'의료기관 개인정보 스크래핑 위험 경고'…개인정보위 "API 전환 시급"

[주진노 기자]

‘의료기관 개인정보 스크래핑 위험 경고’…개인정보위 “API 전환 시급” / 사진=대한민국 정책브리핑

(더쎈뉴스 / The CEN News 주진노 기자) 16일 광화문 프레스센터에서는 개인정보보호위원회와 한국인터넷진흥원이 공동으로 국민건강보험공단, 건강보험심사평가원 등 의료분야 주요 공공기관과 함께 누리집의 정보 보안 위험성 및 개선 방안을 심도 있게 논의하는 토론회가 열렸다.

이 자리에서 개인정보보호위원회는 현재 공공 의료기관 누리집에서 활용되는 스크래핑 방식이 과도한 개인정보 수집과 인증정보 유출, 목적 외 이용 등 다양한 침해 위험을 유발한다고 지적했다.

스크래핑은 사용자의 아이디와 비밀번호 및 인증 정보를 활용해 자동화된 프로그램으로 누리집에서 개인정보를 수집하는 방식이다. 비록 이용자의 동의가 있더라도 과도한 정보 제공, 인증정보 노출, 목적 외 이용 등 문제가 발생할 수 있어 정보유출 및 오남용 위험이 크다고 강조했다.

이에 개인정보보호위원회는 사전 규격, 인증, 권한 절차를 중심으로 필요한 정보만 제공하는 형태의 API 방식으로 전환이 시급하다고 밝혔다.

토론에 참석한 전문가 및 기관 관계자들은 스크래핑 방식을 대체할 안전한 전송 방식으로 API 방식을 도입해야 한다는 의견에 공감했으며, 자동화된 스크래핑 접근이 급증할 경우 홈페이지 사용에 지장을 줄 수 있다고 우려를 표했다. 또한, 스크래핑이 해킹 방식인 '크리덴셜 스터핑'과 구별이 어려워 보안 취약점이 여전히 존재한다고 언급했다.

개인정보보호위원회는 마이데이터 본인전송요구권의 확대와 전송의 안정성·신뢰성 제고를 위해 개인정보 보호법 시행령 개정을 추진하고 있으며, 시행령 변경 전에도 지난해 4월부터 건강보험공단과 심사평가원, 질병관리청 등과 함께 스크래핑이 빈번한 의료분야 정보전송자와 합동점검을 이어왔다. 이 과정에서 누리집 안전성 강화 방안과 스크래핑 대응책을 지속적으로 모색해온 것으로 알려졌다.

토론회에서는 김동범 서울대학교 혁신융합대학 전문위원이 국내외 보건의료정보 관련 법규와 서비스 현황을 분석하고, 스크래핑 방식의 위험과 정책적 대안을 발표했다. 이어진 패널토론에는 정부기관과 각계 전문가들이 참여해 의료분야 누리집의 개인정보 침해 위험 및 API 기반 안전한 정보전송체계의 필요성을 집중적으로 다뤘다.

아울러 개인정보보호위원회는 기업이 개인정보를 안전하게 관리할 수 있는 체계, 그리고 사용자의 권리 행사 보장을 위한 제도·기술적 개선도 강조했다. 기업 누리집 관리자에 대해서도 대리인 확인과 개인정보 이력 관리를 요구했다.

특히 개인정보위원회는 국민건강보험공단, 건강보험심사평가원 등과 제도적 보완을 논의하고 있다고 밝혔다.

하승철 개인정보보호위원회 마이데이터추진단장은 "신규 혁신 서비스를 추진하는 많은 기업들이 데이터 획득 방법의 한계로 스크래핑을 선택하고 있으나, 앞으로는 사용자 요구에 따라 안전하고 신뢰할 수 있는 방식으로 정보가 제공돼야 한다"며 "공공기관은 안전한 접근 환경을 조성함으로써 스크래핑 위험을 줄이고 선순환 혁신 환경을 만들어야 한다"고 설명했다.

사진=대한민국 정책브리핑

(더쎈뉴스 / The CEN News) 주진노 기자 eveleva@naver.com

<저작권자 Copyright ⓒ 더쎈뉴스(The CEN News) 무단전재 및 재배포 금지>