⁠⁠⁠⁠⁠⁠⁠

개인정보보호위원회. [전자신문DB]

개인정보보호위원회가 안전성·신뢰성 확보가 어려운 자동화된 도구를 통한 개인정보 수집을 제한하기 위해 다중인증(MFA) 적용 등 보호조치를 적용할 것을 의료 마이데이터 정보전송기관에 권고했다. 응용프로그램인터페이스(API) 연계 시스템 구축하는 한편 연계 전까지 개인정보 관리 전문기관 등 신뢰할 수 있는 기관에만 예외적으로 허용하도록 했다.

개인정보위는 지난 16일 정부서울청사에서 건강보험심사평가원·국민건강보험공단·질병관리청 등 의료 분야 마이데이터 정보전송기관과 함께 관계기관 협력회의를 개최했다.

이번 회의는 지난달 25일 전송기관 협의회에서 논의된 홈페이지를 통한 본인전송요구 방법에 대한 개인정보 보호 강화 방안의 후속 조치다.

개인정보위는 이 자리에서 대리인이 정보주체의 인증정보를 위임받아 웹사이트에 접속해 개인정보를 자동 수집하는 방식인 '스크래핑' 방식이 인증정보 유출, 과도한 정보 수집, 서비스 장애 등 다양한 위험을 초래할 수 있어 정보주체의 통제권을 약화할 우려가 크다고 지적했다.

특히 최근 다크웹 등에 유출된 아이디(ID), 비밀번호 등을 자동 대입해 공격하는 '크리덴셜 스터핑'(credential stuffing) 사례가 급증하는 데다, 스크래핑에 의한 정보 수집은 전 영역에서 광범위하게 벌어지고 최근엔 전문지식이 없는 이들도 챗GPT 등 도구를 활용해 수행하고 있다.

이에 개인정보위는 자동화된 도구를 통한 비공개 개인정보 수집을 제한하고, 식별 가능한 API 연계 시스템을 구축할 것을 요청했다.

구체적으로 △정보전송기관 홈페이지 이용약관 개정 △MFA 적용 △자동입력 방지코드(CAPTCHA) 도입 △비정상적 로그인 시도 탐지 및 차단 등 보호조치를 단계적으로 적용해 비공개 개인정보 수집을 제한할 수 있다고 설명했다.

다만, 본인 스스로 홈페이지를 통해 개인정보를 내려받는 행위나 자동화 도구를 사용하지 않고 정당하게 위임받은 대리인이 수동으로 접근하는 경우는 정보수집 제한 대상에 포함되지 않는다.

아울러 개인정보위는 API 연계 전까지 안전성과 신뢰성이 입증된 개인정보관리 전문기관 등에 대해서만 제한적으로 스크래핑을 허용할 것을 권고했다.

하승철 개인정보위 마이데이터추진단장은 “마이데이터 서비스가 국민의 신뢰 속에서 활성화되기 위해선 개인정보를 안전하게 보호할 수 있는 기술·제도적 기반 마련이 우선돼야 한다”며 “기존의 편리성 중심의 자동화 수집 관행을 개선해 국민의 자기정보 통제권을 실질적으로 보장할 수 있도록 기관 간 협력을 강화하겠다”고 밝혔다.

조재학 기자 2jh@etnews.com

Copyright © 전자신문. 무단전재 및 재배포 금지.