개인정보위, '의료분야 스크래핑 대응 및 안전성 강화' 토론회 개최
개인 건강정보 민감성 높아…행정적·기술적 조치에 더해 법적 보호 강화
스크래핑 통한 정보유출·오남용 위험…"API 등으로 전환해야"
개인 건강정보 민감성 높아…행정적·기술적 조치에 더해 법적 보호 강화
스크래핑 통한 정보유출·오남용 위험…"API 등으로 전환해야"
![개인정보보호위원회과 한국인터넷진흥원은 16일 오후 광화문 프레스센터에서 국민건강보험공단, 건강보험심사평가원과 함께 의료분야 주요 공공기관 홈페이지의 스크래핑 대응 및 안전성 강화 방안을 논의하기 위한 토론회를 개최했다. [사진=박진영 기자]](https://thumb.zumst.com/780x0/https://static.news.zumst.com/images/90/2026/01/16/08608e837d40495e84f280410ab4c0a2.jpg) |
개인정보보호위원회과 한국인터넷진흥원은 16일 오후 광화문 프레스센터에서 국민건강보험공단, 건강보험심사평가원과 함께 의료분야 주요 공공기관 홈페이지의 스크래핑 대응 및 안전성 강화 방안을 논의하기 위한 토론회를 개최했다. [사진=박진영 기자] |
개인 건강정보의 민감성을 고려해 구체적인 정보 활용 목적을 법적으로 명문화하고, 국가차원에서 적극적인 관리가 필요하다는 의견이 나온다. 현재 온라인 상 대부분 개인정보를 스크래핑 방식으로 가져오고 있는데, 안전한 방식으로 전환할 수 있도록 현장 여건을 반영한 제도적 지원이 필요한 상황이다.
개인정보보호위원회와 한국인터넷진흥원은 16일 오후 광화문 프레스센터에서 국민건강보험공단, 건강보험심사평가원과 함께 의료분야 주요 공공기관 홈페이지의 스크래핑 대응 및 안전성 강화 방안을 논의하기 위해 개최한 토론회를 개최했다.
국내 헬스케어 기업 대다수는 개인 건강정보 활용을 위해 스크래핑을 활용하고 있다. 스크래핑은 사용자로부터 아이디(ID), 비밀번호, 인증정보 등을 얻어 사용자 대신 홈페이지에 접속해 화면에 표시된 개인정보를 자동화된 프로그램으로 긁어 오는 방식이다.
일례로 삼성헬스와 토스 등은 개인의 건강기록을 알려주는 기능을 제공하는데, 건보공단으로부터 관련 데이터를 스크래핑을 통해 가져온다. 건강검진 데이터를 활용해 '내 발병률 미리보기' 서비스를 제공하는 뱅크샐러드도 같은 방식을 활용하고 있다.
정부는 개인정보보호법 시행령 개정안을 추진하면서 공공 데이터의 무단 스크래핑 관행을 제한했다. 개정안은 대리인이 스크래핑 등 자동화된 도구를 이용하는 경우에는 개인정보 안전성 확보를 위해 정보전송자와 사전에 협의한 방식으로만 전송 받을 수 있도록 했다.
원칙적으로 API(애플리케이션 프로그래밍 인터페이스) 방식을 권장하지만, 단기적으로 개인정보관리 전문기관(전문기관) 등에 한정해 제한적으로 스크래핑을 허용한다. 장기적으로 API 방식으로 일원화하겠다는 방침이다.
스크래핑 방식으로 사용자 동의를 얻었다고 해도 △과도한 정보 수집 △인증정보(ID/PW) 유출 △목적 외 이용 등 정보유출·오남용에 대한 위험이 높아, API 등 안전한 전송방식으로의 전환이 필요하다는 판단에서다. API는 데이터 제공기관이 사전에 정의한 표준 규격에 따라 인증·권한 절차를 거쳐 필요한 정보를 안정적으로 연계·전송하는 방식이다.
이날 주제 발제를 맡은 김동범 서울대학교 혁신융합대학 전문위원은 "스크래핑 방식의 많은 서비스는 사용자 계정 인증정보, 인증키를 보관하고 있어 목적 외 서비스에 무단활용할 가능성이 있고, 인증정보가 해킹될 경우 대량의 사용자 인증정보가 한꺼번에 유출될 위험도 있다"면서 "스크래핑으로 인한 개인정보 유출이 발생했을 경우, 책임소재가 불분명하기 때문에 정보주체가 피해 구제를 받기 어려울 수 있다"고 밝혔다.
다만, 스크래핑 제한이 혁신 서비스 발전에 장애물이 되어선 안된다고 강조했다. 김 전문위원은 "관리 기준이 엄격해지면서 초기 스타트업에겐 진입장벽이 있을 것"이라면서 "혁신적인 비즈니스 모델이 나올 수 있도록 초기 스타트업의 경우 인증 관련한 기술 연구개발(R&D) 예산을 지원해주는 방안을 고려할 필요가 있다"고 밝혔다.
개인 건강정보의 민감성을 고려해 법적 보호 장치가 강화돼야 한다는 의견도 나왔다. 김재용 국민건강보험공단 실장은 "미국, 유럽연합 등은 개인의 건강 정보를 어떠한 목적으로 정당하게 활용할 수 있는지 등 구체적인 내용을 법적으로 명시하고 있는데, 우리나라는 관련 사회적 논의나 제도화가 상당히 부족하다"면서 "스크래핑 제한 등과 같은 행정적·기술적 조치에서 더 나아가 건강정보의 상당히 높은 민감성과 재식별 가능성에 대해 개인정보보호법에서 전문적으로 고려되길 바란다"고 밝혔다.
개인정보위는 정보주체인 개인이 기업 홈페이지에서 본인정보를 자유롭게 내려받을 수 있어야 하고, 이를 대리하는 대리인이 개인정보를 잘 관리할 수 있을지 사전에 확인할 수 있어야 한다고 강조했다. 기업 홈페이지 관리자는 대리인 식별 및 어떤 개인정보를 가져갔는지 기록에 남겨야 한다고도 했다. 이를 위해 개인정보위는 국민건강보험공단, 건강보험심사평가원 등과 함께 관련된 제도 개선을 추진할 방침이라고 설명했다.
하승철 개인정보위 마이데이터추진단장은 “국민에게 이익이 되는 혁신 서비스 중 데이터를 얻을 방법이 없어서 스크래핑을 택하는 기업들이 많다.”라면서 “공공기관 홈페이지 운영기관은 사용자 요구가 있을 경우 본인정보를 안전한 방식으로 제공해야 스크래핑 위험을 줄이고, 혁신서비스를 지속 제공하는 선순환 환경을 조성할 수 있을 것”이라고 말했다.
아주경제=박진영 기자 sunlight@ajunews.com
- Copyright ⓒ [아주경제 ajunews.com] 무단전재 배포금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.