병원 개인정보 유출 사고 초기 대응은 사전에 매뉴얼을 갖추고 있어야 합니다. 사고가 터진 후에 절차를 찾기 시작하면 늦습니다. 개인정보보호법은 유출 사실을 안 날로부터 72시간 이내 개인정보보호위원회에 신고하도록 의무화하고 있습니다. 의료기관은 환자 정보가 민감 정보라 더 엄격한 기준이 적용됩니다.
1시간 이내 — 피해 범위 파악
- 어떤 정보가 유출됐는가? (이름, 연락처, 주민번호, 진료 정보)
- 몇 명의 정보가 유출됐는가?
- 유출 경로는 무엇인가? (해킹, 내부자, 오발송)
- 현재도 유출이 진행 중인가?
유출이 진행 중이라면 즉시 해당 시스템을 격리하거나 중단시킵니다.
24시간 이내 — 1차 신고
개인정보보호위원회 신고: privacy.go.kr → 개인정보 침해신고
신고 시 필요한 정보:
72시간 이내 — 정보 주체 통지
5명 이상의 정보가 유출됐다면 피해 당사자(환자)에게도 개별 통지가 의무입니다.
통지 방법: 이메일, 문자, 서면(우편), 공지사항(개별 통지 불가능 시)
# 공격 중이라면 즉시 의심 IP 차단
sudo ufw deny from 공격IP
# 웹 서버 일시 중단 (필요 시)
sudo systemctl stop nginx
# 로그 즉시 보존 (덮어쓰기 방지)
sudo cp /var/log/nginx/access.log /tmp/incident-$(date +%Y%m%d).log
모든 계정 비밀번호 즉시 변경:
사고 원인을 정확히 파악하고 해당 취약점을 패치합니다. 단순 패치로 끝나지 않고, 유사한 취약점이 더 있는지 전체 보안 점검을 진행합니다.
사고 대응 경위와 조치 내용을 문서화해두면 향후 감사나 과태료 처분 시 과실 감경 사유가 됩니다. 사고 자체보다 사후 대응 방식이 법적 결과에 큰 영향을 미칩니다.
AI가 초안을 생성하고, 의료기관 인프라 운영자가 1차 데이터 기반으로 최종 검수·승인합니다.
작성·검수: WavePix 운영자 (의료기관 3곳 인프라 전담)