공공 의료기관 누리집에서 개인 의료 정보 스크래핑 방식이 과도한 정보 수집과 유출 위험을 키운다는 지적이 나온다. 이제 정부는 안전한 API 방식으로의 전환을 서두르며, 국민이 안심하고 자신의 의료 데이터를 편리하게 활용하고 관리하는 새로운 길이 열린다.
개인정보보호위원회는 그동안 공공 의료기관 누리집에서 사용하는 스크래핑 방식이 개인정보 침해 위험이 크다고 경고했다. 스크래핑은 사용자의 아이디와 비밀번호 같은 인증 정보를 받아 사용자 대신 누리집에 접속하여 화면에 표시된 개인정보를 긁어오는 방식이다. 이러한 방식은 사용자 동의가 있다 해도 과도한 정보 수집, 인증 정보 유출, 목적 외 이용 등 오남용 위험이 매우 높다. 특히 이는 해킹의 일종인 ‘크리덴셜 스터핑’과 구분이 어려우며, 자동화된 대량 접속이 다른 사용자들의 누리집 이용을 방해하기도 한다.
이러한 문제점을 해결하고자 개인정보보호위원회는 사전에 정해진 규격에 따라 인증과 권한 절차를 거쳐 필요한 정보만 제공하는 API 방식으로의 전환을 강력히 추진한다. API 방식은 안전한 정보 전송을 보장하며, 개인정보 오남용 우려를 크게 줄인다.
개인정보위는 마이데이터 본인전송요구권 확대를 위해 개인정보 보호법 시행령 개정을 추진한다. 시행령 개정 전부터 지난해 4월부터 국민건강보험공단, 건강보험심사평가원, 질병관리청 등 스크래핑이 빈번한 의료 분야 누리집 정보전송자와 합동점검회의를 열어 안전성 강화 방안을 논의했다.
최근 열린 토론회에서는 서울대학교 김동범 전문위원이 의료 분야 데이터 스크래핑 현황과 위험 요인을 분석하여 발제했다. 이어지는 패널 토론에서는 보건복지부, 국세청 등 정부 기관과 국민건강보험공단, 학계 및 산업계 관계자들이 참여하여 스크래핑의 위험성을 다시 한번 확인하고, API 기반의 안전한 정보 전송 체계 구축 방안을 심도 있게 논의했다.
패널들은 개인정보 스크래핑이 해킹과 유사하며, 대량 접속으로 인한 서비스 방해 가능성에 공감했다. 개인정보위는 정보 주체인 개인이 기업 누리집에서 본인 정보를 자유롭게 안전하게 내려받을 수 있어야 한다고 강조한다. 또한 정보를 대리하는 자가 개인정보를 잘 관리할 수 있는지 사전에 확인할 수 있어야 하며, 기업 누리집 관리자는 대리인 식별 및 어떤 개인정보를 가져갔는지 기록에 남겨야 한다고 역설했다. 개인정보위는 국민건강보험공단, 건강보험심사평가원과 함께 관련 제도 개선을 추진할 방침이다.
하승철 개인정보위 마이데이터추진단장은 “국민에게 이익이 되는 혁신 서비스 제공을 위해 공공기관 홈페이지 운영기관이 사용자 요구에 따라 본인 정보를 안전한 방식으로 제공해야 한다”고 밝혔다. 이는 스크래핑 위험을 줄이고 혁신 서비스를 제공하는 선순환 환경을 조성하는 데 필수적이라고 강조했다.
기대효과:
국민들은 과도한 개인 의료 정보 수집이나 유출 걱정 없이 안전하게 자신의 건강 정보를 관리하고 활용할 수 있게 된다.
마이데이터 등 혁신적인 의료 서비스가 확산되어 국민 편익이 크게 증진된다.
공공 의료기관 누리집은 보다 안정적이고 신뢰할 수 있는 정보 전송 체계를 갖추게 된다.
개인 정보 보호와 새로운 서비스 제공이라는 두 가지 목표를 동시에 달성하는 선순환 환경이 조성된다.
답글 남기기