"스크래핑, 크리덴셜 스터핑과 구분 어려워…API로 전환해야"

개인정보위, 건보공단·심평원과 스크래핑 안전성 강화 토론회

개인정보보호위원회 [개인정보보호위원회 제공]

(서울=연합뉴스) 차민지 기자 = 개인정보보호위원회는 16일 서울 광화문 프레스센터에서 한국인터넷진흥원, 국민건강보험공단, 건강보험심사평가원과 함께 '의료 분야 스크래핑 대응 및 안전성 강화 토론회'를 열었다고 밝혔다.

이번 토론회는 스크래핑의 위험성과 개인정보 침해 가능성을 점검하고, 국민이 안전하게 본인 정보를 내려받을 수 있도록 제도·기술적 개선 방안을 논의하기 위해 마련됐다.

스크래핑은 사용자로부터 아이디(ID)와 비밀번호, 인증정보 등을 받아 대신 홈페이지에 접속한 뒤 화면에 표시된 개인정보를 자동화 프로그램으로 수집하는 방식이다.

스크래핑은 사용자 동의를 받았더라도 과도한 정보 수집이나 인증정보 유출, 목적 외 이용 등 개인정보 침해 위험이 커 보다 안전한 '응용 프로그램 인터페이스(API·컴퓨터나 소프트웨어 사이의 연결)' 방식으로 시급히 전환해야 한다는 지적이 많은 상황이다.

이에 따라 개인정보위는 대리인이 스크래핑 등 자동화 도구로 본인전송요구권을 행사하는 경우 API 등 사전에 협의된 방식으로 개인정보를 전송받도록 하는 내용의 개인정보 보호법 시행령 개정을 추진하고 있다.

이날 토론회에서는 자동화된 스크래핑 접속이 집중될 경우 다른 이용자의 홈페이지 이용을 방해할 수 있고, 해킹 수법인 '크리덴셜 스터핑'과 구분하기 어렵다는 점이 문제로 지적됐다.

크리덴셜 스터핑은 다크웹 등에 유출된 ID와 비밀번호를 자동 대입해 공격하는 해킹 방식이다.

개인정보위는 정보주체인 개인이 기업 홈페이지에서 본인 정보를 자유롭게 내려받을 수 있어야 하며, 이를 대리하는 대리인이 개인정보를 제대로 관리할 수 있는지 사전에 확인할 수 있어야 한다고 강조했다.

아울러 기업 홈페이지 관리자는 대리인을 식별하고 어떤 개인정보를 제공했는지 기록으로 남겨야 한다고 덧붙였다.

개인정보위는 국민건강보험공단, 건강보험심사평가원 등과 함께 관련 제도 개선을 추진할 방침이다.

chacha@yna.co.kr

▶제보는 카톡 okjebo