개인정보 유출 혐의로 형사재판 중인 약학정보원과 한국IMS 등 피고인들이 “환자 구분을 위한 기준값이 필요했을 뿐, 개인정보 식별 가능한 정보는 전무하다”고 주장하고 나섰다.
약학정보원, 한국IMS, 지누스 등 피고인은 4월 22일 서울중앙지방법원 서관 523호에서 프레젠테이션을 진행, 오전 10부터 오후 6시 넘는 시간까지 공방을 이어갔다.
특히 피고인들은 개인정보보호법 최초 시행 단계에서 일부 법률에 대한 이해 부족이 있었다 하더라도, 빅데이터 산업 활성화를 위하여 정부 주도 하에 비식별화 및 가명정보의 활용에 대한 법률 개정 논의까지도 있다는 점을 들며 법원에 무죄를 호소했다.
한국의약통신은 피고인의 프레젠테이션을 참관, 시간 순으로 피고인의 변론을 정리했다.
앞서 같은 날 오전에는 공소사실과 증거 등에 대한 검찰 측의 프레젠테이션이 진행됐다. 이 과정에서 검찰은 “환자의 성명, 병원명, 조제정보, 약국코드, 약품코드 등의 민감정보를 환자의 동의 없이 수집, 저장했다”고 판단, 개인정보법 위반에 해당한다며 피고인 측의 유죄를 주장했다.
IMS 측 “개인정보 인식 자체 없다”
이날 검찰은 IMS헬스(이하 IMS) 측에 약정원과의 암호화 규칙을 공유한 혐의를 물었다.
그러나 IMS는 이에 대해 ‘아니다’고 재차 강조했다. ‘동일한 암호화’ 방법을 적용하고 있다는 사실은 인지하고 있었지만, 인지하는 것과 암호화 규칙 내용까지 아는 것은 별개의 문제라는 해석이다.
그러면서 IMS는 개인정보보호법 시행 전 이미 환자 아이디를 암호화했다고 주장했다.
IMS 측 변호인은 “환자가 구분될 수 있는 데이터를 만들기 위해 초기 주민등록번호를 암호화 했다. 구분되지 않으면 처방이 바뀌거나 데이터 오류가 발생할 수 있기 때문”이라고 밝혔다.
이어 “누군지 식별은 안 되지만 구분은 되는 데이터가 필요했다. 예를 들어 몇 천명이 같은 사람으로 인식될 수 있기 때문에 이름, 주민번호는 수집하지 않고 생년월일, 성별, 그 외에 Key값을 받은 것 뿐”이라고 설명했다.
또한 IMS 측 변호인은 이번 사안은 개인정보 관련 범죄와 양상이 다르다는 점을 어필, 형사처벌하는 것은 신중할 필요가 있다고 강조했다.
IMS 측 변호인은 “개인정보 관련 범죄는 유출, 해킹을 목적으로 유포 가능한 상태를 말하지만 이번 사건은 양상이 다르다”며 “개인정보 자체를 안 받으려고 의도적, 지속적으로 노력했다. 한정된 범위 내에서 통계적 목적으로 활용한 정보뿐이었다”고 말했다.
이어 “설령 암호화 수준이 미흡했다고 하더라도 개인정보보호법 위반으로 형사처벌하는 것은 신중할 필요가 있다”며 “검찰의 시각이 아니라 열린 시각으로 봐야한다”고 부연했다.
아울러 “약정원 복호화 함수는 IMS와 무관하다. 복호화 함수 존재는 몰랐고, 알 수도 없다. 심지어 접근할 수도 없다”며 “특정인에 대한 의료정보가 식별가능한 상태로 외부에 유출된 바 없다. 사건이 9년이 지났는데도 실제 피해 발생은 ‘0’이다”고 주장했다.
약정원, 개인정보 개념 분분…논의 필요
약정원 측 변호인 역시 해당 사안을 범죄로 보는 것은 부당하다는 입장이다. 심지어 개인정보의 개념 해석론이 분분한 만큼 깊이 있는 논의가 필요하다고 했다.
