개인정보위 "의료 마이데이터, 전송기관 스크래핑 대신 API 연계해야"

[이데일리 최연두 기자] 개인정보보호위원회가 의료 마이데이터 참여자를 대상으로 건강보험심사평가원·국민건강보험공단·질병관리청 등 정보 전송기관의 홈페이지에서 개인정보를 자동 수집하는 ‘스크래핑’ 행위를 자제해달라고 요청했다.

대신 전송기관과의 애플리케이션 프로그래밍 인터페이스(API) 연계 등 더 안전한 방식으로 정보를 수집할 것을 권고했다.

의료 마이데이터 관련 이미지(사진=생성형AI 서비스)

스크래핑은 웹사이트에서 이용자의 동의 없이 자동화된 프로그램을 통해 정보를 수집하거나 복제하는 행위를 말한다.

개인정보위는 지난 16일 서울 종로구 정부서울청사에서 심평원·건보공단·질병청 등 의료 분야 마이데이터 정보 전송기관과 개최한 협력 회의에서 이 같이 논의했다고 19일 밝혔다. 이번 회의는 홈페이지를 통한 본인 전송요구 방식과 관련해 개인정보 보호 강화 방안을 마련하기 위한 후속 조치의 일환이다.

이 자리에서 개인정보위는 대리인이 정보 주체의 인증 정보를 위임받아 웹사이트에 접속해 개인정보를 자동 수집하는 방식(스크래핑)이 인증정보 유출, 과도한 정보 수집, 서비스 장애 등 여러 위험을 초래할 수 있다고 지적했다.

특히 최근 다크웹 등에 유출된 아이디(ID), 비밀번호 등을 자동 대입하여 공격하는 크리덴셜 스터핑 공격이 급증하면서 이에 대한 선제적 대응의 필요성도 함께 강조했다.

개인정보위 관계자는 “스크래핑에 의한 정보 수집은 행정, 세무, 의료 등 사회 전 영역에서 광범위하게 벌어지고 있다”면서 “최근에는 전문 지식이 없는 사람들도 챗GPT 등 도구를 활용해 손쉽게 스크래핑을 수행하고 있다”고 설명했다.

이에 개인정보위는 의료 마이데이터 참여자를 상대로 자동화된 도구를 이용한 비공개 개인정보 수집을 제한하고, API 연계 기반의 식별 가능한 시스템을 구축할 것을 요청했다.

다만, API 연계 전까지 안전성과 신뢰성이 입증된 개인정보관리 전문 기관 등에 대해선 제한적으로 스크래핑을 허용하기로 했다. 그간 정보 주체의 단순한 동의만으로 광범위하게 이뤄지던 스크래핑 기반 개인정보 수집·분석 행위는 지난 3월 시행된 전 분야 전송요구권 제도에 따라 개인정보관리 전문기관을 중심으로 재편될 전망이다.

하승철 개인정보위 마이데이터추진단장은 “마이데이터 서비스가 국민의 신뢰 속에서 활성화되기 위해선 개인정보를 안전하게 보호할 수 있는 기술·제도적 기반 마련이 우선돼야 한다”며 “기존의 편리성 중심의 자동화 수집 관행을 개선해 국민의 자기정보 통제권을 실질적으로 보장할 수 있도록 기관 간 협력을 강화하겠다”고 말했다.

한편, 개인정보위는 비공개 개인정보 수집을 제한하기 위한 보호 조치로 △정보전송기관 홈페이지 이용약관 개정 △다중인증(MFA) 적용 △자동입력 방지코드(캡차·CAPTCHA) 도입 △비정상적 로그인 시도 탐지·차단 등을 제시했다.