의료 공공기관 누리집, 개인정보 안전성 강화 시급

개인정보위, 의료 공공기관 누리집 안전성 강화 논의

개인정보보호위원회는 최근 공공 의료기관 누리집의 개인정보 보호와 관련해 스크래핑 방식의 문제점을 지적하며, 보다 안전한 API 방식으로의 전환이 시급하다고 강조했다.

스크래핑은 사용자의 아이디(ID), 비밀번호, 인증정보 등을 수집해 자동화된 프로그램으로 누리집에 접속, 화면에 표시된 개인정보를 긁어오는 방식이다. 개인정보위는 이 방식이 과도한 정보 수집과 인증정보 유출, 목적 외 이용 등 개인정보 침해 위험이 크다고 밝혔다.

이에 따라, 사전에 정해진 규격에 따라 인증과 권한 절차를 거쳐 필요한 정보만 제공하는 API 방식으로 전환하는 것이 필요하다고 강조했다. API 방식은 안전한 전송체계를 마련해 개인정보 유출과 오남용 위험을 줄일 수 있다.

개인정보위는 16일 광화문 프레스센터에서 국민건강보험공단, 건강보험심사평가원과 함께 의료분야 주요 공공기관 누리집에 대한 스크래핑 대응과 안전성 강화 방안을 논의하는 토론회를 개최했다.

이번 토론회에서는 서울대학교 김동범 전문위원이 '의료분야 데이터 스크래핑 현황 및 위험 요인 분석'을 주제로 국내외 보건의료정보 관련 법령과 서비스 현황, 스크래핑 방식의 위험요인 및 정책 동향을 발표했다.

이어진 패널토론에서는 개인정보위, 보건복지부, 국세청 등 정부기관과 국민건강보험공단, 학계 및 산업계 관계자들이 참석해 의료분야 공공기관 누리집의 개인정보 스크래핑 위험성과 이를 대체할 API 기반 안전한 정보전송 체계 구축 방안을 심도 있게 논의했다.

패널들은 스크래핑이 해킹의 한 형태인 '크리덴셜 스터핑'과 구분이 어렵고, 자동화된 스크래핑 접속이 한꺼번에 몰릴 경우 다른 사용자의 누리집 이용에 지장을 초래할 수 있다는 점에 공감했다.

또한 개인정보위는 개인이 기업 누리집에서 본인정보를 자유롭게 내려받을 수 있어야 하며, 이를 대리하는 대리인의 개인정보 관리 능력도 사전에 확인되어야 한다고 강조했다. 기업 누리집 관리자는 대리인 식별과 개인정보 이용 내역을 기록으로 남겨야 한다는 점도 덧붙였다.

개인정보위는 국민건강보험공단, 건강보험심사평가원 등과 협력해 관련 제도 개선을 추진할 계획이다.

하승철 개인정보위 마이데이터추진단장은 "국민에게 이익이 되는 혁신 서비스 중 데이터를 얻을 방법이 없어 스크래핑을 선택하는 기업들이 많다"며 "공공기관 홈페이지 운영기관은 사용자 요구가 있을 경우 본인정보를 안전한 방식으로 제공해 스크래핑 위험을 줄이고 혁신서비스를 제공하는 선순환 환경을 조성해야 한다"고 말했다.