약정원 측 변호인은 “2013년 12월 약정원 압수수색으로 언론 보도된 당시, 이름, 주민번호가 대량 유출되서 해외에 팔아넘겨졌다는 전제에 수사기관도 수사했다”며 “그러나 불법적으로 활용된 점은 없다. 통계의 목적이기 때문에 제3자의 유출 가능성은 불가하다”고 밝혔다.
또한 약정원 역시 IMS와의 암호화 공유에 대해 “사실 관계 타당성 없다”며 선을 그었다.
그러면서 양덕숙 전 원장에 대해서는 해당 사건이 진행된 2013년 6월 취임했기 때문에 해당 사건과 무관하다는 입장을 전했다.
변호인은 “양덕숙 전 원장은 암호화 됐다는 보고만 받았을 뿐, 암호화 공유 등 세부적인 상황은 몰랐다. 매칭값을 보고 받은 적도 없다”며 “정원과 IMS의 목적은 사람의 건강을 위한 통계자료 마련에 목적을 뒀을 뿐”이라며 “정보를 악용하려는 의도는 없었다. 복호화된 적은 없으며, 수집 과정에서 정보통신망에서 속이는 행위도 없었다”고 밝혔다.
김대업 변호인 “기망행위 없었다” 주장
‘정보통신망법위반’에 대한 회원을 속이는 행위가 있었는지 대한 혐의를 받고 김대업 대한약사회장(전 약정원장)과 엄태훈 전 약정원 이사는 ‘기망행위’는 없었다는 주장이 주 논리다.
사적인 침해 목적이 없었을 뿐더러, 프로그램 업데이트 시 회원들에게 전원 약관 동의를 받았다는 점과, 동의하지 않은 내용은 수집하지 않았다는 점, 또한 수집 처리 시 동의하도록 약관에 포함시켰다는 점이 골자다.
그러면서 ‘암호 복호화’ 프로그램에 대해서도 인지하지 못했다는 입장이다. 단, 암호화 방법론 인식이 부족했다는 점은 인정했다.
김대업 회장 측 변호인은 “약정원은 복호화 필요성을 느끼지 못해 폐기 시켰다”며 “김대업, 엄태훈 피고 2인은 시행을 지시한 적도, 시행한 이유도 없다”며 “김대업 회장의 경우 원장으로서 암호화 프로세스를 알 수 없다. 구체적인 암호화 과정도 보고 받은 바 없다”고 주장했다.
그러면서 PM2000 밴피 연동수수료 3억4천여만을 유출한 혐의를 받는 피고 A씨의 번복된 믿을 수 없는 진술 외에는 증거가 없다고 언급했다.
피고인들의 프레젠테이션 종료 후 검찰은 다시 한 번 입장을 정리했다.
검찰은 “IMS는 약학정보원과 지누스에게 암호화 규칙을 공유한 것은 사실이다. 맘만 먹으면 누구의 주민번호인지 확인이 가능하다”며 “지누스는 수집 단계에서 이미 성명과 주민번호가 살아있었다. IMS에 제공한 부분은 차지하더라도 개인정보 수집 여부는 사실”이라고 주장했다.
또 “약정원도 암호화 규칙을 공유하고 있었다. 수사 과정에서 행안부 담당자와 면담했는데 치환 규칙이 공유됐다면 문제가 있다는 입장이다”며 “의약사 피고를 위수탁 관계로 볼 수 없다. 개인정보를 위탁하려면 계약이 있어야 하지만 개인정보를 제공한다는 정보를 동의 받았다고 볼 수 없다. IMS에 대한 위탁을 인정하더라도 개인정보를 제3자에게 제공한 것은 위수탁 범위를 초과했다”고 주장했다.
한편 재판부는 6월 20일 오후 2시 김대업 피고인 등에 대한 심문 절차 등을 진행한다.