SK텔레콤의 전자처방전 사업은 대기업들이 구상하는 의료산업의 거대한 청사진 가운데 시작점이었을 가능성이 높습니다. 기업 입장에선 먼저 환자 개인의 정보에 대한 데이터 베이스가 구축돼야 효과적인 사업을 할 수 있기 때문입니다. 보건의료단체연합 변혜진 기획실장도 비슷한 설명을 합니다.

이 사람이 어디가 어떻게 아팠고 무슨 약을 자주 먹고 어느 병원을 자주 가고 어느 것에 관심이 많고 이런 개인 질병정보를 알게 되면, 의료기기 판매나 마케팅에도 굉장히 성공할 수 있거든요. 이런 것들 때문에 대기업들이 개인 질병정보를 원해왔었던 거죠.

개인의 질병 정보를 ‘사업’에 활용한다면 기업으로선 금맥이 될 수 있겠지만 환자 입장에선 개인 정보 유출뿐 아니라 향후 의료 비용의 폭증으로 더 큰 어려움을 겪을 수도 있습니다. 지난해 6월 뉴스타파 제작진을 만난 참여연대 사회복지위원회 이찬진 변호사의 경고는 지금 들어도 울림이 있습니다.

의료정보를 가지고 결국 생명과 직결되는 비즈니스를 할 수 있으면, 그 생명에 관한 위험을 상품화할 수 있을 것이고, 거기서 받아낼 수 있는 이윤은 일반 제조업의 상품하고는 비교할 수 없는 수익이 창출될 가능성이 높죠.

여기까지 살펴보면 SKT의 전자처방전 사업의 속뜻을 충분히 추측해 볼 수 있을 것 같습니다. 지금은 중단됐지만 한때 80% 이상의 병의원에서 자기도 모르게 SKT 서버로 처방전 정보가 전송됐다고 하는데요. 지난 3년간 병원에 한 번이라도 가셨던 분들, 문득 불쾌감이 느껴지지 않으세요? 그래서 제가 직접 제 개인정보가 불법 수집돼서 약국에 판매된 것이 아닌지를 SKT와 정부에 따져 물어 봤습니다. 결과는? 궁금하면 뉴스 영상을 보십시오.

얼마 전 트위터에서 국세청의 고액세금체납자 명단 지도 서비스가 인기를 모았습니다. 국세청은 국세기본법에 따라 체납기간 1년 이상, 체납 국세가 2억 원 이상인 고액상습체납자의 명단을 공개하고 있는데요, 국세청 홈페이지에서는 이 명단을 지도 형태로 공개하여, 고액체납자들의 성명, 직업(업종), 주소, 체납액, 체납건수, 체납요지 등 다양한 정보를 누구나 살펴볼 수 있도록 하고 있습니다(링크). 해당 서비스가 인기를 끌면서, 많은 트위터 이용자들이 강남구에 고액체납자들이 몰려 있다는 사실을 알리거나, 전직 대통령의 세금 체납 액수를 공유하기도 했습니다.
 

▲ 최근 트위터에서 인기를 끈 고액상습체납자 명단 지도 ⓒ 트위터

명단공개 제도의 효과

이렇게 고액상습체납자의 명단을 일반에 공개하는 것을 행정용어로는 '공표'라고 합니다. 행정상 공표에는 법적인 의무를 위반하거나 이를 이행하지 않은 경우, 성명이나 위반 사실 등을 일반에게 공개하여 명예나 신용에 타격을 주어, 법적인 의무를 이행하도록 간접적으로 강제하는 기능이 있습니다. 한편으로는 이를 지켜보는 사람들에게 법적 의무를 이행해야겠다고 마음을 먹게 만드는 효과도 있겠죠. 

