[데일리팜=강신국 기자] 의료분야 개인정보 자동화 수집, 이른바 스크래핑이 제한된다.

개인정보보호위원회(위원장 고학수)는 최근 정부서울청사에서 건강보험심사평가원, 국민건강보험공단, 질병관리청 등 의료 분야 마이데이터 정보전송기관과 관계기관 협력회의를 개최했다.

이 자리에서 개인정보위는 대리인이 정보 주체의 인증 정보를 위임 받아 웹사이트에 접속해 개인정보를 자동 수집하는 '스크래핑' 방식이 인증 정보 유출, 과도한 정보 수집, 서비스 장애 등 다양한 위험을 초래할 수 있어 정보 주체의 통제권을 약화시킬 우려가 크다고 지적했다.

특히 최근 다크웹 등에 유출된 아이디(ID), 비밀번호 등을 자동 대입해 공격하는 크리덴셜 스터핑(credential stuffing) 사례가 급증하고 있어 이에 대한 선제적 대응이 시급한 상황이라고 강조했다.

스크래핑에 의한 정보 수집은 행정, 세무, 의료 등 사회 전 영역에서 광범위하게 벌어지고 있으며, 최근에는 전문 지식이 없는 이들도 챗GPT 등 도구를 활용해 수행하고 있다. 이에 개인정보위는 자동화된 도구를 통한 비공개 개인정보 수집을 제한하고, 식별 가능한 API(애플리케이션 프로그래밍 인터페이스)연계 시스템을 구축할 것을 요청했다.

또한 개인정보위는 ▲정보전송기관 홈페이지 이용약관 개정 ▲다중인증*(MFA) 적용 ▲자동입력 방지코드(CAPTCHA) 도입 ▲비정상적 로그인 시도 탐지 및 차단 등 보호조치를 단계적으로 적용해 비공개 개인정보 수집을 제한할 수 있다고 설명했다.

다만 본인 스스로 홈페이지를 통해 개인정보를 내려받는 행위나 자동화 도구를 사용하지 않고 정당하게 위임 받은 대리인이 수동으로 접근하는 경우는 정보수집 제한 대상에 포함되지 않는다.

더불어 개인정보위는 API 연계 전까지 안전성과 신뢰성이 입증된 개인정보관리 전문기관 등에 대해서만 제한적으로 스크래핑을 허용할 것을 권고했다.

개인정관리 전문기관은 정보 주체의 권리 행사를 지원하기 위해 개인정보를 안전하고 체계적으로 관리하고 마이데이터를 활용한 서비스를 제공하는 기관으로, 개인정보 보호법령에 따라 지정심사를 거쳐 선정된다.

이에 정보 주체의 단순한 동의만으로 광범위하게 이뤄지던 스크래핑 기반 개인정보 수집·분석 행위는 지난 3월 시행된 전 분야 전송요구권 제도에 따라 개인정보관리 전문기관을 중심으로 재편될 것으로 예상된다.

하승철 개인정보위 마이데이터추진단장은 "마이데이터 서비스가 국민의 신뢰 속에서 활성화되기 위해서는 개인정보를 안전하게 보호할 수 있는 기술·제도적 기반 마련이 우선돼야 한다"며 "기존 편리성 중심의 자동화 수집 관행을 개선해 국민의 자기정보 통제권을 실질적으로 보장할 수 있도록 기관 간 협력을 강화하겠다"고 밝혔다.