네이버의 실손보험 청구서비스를 통한 의료정보 유출이 국회를 달궜다.
12일 오후 국회 보건복지위원회 국정감사에는 유봉석 네이버 서비스운영총괄(부사장)이 증인으로 출석, 자사 시스템 오류에 대해 거듭 고개를 숙였다.
서영석 더불어민주당 의원은 “과거 개인정보 유출의 해킹이나 랜섬웨어 등 전문 기술을 통한 탈취가 대부분이었지만 네이버가 손쉽게 다른 사람의 의료정보를 취득할 길을 스스로 열어놓고 이를 방치해왔다”고 비판했다.
서 의원에 따르면 네이버 실손보험 청구서비스 절차는 ▲한 명의 네이버 아이디로 접속한 이후 ‘네이버페이’에 접근 ▲실손보험금 청구서비스 선택 ▲다시 병원·약국을 골라 서비스 이용 동의 순이다. 문제는 이 다음 당초 로그인했던 회원이 다른 이의 주민등록번호와 방문 진료기관명 등을 입력했을 때 발생한다.
입력한 이의 실제 진료내역, 청구소, 영수증 등까지 확인이 가능한 것. 즉, 알고자 하는 이의 주민등록번호만 알면 네이버를 통해 손쉽게 상대의 민감한 개인 건강정보 전부를 탈취할 수 있다는 뜻이다.
서 의원은 “네이버가 실손보험청구 서비스를 하면서 타인의 의료정보가 무방비로 노출할 수 있는지 문제가 심각하다”고 지적했다.
이에 유봉석 총괄은 “개인정보가 동의 없이 활용되거나 노출되는 상황에 대해 개인정보보호법에 따라 철저하게 보고 있다”면서도 서 의원의 지적에 대해 “구멍이 있었던 것 같다”고 잘못을 시인했다. 이어 “사전인지가 부족했다”며 “의원실 지적에 따라 내부 검토를 거쳐 급한 일차적인 조치를 했다. 추가조치가 예정돼 있다”고 설명했다.
다시 서영석 의원이 “네이버 측이 제휴서비스 제공 이전에 개인정보 보호절차에 대한 확인이 되지 않았느냐”고 질의하자 유 총괄은 “철저하고 정교하지 못해 발생한 문제”라고 답했다.
그렇지만 ‘오류’는 여전하다는 게 서 의원의 지적이다. 현재도 생년월일과 성별만 같으면 설사 주민등록번호가 달라도 타인의 의료정보 열람이 가능하다는 것. 서 의원은 “다른 사람의 의료정보가 노출되고 있다”며 “대책을 마련하라”고 요구했다.
보건복지부가 아예 이런 오류를 인지하지도 못했다는 점에서 민간 플랫폼기업을 통한 의료서비스의 현주소가 확인된 셈이다.
서 의원은 “(실손보험 간편청구) 서비스는 전국 대부분의 의료기관과 약국으로 확대 적용될 예정”이라며 “민간 플랫폼에 맡기는 게 능사가 아니다”라고 비판했다.
이에 조규홍 복지부 장관은 “공공플랫폼을 포함한 법제화가 이뤄져야 한다”며 “민간 앱 업계의 개인정보를 위한 제한과 제제를 위한 법적 근거가 필요하다”고 공감했다.
