유봉석 네이버 총괄 부사장이 12일 오후 서울 여의도 국회에서 열린 보건복지부 등 국정감사에 증인으로 출석해 있다. /국회=남용희 기자

[더팩트｜최문정 기자] 네이버가 자사 간편결제서비스 '네이버페이'를 통한 실손 보험 청구 과정에서의 의료 개인정보 노출로 인해 진땀을 뺐다.

유봉석 네이버 총괄부사장은 12일 열린 국회 보건복지위원회 국정감사에 일반 증인으로 출석해 이와 관련된 질의를 받았다. 유 총괄부사장은 이번 정보 유출에 있어 시스템 구축·운영 과정의 미흡함을 인정하고, 재발방지책을 마련하겠다고 약속했다.

유 총괄부사장을 증인으로 채택한 서영석 더불어민주당 의원은 "그동안 개인정보 유출은 대부분 해킹이나 랜섬웨어 같은 전문 기술을 활용한 데이터 탈취가 대부분이었지만, 네이버는 일반인도 쉽게 타인의 의료정보를 취득할 수 있는 길을 열어놓고 이를 방치해 왔다"고 꼬집었다.

서 의원은 네이버 회원이 네이버페이를 통해 실손보험을 청구하는 경우를 예시로 들었다. 서 의원이 확인한 결과, 네이버페이를 활용한 실손보험 청구의 본인확인 과정에서 로그인 정보와 다른 타인의 주민등록번호와 방문 의료 기관명을 입력할 경우, 상대의 진료내역, 청구소, 영수증 등의 정보를 확인할 수 있다. 즉, 다른 사람의 주민등록번호와 방문한 병원을 알고 있다면 네이버가 창구가 돼 상대의 의료정보를 포함한 개인정보를 알 수 있다는 의미다.

서 의원은 "실손보험 청구 서비스를 하면서 다른 사람의 의료 정보가 이렇게 무방비하게 노출되는 것은 매우 심각한 일"이라며 "왜 이런 일이 발생을 했고, 언제 이런 사실을 인지했느냐"고 질의했다.

유 총괄부사장은 "네이버는 고객의 개인정보가 동의 없이 활용되거나, 노출되는 상황에 대해 개인정보보호법에 따라 철저하게 보고 있다"면서도 "이 부분에서는 구멍이 있던 것 같다"고 인정했다.

이어 "사전 인지가 부족했던 것도 맞고, 의원실의 지적을 받고 난 다음엔 내부 검토를 통해 시급한 1차 조치는 완료했다. 추가 조치도 예정돼 있다"고 말했다.

서 의원은 "네이버는 국내 최대 포털 기업인데 이런 유출이 가능했다는 것은 말이 안 된다고 생각한다"며 "제휴 서비스를 제공하기 전에 충분히 시간을 들여 개인정보 보호 절차를 확인하지 않았느냐"고 비판했다.

3) 두 번째 사진 캡션서영석 더불어민주당 의원은 12일 국회 복지위원회 국정감사에서 네이버페이를 활용한 실손보험 청구 과정에서 타인의 민감한 의료 개인정보를 모두 확인할 수 있는 시스템의 허점을 지적했다. /국회 의사중계 시스템 캡처

유 총괄부사장은 "네이버는 신규 서비스를 출시하기 전 QA(품질 보증) 단계를 거치며, 개인정보를 다루는 영역에서는 최고정보보안임원(CISO)이 이를 살펴보고 있다"며 "이번 사태는 네이버가 조금 더 철저하고, 정교하지 못해서 발생한 문제라고 생각한다"고 잘못을 시인했다.

서 의원은 아직도 네이버의 대처가 완벽하지 않다고 지적했다. 현재 주민등록번호를 통한 타인의 개인정보 접근은 조치를 통해 막았지만, 아직도 생년월일과 성별만 같다면 주민등록번호가 달라도 타인의 의료정보 열람이 가능하다는 설명이다.

서 의원은 유 총괄부사장에게 "기본적으로 타인의 의료정보가 노출되고 있는 만큼, (본인 외에는) 접근이 불가능하도록 하루빨리 대책 마련을 해야 한다"고 지적했다.

이어 조규홍 보건복지부 장관에게도 "개인 의료정보를 포함한 개인정보 보호가 전제되지 않는다면 비대면 진료 사업은 매우 위험하다"며 "이를 민간 플랫폼에 맡기는 것이 능사가 아니기 때문에 각별한 대책 마련이 필요하다"고 주문했다.

조 장관은 "공공 플랫폼을 포함해서 종합적인 방안을 법제화하겠다"면서 "민간 앱 업계의 개인정보 보호를 위해 필요한 제한과 제재할 수 있는 법적 근거를 만들어야 한다고 생각한다"고 말했다.

한편, 당초 복지위는 이번 사안에 대한 질의를 위해 최수연 네이버 대표를 증인으로 요청했지만, 출석을 하루 앞둔 지난 11일 증인 요청을 철회했다. 복지위 측에서는 최 대표보다 이번 서비스의 실무자인 유 총괄부사장이 더욱 현실적인 답변을 할 수 있어 증인을 변경한 것으로 알려졌다.

munn09@tf.co.kr