“의료 분야 무분별한 개인정보 자동화수집 안돼요”

[한의신문] 개인정보보호위원회(위원장 고학수·이하 개인정보위)는 16일 정부서울청사에서 건강보험심사평가원, 국민건강보험공단, 질병관리청 등 의료 분야 마이데이터 정보전송기관과 함께 관계기관 협력회의를 개최했다. 이번 회의는 지난달 25일 전송기관 협의회에서 논의된 홈페이지를 통한 본인전송요구 방법에 대한 개인정보 보호 강화 방안의 후속 조치다.

이날 개인정보위는 대리인이 정보주체의 인증정보를 위임받아 웹사이트에 접속해 개인정보를 자동 수집하는 방식인 ‘스크래핑’ 방식이 인증정보 유출, 과도한 정보 수집, 서비스 장애 등 다양한 위험을 초래할 수 있어 정보주체의 통제권을 약화시킬 우려가 크다고 지적했다.

특히 최근 다크웹 등에 유출된 아이디(ID), 비밀번호 등을 자동 대입해 공격하는 ‘크리덴셜 스터핑(credential stuffing)’ 사례가 급증하고 있어 이에 대한 선제적 대응이 시급한 상황이라고 강조했다.

스크래핑에 의한 정보 수집은 행정, 세무, 의료 등 사회 전 영역에서 광범위하게 벌어지고 있으며, 최근에는 전문지식이 없는 이들도 챗GPT 등 도구를 활용해 수행하고 있다. 이에 개인정보위는 자동화된 도구를 통한 비공개 개인정보 수집을 제한하고, 식별 가능한 API(애플리케이션 프로그래밍 인터페이스) 연계 시스템을 구축할 것을 요청했다.

이와 관련 개인정보위는 △정보전송기관 홈페이지 이용약관 개정 △다중인증(MFA) 적용 △자동입력 방지코드(CAPTCHA) 도입 △비정상적 로그인 시도 탐지 및 차단 등 보호조치를 단계적으로 적용해 비공개 개인정보 수집을 제한할 수 있다고 설명했다. 다만 본인 스스로 홈페이지를 통해 개인정보를 내려받는 행위나 자동화 도구를 사용하지 않고, 정당하게 위임받은 대리인이 수동으로 접근하는 경우는 정보수집 제한 대상에 포함되지 않는다.

이와 함께 개인정보위는 API 연계 전까지 안전성과 신뢰성이 입증된 개인정보관리 전문기관 등에 대해서만 제한적으로 스크래핑을 허용할 것을 권고했다. 자동화된 도구를 이용한 대리를 전면 금지하는 것은 정보주체의 대리권 행사를 일정 부분 제한할 수 있으나, 안전성·신뢰성이 확인된 대리인이 안전한 방식을 마련해 수행하는 대리 행사는 허용하는 것이 적절하고 합리적이기 때문이다.

그동안 정보주체의 단순한 동의만으로 광범위하게 이뤄지던 스크래핑 기반 개인정보 수집·분석 행위는 지난 3월 시행된 전 분야 전송요구권 제도에 따라 개인정보관리 전문기관을 중심으로 재편될 것으로 예상된다.

하승철 개인정보위 마이데이터추진단장은 “마이데이터 서비스가 국민의 신뢰 속에서 활성화되기 위해서는 개인정보를 안전하게 보호할 수 있는 기술·제도적 기반 마련이 우선돼야 한다”며 “기존의 편리성 중심의 자동화 수집 관행을 개선해 국민의 자기정보 통제권을 실질적으로 보장할 수 있도록 기관 간 협력을 강화하겠다”고 밝혔다.

한편 개인정보위는 개인정보관리 전문기관 지정을 희망하는 중소기업 및 의료기관 등이 마이데이터 서비스를 안정적으로 개발할 수 있도록 보안설비 구축비 지원과 전문 컨설팅 제공 등을 포함한 ‘2025년 마이데이터 서비스 지원사업 공모를 진행 중이다.