한국에는 다양한 공표 제도가 있습니다. 예를 들어, 구청 홈페이지를 찾아보면 식품위생법을 위반한 식당의 상호명과 소재지, 대표자, 행정처분 등의 내용을 찾아볼 수 있습니다. 식품의약품안전처에서 운영하는 식품안전나라 웹사이트에서는 식품위생법을 위반하여 행정처분을 받은 업체들을 공개합니다(링크). 이 경우 위생적으로 문제가 있는 식당이나 업체들에 대해 소비자들에게 정보를 제공한다는 성격도 있겠죠.

고용노동부는 근로기준법에 따라 상습적으로 임금체불을 한 사업주들의 명단을 공개하기도 합니다(링크). 체불임금을 지급하도록 강제하는 기능도 있고, 구직자들로 하여금 임금체불 사업장을 피할 수 있게 하는 효과도 있습니다. 직업안정법에서는 임금체불 사업주 명단공개 제도를 활용하여 임금체불 사업주가 직업소개소에 구인공고를 내지 못하게 하거나, 임금체불 사업장이라는 사실을 적시하도록 하고 있기도 합니다.
 

▲ 구인구직 사이트 알바천국에서는 체불사업주의 구인공고에 사전안내를 제공한다. ⓒ 알바천국

고액 상습체납자 명단의 경우 앞서 살펴봤듯이 국세청 홈페이지에서 지도로 친절하게 세급체납자들의 정보를 공개합니다. 임금체불 사업주 역시 고용노동부 홈페이지에서 따로 메뉴를 만들어 바로 찾아볼 수 있습니다.
 

▲ 고용노동부의 체불사업주 명단공개 메뉴 ⓒ 고용노동부

 
이렇게 다양한 공표제도 중에서는 산업재해 사망사고 사업장에 대한 명단공개 제도도 있습니다. 고용노동부는 현재 산업안전보건법에 따라 산업재해가 잦아 사망사고가 많이 일어나고 있는 사업장들의 명단을 공개하고 있습니다. 그런데, 그 공개 방식은 다른 공표 대상들과는 사뭇 다릅니다.

유독 찾아보기 어려운 산업재해 사업장 명단

산업재해 다발 사업장의 경우 고용노동부 홈페이지에 명단을 공개하지만, 그 내용을 쉽게 찾기 어렵습니다. 고용노동부 홈페이지에서 정보공개 → 사전정보 공표목록 메뉴를 거쳐, 산재예방/산재보상 카테고리를 선택해야 '사업장의 산업재해 발생건수 등 공표'라는 게시판 바로가기 링크가 나옵니다(링크).

이 게시판에서 다시 PDF 파일을 다운로드 받는 수고를 들여야, 산업재해 다발 사업장 명단을 확인할 수 있습니다. 고용노동부가 산업재해 사업장 명단을 공개하고 있다는 사실을 미리 알고 있더라도, 한참을 뒤져야 겨우 발견할 수 있는 셈이죠. 게다가 파일을 열면, 제대로 내용을 알아보기 힘든 빽빽한 표가 나옵니다.
 

▲ 고용노동부가 공개하는 산업재해 다발 사업장 명단 일부 ⓒ 고용노동부

 
문제는, 이렇게 어렵게 명단을 확인하더라도 어떤 사고가 어떻게 일어났는지 내용을 확인할 수 없다는 점입니다. 업종명, 규모, 사업장명, 소재지, 재해자 수 등의 정보는 공개하지만, 해당 사업장에서 어떤 안전 조치를 위반했고 그로 인해 어떤 처벌이 있었는지는 알 수 없습니다.

국세기본법에서 고액상습체납자들의 명단을 공표하도록 한 것, 근로기준법에서 임금체불 사업주들의 명단을 공표하도록 한 것, 그리고 산업안전보건법에서 산업재해 다발 사업장의 명단을 공표하도록 한 것. 셋 모두 법령 상 공표에 대한 조문은 큰 차이가 없습니다. 각자의 공표 대상 정보 범위를 정하고, 공개 방식은 관보나 인터넷 홈페이지 등에 공개하도록 되어 있습니다.

