한나라당 손숙미 의원은 20일 국정감사에서 "상병정보, 진료기록 등 개개인의 주요 의료정보를 관리하는 심평원이 전문적인 컴퓨터 범죄에는 취약하다"고 지적했다.

심평원은 매년 정기적으로 외부 보안전문기관에 의뢰해 OWASP(Open Web Application Security Project)에서 지정한 10대 웹 어플리케이션 취약점과 국정원에서 지정한 8대 취약점을 이용한 공격을 병행해 정보보호 수준을 점검하고 있다. 심평원이 손숙미 의원에 제출한 자료에 따르면, 2011년 상반기 모의해킹 결과보고서를 분석한 결과 일부 웹사이트에서 취약점이 발견됐다.

고객센터 건의게시판에 업무상의 불편사항 및 문의 내용의 글을 올린 H약국의 경우, 글 작성자의 이름 및 휴대전화 번호, 주소, 이메일 주소 등 개인 신상이 그대로 노출됐다.

또 타인의 글을 열람할 수 없도록 되어 있는 Q&A 게시판의 경우 URL에 특정 값을 입력하자 타인이 작성한 글을 열람은 물론 수정까지 가능했다.

이와함께 고객센터 건의게시판에 사용자 확인 없이 누구나 JSP(그림파일)을 업로드할 수 있도록 돼 의도적으로 악성바이러스를 업로드할 경우 무방비로 노출될 가능성이 있는 것으로 나타났다. 손 의원은 "모의 해킹으로 발견 된 취약점은 모두 조치완료 된 것으로 보고하고 있으나, 문제는 최근 자료로 갱신 후 이전 데이터는 모두 폐기하고 있어 매년 어떤 문제가 반복적으로 지적되는지, 특히 어떤 부분이 취약한지에 대한 자료분석이 전혀 관리되지 않고 있는 실정"이라고 밝혔다.

이에 따라 손 의원은 "진료기록과 상병일지 등 개인의 병력사항은 민감한 자료인만큼, 불필요한 데이터들은 폐기하더라도 연도별 취약점 분석을 통해 모의 해킹에도 끄떡없을 만큼의 철저한 보안시스템 구축이 필요하다" 제안했다.