[서울대학교병원] 산모 1만6천명 의료정보 이메일 오발송 유출 정황_2026년 03월

병원 직원의 이메일 주소 오입력으로 산모 약 1만6천명의 민감한 의료정보가 외부 수신자 1명에게 전달된 사고 발생

□  개요 

   2026년 03월 14일 서울대학교병원에서 직원 간 업무 메일 발송 과정 중 수신자 주소를 잘못 입력하여 외부인 1명에게 대량의 환자 진료 정보가 전달되는 사고가 발생하였다. 유출된 정보에는 산모 및 신생아의 진료기록, 임신·출산 정보, 질환 정보 등 매우 민감한 의료정보가 포함된 것으로 확인된다. 병원 측은 메일 미열람 상태를 확인했다고 밝혔으나, 민감정보가 외부 이메일로 전송되었다는 점에서 관리적·기술적 통제 미흡 논란이 제기되고 있다.

 

□  사고내용 요약  

    1. 회사명 : 서울대학교병원
    2. 사고유형 : 내부 직원 실수에 의한 이메일 오발송(개인정보 유출 사고)

    3. 유출규모 : 약 16,000명 산모 및 신생아 관련 정보
    4. 유출항목
        - 기본정보: 이름, 생년월일, 환자번호
        - 건강정보: 임신 주수, 출산 이력, 질환 정보, 검사 결과
        - 신생아 정보: 출생 상태, 질환, 치료 정보
        - 생활정보: 직업, 소득 수준 등
             ※ 주민등록번호, 연락처는 제외 (병원 발표 기준)

    5. 특이사항
        - 외부 수신자 1명에게 단일 발송
        - 시스템상 “미열람” 상태 확인 (병원 발표)
        - 민감정보(건강정보 + 사회경제 정보) 포함된 고위험 사고

□  사고대응 타임라인  

    -  2026년 03월 14일 : 이메일 오발송 사고 발생
    -  2026년 03월 14일 : 직원 신고로 유출 사실 인지
    -  2026년 03월 14일 : 수신자에게 메일 삭제 요청 및 확산 방지 조치
    -  2026년 03월 19일 : 홈페이지 공지 및 외부 공개
    -  2026년 03월 : 개인정보보호위원회 및 교육부 신고

□  개인정보 유출 관련 홈페이지 안내   

□  대응내역  

    -  수신자 및 메일 운영자 대상 삭제 요청
    -  개인정보보호위원회 및 교육부 신고
    -  유출 대상자 개별 통지
    -  내부 경위 조사 진행
    -  전 직원 대상 개인정보보호 교육 및 절차 강화 계획 발표

□ 재발방지대책(권고사항)   

    1. 기술적 조치
       - 외부 이메일 발송 시 개인정보 포함 여부 자동 탐지(DLP) 적용
       - 대량 개인정보 첨부파일 외부 발송 차단 정책 적용
       - 메일 발송 전 수신자 검증(화이트리스트/승인 기반)
       - 민감정보 암호화 및 마스킹 적용
       - 외부 메일 전송 시 승인 프로세스(2인 승인) 도입

    2. 관리적 조치
       - 개인정보 취급자 대상 정기 교육 및 오발송 사례 훈련
       - 대량 개인정보 반출 시 사전 승인 절차 의무화
       - 사고 발생 시 즉시 공지 및 대응 프로세스 개선
       - 개인정보 최소 수집·최소 공유 원칙 강화

□  관련기사(출처)  

• 서울대병원, ‘1만6천 산모들’ 출산 이력 등 유출…메일 주소 오타 때문 - 한겨례
• 서울대병원, 환자 1만6000명 진료정보 메일 유출…“미수신 확인” - 전자신문

 

감사합니다.