하지만 어떤 정보는 시민들이 찾아보기 쉽게, 활용하기 쉽게 공개하고, 어떤 정보는 찾아보기 어렵게 공개하는 셈입니다. 이러한 차이는 어디서 발생할까요? 매일 일하던 노동자들이 산업재해로 죽어가지만, 그 책임을 져야 할 기업들의 이름은 찾아보기 어려운 이유가 무엇일까요?

앞에서 살펴보았듯, 명단공개와 같은 공표제도의 주요 효과 중 하나는 '법적인 의무를 이행하도록 간접적으로 강제'하는 것에 있습니다. 산업재해 다발 사업장 명단 공개 제도는 2002년 산업안전보건법이 개정되면서 처음 등장했습니다. 당시 명단공개 제도의 도입 취지는 "산업재해 예방에 대한 예방의지 및 실천을 촉구하기 위해, 사업주의 명예·신용에 대한 심리적 압박을 통한 산업안전보건법상의 의무이행을 간접적으로 강제"하기 위함이었습니다(링크).

몇 달 전 산업재해 문제에 경각심을 가진 시민들의 많은 지지를 얻으며 통과된 중대재해처벌법 역시 이러한 명단공개에 대한 내용이 있습니다. 중대재해 사고가 일어났을 경우, 사업장 명칭과 재해 내용 등의 정보를 공표하도록 하고 있습니다. 거칠게 말하자면, "망신당하지 않으려면 사업주가 제대로 산재 예방에 나서라"는 법입니다.

법의 취지가 제대로 효과를 내기 위해서는 명단 공개가 '망신'을 줄 수 있어야 합니다. 그런데, 지금처럼 시민들이 산업재해로 사망사고가 일어난 사업장의 명단을 제대로 찾아보기도 어렵고 기업이 어떤 책임을 다했는지도 확인할 수 없다면, 명단 공개제도는 허울에 불과할 뿐, 제대로 효과를 내고 있다고 말하기 어렵습니다. 명단 공개 자체보다도, 어떻게 공개하느냐가 중요하다는 뜻입니다.

미국과 영국은 제대로 망신 주는데
 

▲ 미국 산업안정보건청의 산업안전보건법 위반 사업장 공개 ⓒ 미국 산업안전보건청

해외의 사례는 어떨까요?

미국 산업안전보건청은 산업재해 사고와 관련한 방대한 정보를 데이터로 공개하고 있습니다. 사망사고뿐 아니라 절단, 낙상 등 심각한 재해가 발생할 경우 산업안전보건법에 따라 수사하고, 그에 따라 행정처분을 내립니다. 산업재해 사례 중에서 법 위반으로 소환장이 발부된 케이스들을 개별적으로도 확인할 수 있고, 주별로 산업안전보건법을 위반해 4만 달러 이상의 벌금을 문 사업장들의 명단을 지도 형태로도 확인할 수 있습니다. 따라서 사고가 일어난 사업장이 어떤 안전의무를 위반했는지, 이로 인해 어떤 사고가 생겼는지, 어떤 처분이 내려졌는지 등의 정보들을 살펴볼 수 있습니다.
 

▲ 영국 보건안전청에서 공개하는 보건안전법 위반 기업 데이터 ⓒ 영국 보건안전청

영국 보건안전청도 산업재해 사고에 대해 상세한 데이터를 공개하고 있습니다. 만약 영국에서 어느 기업이 보건안전법 위반으로 기소되면, 해당 기업에 대한 정보와 위반 법 조항, 구형 내용, 이전의 사건 기록들 등이 상세하게 공개됩니다. 미국과 유사하게 개별 산업재해 사고 사례에서도 사업장의 이름을 확인할 수 있습니다.

기업을 제대로 압박할 수 있는 명단공개 필요

2021년 1월 제정된 중대재해처벌법은 2022년 1월부터 시행됩니다. 법 시행을 위해서 정부는 중대재해처벌법 시행령 제정안을 마련하고, 현재 각계의 의견을 수렴하고 있습니다.

