“스크래핑은 위험하다”, 개인정보위, 마이데이터 정보전송기관에 보안강화 촉구

article_right_top

개인정보 유출 위험을 키우는 자동화 수단인 '스크래핑'에 대해 정부가 본격적인 규제에 나섰다. 개인정보보호위원회(위원장 고학수)는 지난 5월 16일, 정부서울청사에서 건강보험심사평가원, 국민건강보험공단, 질병관리청 등 의료 분야 마이데이터 정보전송기관과 함께 관계기관 협력회의를 열고 본인정보 전송 요구 과정의 보안 강화를 주문했다.

이번 회의는 지난 4월 25일 열린 전송기관 협의회에서 논의된 웹사이트 기반 본인정보 전송요구의 개인정보 보호 강화 방안에 대한 후속 조치의 일환이다. 개인정보위는 이 자리에서 “스크래핑 방식은 인증정보 유출, 과도한 개인정보 수집, 시스템 장애 등 다양한 위험을 초래한다”며 “정보주체의 통제권을 심각하게 약화시킬 수 있다”고 경고했다. 특히 최근 다크웹을 통한 아이디(ID)와 비밀번호 유출이 늘면서 ‘크리덴셜 스터핑’ 공격 사례가 급증하고 있는 점도 강조됐다.

스크래핑 방식은 사용자가 직접 로그인하는 대신, 대리인이 인증 정보를 위임받아 웹사이트에서 개인정보를 자동으로 수집하는 기법이다. 이미 행정, 세무, 의료 등 다양한 영역에서 널리 쓰이고 있으며, 최근에는 챗GPT 등 자동화 도구의 활용으로 비전문가도 쉽게 접근할 수 있어 악용 가능성이 높다. 이에 따라 개인정보위는 관계기관에 ▲홈페이지 이용약관 개정, ▲다중인증(MFA) 도입, ▲자동입력 방지코드(CAPTCHA) 적용, ▲비정상 로그인 시도 탐지 및 차단 등을 단계적으로 시행해 자동화된 비공개 개인정보 수집을 제한하라고 권고했다.

다만, 개인정보위는 “정보주체 본인이 직접 웹사이트에 접속해 개인정보를 내려받는 경우나, 자동화 도구 없이 정당한 위임을 받은 대리인이 수동으로 접근하는 방식은 이번 규제 대상에 포함되지 않는다”고 덧붙였다. 특히 API 연계 시스템이 구축되기 전까지는 안전성과 신뢰성을 갖춘 ‘개인정보관리 전문기관에 한해 제한적으로 스크래핑 허용을 권고한 것도 주목된다. 무분별한 스크래핑 금지가 정보주체의 권리 행사를 제약할 수 있다는 점을 고려해, 공인된 대리인의 안전한 접근은 일정 범위에서 인정하겠다는 뜻으로 해석된다. 실제로 지난 3월 전면 시행된 ‘전송요구권’ 제도 이후, 그동안 민간 서비스업체를 중심으로 진행되던 스크래핑 기반의 데이터 수집 행위는 점차 전문기관 중심의 체계로 재편되고 있다.

하승철 개인정보위 마이데이터추진단장은 “마이데이터 서비스가 국민의 신뢰 속에서 자리 잡기 위해서는 기술적·제도적 기반을 통해 철저한 개인정보 보호가 전제되어야 한다”며, “자동화 편의성에 의존하던 과거 관행에서 벗어나, 국민의 자기정보 통제권을 실질적으로 보장하는 방향으로 정책을 전환해 나가겠다”고 밝혔다.

-심해영기자