개보위 "의료분야 데이터 스크래핑, API로 개선해야"

개인정보보호위원회(개인정보위)와 한국인터넷진흥원(KISA)는 16일 14시 서울시 중구 프레스센터에서 '의료분야 스크래핑 대응 및 안전성 강화 토론회'를 개최했다.

이날 토론회는 의료 분야에서 쓰이는 의료분야 주요 공공기관 홈페이지에 대한 '스크래핑' 대응 및 안전성 강화 방안을 논의하기 위해 마련됐다. 스크래핑(Scraping)은 사용자로부터 ID, 비밀번호, 인증정보 등을 얻어 사용자 대신 홈페이지에 접속해 화면에 표시된 개인정보를 자동화된 프로그램으로 긁어 오는 방식을 말한다.

개인정보위는 마이데이터 본인전송요구권 확대와 본인전송의 안전성·신뢰성을 강화하기 위해 개인정보 보호법 시행령 개정을 추진하고 있다. 시행령이 개정되기 전에도 안전한 마이데이터 전송체계를 마련하기 위해 지난 4월부터 건강보험공단, 심사평가원, 질병관리청 등 스크래핑이 많이 일어나는 의료분야 홈페이지 정보전송자와 합동점검회의를 개최했고, 스크래핑 대응을 위한 홈페이지 안전성 강화 방안을 논의했다.

이번 토론회는 그간 개인정보위와 의료분야 공공기관의 논의 내용 및 추진상황을 공유하는 동시에, 스크래핑의 위험성과 개인정보 침해 가능성을 점검하고, 홈페이지 사용자인 국민의 권리행사 보장 및 안전하게 개인정보를 내려받기 위한 제도·기술적 개선 방안을 논의하기 위해 마련됐다.

패널들은 개인정보 스크래핑이 해킹의 한 방식인 ‘크리덴셜 스터핑’과 구분하기 어렵고, 자동화된 스크래핑 접속이 한꺼번에 몰리는 경우 다른 사용자의 홈페이지 이용을 방해한다는 점에 공감했다. '크리덴셜 스터핑'은 다크웹 등에 유출된 ID, 비밀번호 등을 자동 대입해 공격하는 해킹 방식이다.

또 개인정보위는 ▲정보주체인 개인이 기업 홈페이지에서 본인정보를 자유롭게 내려받을 수 있어야 하며 ▲이를 대리하는 대리인이 개인정보를 잘 관리할 수 있을지 사전에 확인할 수 있어야 하며 ▲기업 홈페이지 관리자는 대리인 식별 및 어떤 개인정보를 가져갔는지 기록에 남겨야 한다고 강조했다. 이를 위해 개인정보위는 국민건강보험공단, 건강보험심사평가원 등과 함께 관련된 제도 개선을 추진할 방침이라고 설명했다.

개인정보위는 스크래핑이 사용자 동의를 얻었다고 해도 과도한 정보를 수집하거나 인증 정보가 유출될 우려가 있다고 당부했다. 아울러 개인정보의 목적 외 이용 등 정보유출·오남용 위험이 높아 안전한 전송방식으로 전환할 필요가 있다고 강조했다.

개인정보위가 지목한 안전한 전송방식은 'API(어플리케이션 프로그래밍 인터페이스)'다. API는 데이터 제공기관이 사전에 정의한 표준 규격에 따라 인증 및 권한 절차를 거쳐 필요한 정보를 안정적으로 연계·전송하는 방식을 말한다.

김동범 서울대 혁신융합대학 전문위원이 스크래핑 방식의 위험성에 대해 설명하고 있다.

스크래핑 방식의 위험 요인과 관련해 발제한 김동범 서울대 혁신융합대학 전문위원은 "스크래핑 방식은 사용자의 ID 및 패스워드를 그대로 받아 사용하기 때문에 목적 외로 사용할 가능성이 굉장히 높다. 이는 A라는 사이트에만 접속을 하는 것이 아니라 동일한 계정정보를 사용하고 있는 B, C 사이트까지도 데이터를 가져올 수 있다"며 "A항목, B항목 등 일부분만 가져오는 것이 수집하는 방법이 기술적으로 나올 수 없기 때문에 인증 정보의 탈취 위험이 크다"고 지적했다.

아울러 "스크래핑 방식은 인증 이중장치와 같은 방어 수단을 회피해서 다음 단계로 진입해 정보를 수집한다. 이 과정에서 서비스 장애 및 인프라 부하가 발생할 수 있고, 과도한 트래픽으로 인해 오류가 생길 우려가 있다"며 "또한 법적 및 관리적 위험성도 있는데, 지적재산법 및 웹사이트 이용약관을 위반할 소지도 있다"고 경고했다.

이 외에도 김 전문위원은 국내외 보건의료정보 관려 법령 비교 및 서비스 현황, 정책 동향 등에 대해 소개했다.