현재 중대재해처벌법에는 사업주가 안전보건의무를 위반해 일어난 중대산업재해에 대해 사업장의 명칭, 발생일시와 장소, 재해의 내용과 원인 등을 공표하라는 내용이 들어있습니다. 그런데, 정부가 내놓은 시행령 제정안을 보면 "의무 위반으로 형이 확정된" 경우에야 사업장 명칭을 공개하도록 하고 있고, 심지어 공표 이전에 소명기회를 주도록 하고 있습니다. 심지어 명단을 공개한 다음에도, 홈페이지에 게시하는 기간은 1년으로 제한하고 있습니다.

현재 산업안전보건법으로 공표하는 산업재해 다발 사업장 명단은 매년 3월 정도에 공개하는데, 2021년 3월에 2019년에 일어난 산업재해 사업장을 공개하는 방식입니다. 이미 2년 늦은 정보를 공개하고 있다는 의미입니다. 그나마도 재판 등으로 인해 의무 위반 여부가 늦게 확정되면, 3년, 4년 된 사고 정보가 뒤늦게 공개되는 경우도 있습니다. 이미 해당 사고에 대한 대중의 관심이 다 떠나간 후에야 공개된다는 뜻입니다. 

만약 중대재해처벌법 시행령이 그대로 시행된다면, 중대재해처벌법에 따른 명단 공개 역시 한없이 질질 끌릴 가능성이 높습니다. 사고가 일어난 2년, 3년 후에야 사업장 명단이 공개될 우려가 있습니다. 또, 공개 방식마저도 지금처럼 고용노동부 홈페이지 게시판에 PDF 파일로 올라온다면, 시민들이 이를 제대로 확인하기도 어렵겠죠. 이런 상황에서는 기업들이 명단공개로 인해 '망신당한다'는 압박을 느낄 리 없습니다. 공표 제도의 원래 취지가 무력화 될 수 있다는 이야기입니다.

공표 제도가 실효성을 가지기 위해서는, 무엇보다도 명단을 빠르게, 상세하게, 시민들 누구나 쉽게 살펴볼 수 있는 방식으로 공개하는 것이 중요합니다. 미국의 경우 법 위반 사실에 대해 소환장이 발부되면, 영국 역시 법 위반으로 기업이 기소되면 그 사실을 홈페이지에 바로 공개하고 있습니다. 보통 사고가 일어나 조사가 진행되면, 6개월 이내에 정보를 공개하는 셈입니다. 미국이나 영국처럼 하지 않더라도, 적어도 1심 판결이 나면 바로 명단을 공개해야 합니다. 명단공개 방식 역시 마찬가지입니다. 국세청의 고액상습체납자 명단공개처럼 지도까지 동원하지 않더라도, 적어도 임금체불 사업주 명단 공개처럼 시민들이 쉽게 찾아보고, 검색할 수 있는 방식이 도입되어야 합니다.

매년 2천여 명의 노동자가 산업재해 사고로 죽어갑니다. 더 이상 일터에서 돌아오지 못하는 사람이 있어서는 안 된다는 시민들의 열망에 힘입어 국회에서 중대재해처벌법이 통과되었습니다. 이제 공은 정부에게 넘어왔습니다. 법을 어떻게 시행할 것인가, 입법 취지를 가장 잘 살리기 위한 방식은 무엇인가, 산업재해 예방을 위해 기업을 압박하기 위해 어떻게 제도를 운영할 것인가, 산업재해 문제를 해결하고자 하는 정부의 의지가 시험대에 오른 것입니다.

사업장 공표는 중대재해처벌법의 여러 내용 중에서도 정부가 어렵지 않게 의지를 보여줄 수 있는 제도 중 하나입니다. 현재 공개된 시행령은 비록 실망스럽지만, 나중에 시행령이 공포될 때는 작은 부분에서부터 제대로 해결하겠다는 태도가 드러나기를 기대해 봅니다.