브리핑룸

"의료분야 무분별한 개인정보 자동화수집 안돼요"

2025.05.19 개인정보보호위원회

글자크기 설정

첨부파일

"의료분야 무분별한 개인정보 자동화수집 안돼요"

- 개인정보위, 의료 마이데이터 전송기관 홈페이지 개인정보 스크래핑 제한 권고

- 개인정보 관리 전문기관 등 신뢰할 수 있는 기관에 예외적 허용

개인정보보호위원회(위원장 고학수, 이하 '개인정보위')는 5월 16일(금) 정부서울청사에서 건강보험심사평가원, 국민건강보험공단, 질병관리청 등 의료 분야 마이데이터 정보전송기관과 함께 관계기관 협력회의를 개최했다.

이번 회의는 지난 4월 25일 전송기관 협의회에서 논의된 홈페이지를 통한 본인전송요구 방법에 대한 개인정보 보호 강화 방안의 후속 조치이다.

이 자리에서 개인정보위는 대리인이 정보주체의 인증정보를 위임받아 웹사이트에 접속하여 개인정보를 자동 수집하는 방식인 '스크래핑' 방식이 인증정보 유출, 과도한 정보 수집, 서비스 장애 등 다양한 위험을 초래할 수 있어 정보주체의 통제권을 약화시킬 우려가 크다고 지적했다.

특히 최근 다크웹 등에 유출된 아이디(ID), 비밀번호 등을 자동 대입하여 공격하는 '크리덴셜 스터핑(credential stuffing)' 사례가 급증하고 있어 이에 대한 선제적 대응이 시급한 상황이라고 강조했다.

스크래핑에 의한 정보 수집은 행정, 세무, 의료 등 사회 전 영역에서 광범위하게 벌어지고 있으며, 최근에는 전문지식이 없는 이들도 챗GPT 등 도구를 활용해 수행하고 있다. 이에 개인정보위는 자동화된 도구를 통한 비공개 개인정보 수집을 제한하고, 식별 가능한 API(애플리케이션 프로그래밍 인터페이스)* 연계 시스템을 구축할 것을 요청했다.

* API(Application Programming Interface) : 소프트웨어 애플리케이션 간 서로 통신할 수 있도록 정해진 명세 또는 인터페이스

이와 관련, 개인정보위는 ▲정보전송기관 홈페이지 이용약관 개정, ▲다중인증*(MFA) 적용, ▲자동입력 방지코드**(CAPTCHA) 도입, ▲비정상적 로그인 시도 탐지 및 차단 등 보호조치를 단계적으로 적용하여 비공개 개인정보 수집을 제한할 수 있다고 설명했다.

* 다중 인증 : 사용자 신원 확인을 위해 두 가지 이상의 인증 수단을 제공하는 방식

** 캡차 : 사용자가 사람인지 자동화된 기계인지 구분하기 위해 문자, 숫자 등을 활용한 접근 차단 방식

다만, 본인 스스로 홈페이지를 통해 개인정보를 내려받는 행위나 자동화 도구를 사용하지 않고 정당하게 위임받은 대리인이 수동으로 접근하는 경우는 정보수집 제한 대상에 포함되지 않는다.

더불어 개인정보위는 API(애플리케이션 프로그래밍 인터페이스) 연계 전까지 안전성과 신뢰성이 입증된 개인정보관리 전문기관* 등에 대해서만 제한적으로 스크래핑을 허용할 것을 권고하였다. 자동화된 도구를 이용한 대리를 전면 금지하는 것은 정보주체의 대리권 행사를 일정 부분 제한할 수 있으나, 안전성·신뢰성이 확인된 대리인이 안전한 방식을 마련하여 수행하는 대리 행사는 허용하는 것이 적절하고 합리적이기 때문이다.

* 정보주체의 권리 행사를 지원하기 위해 개인정보를 안전하고 체계적으로 관리하고 마이데이터를 활용한 서비스를 제공하는 기관으로, 개인정보 보호법령에 따라 지정심사를 거쳐 선정

그간 정보주체의 단순한 동의만으로 광범위하게 이뤄지던 스크래핑 기반 개인정보 수집·분석 행위는 지난 3월 시행된 전 분야 전송요구권 제도에 따라 개인정보관리 전문기관을 중심으로 재편될 것으로 예상된다.

하승철 개인정보위 마이데이터추진단장은 "마이데이터 서비스가 국민의 신뢰 속에서 활성화되기 위해서는 개인정보를 안전하게 보호할 수 있는 기술·제도적 기반 마련이 우선되어야 한다."라며, "기존의 편리성 중심의 자동화 수집 관행을 개선해 국민의 자기정보 통제권을 실질적으로 보장할 수 있도록 기관 간 협력을 강화하겠다."라고 밝혔다.

한편, 개인정보위는 개인정보관리 전문기관 지정을 희망하는 중소기업 및 의료기관 등이 마이데이터 서비스를 안정적으로 개발할 수 있도록, 보안설비 구축비 지원과 전문 컨설팅 제공 등을 포함한 「2025년 마이데이터 서비스 지원사업」공모를 5월 9일부터 진행 중*이다.

* 한국인터넷진흥원(www.kisa.or.kr) 누리집 - 알림마당 – 입찰공고(~6.9.)

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 범정부마이데이터추진단 전략기획팀 권오혁(02-2100-3172)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”

OPEN 공공누리 제 1유형 공공저작물 자유이용허락 출처표시 저작권정책 담당자안내 공공누리 출처표시의 조건에 따라 자유이용이 가능합니다. (텍스트): 단, 사진, 이미지, 일러스트, 동영상 등의 일부 자료는 문화체육관광부가 저작권 전부를 보유하고 있지 아니하므로, 반드시 해당 저작권자의 허락을 받으셔야 합니다.

정책브리핑 공공누리 담당자 안내

문의처 : 문화체육관광부 정책포털과

문화체육관광부 정책포털과 공공누리 담당자
뉴스	정책뉴스, 기고/칼럼 등 044-203-3048 국민이 말하는 정책 044-203-3254
멀티미디어	영상, 숏폼 044-203-3049 카드/한컷 044-203-3254 사진 044-203-3049 웹툰 044-203-3049
브리핑룸	사실은 이렇습니다 044-203-3048 브리핑자료 044-203-3054 연설문 044-203-3043
정책자료	국정신문 044-203-3046
정부기관 SNS	소통채널(SNS) 044-203-3046