개인정보위, 의료 마이데이터 전송기관에 개인정보 스크래핑 제한 권고 작성일 05-19 76 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="pXKT7QCnE8"> <figure class="figure_frm origin_fig" contents-hash="20d1ea31f27e4c4af3b82920530a8296ff748a0910b73053c46b161711e5d246" dmcf-pid="UZ9yzxhLs4" dmcf-ptype="figure"> <p class="link_figure"><img alt="개인정보보호위원회. [전자신문DB]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202505/19/etimesi/20250519134607825pdks.jpg" data-org-width="700" dmcf-mid="05VYBRSgO6" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202505/19/etimesi/20250519134607825pdks.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 개인정보보호위원회. [전자신문DB] </figcaption> </figure> <p contents-hash="5ad21467d6ab56f6d71a51f7c65e3c6150d162f90e7c4cab53da499f591ef176" dmcf-pid="u52WqMloDf" dmcf-ptype="general">개인정보보호위원회가 안전성·신뢰성 확보가 어려운 자동화된 도구를 통한 개인정보 수집을 제한하기 위해 다중인증(MFA) 적용 등 보호조치를 적용할 것을 의료 마이데이터 정보전송기관에 권고했다. 응용프로그램인터페이스(API) 연계 시스템 구축하는 한편 연계 전까지 개인정보 관리 전문기관 등 신뢰할 수 있는 기관에만 예외적으로 허용하도록 했다.</p> <p contents-hash="75b508b77e3574dbfd6296b3b396dbdfdf71fd1b18b52969bc34659213096866" dmcf-pid="71VYBRSgwV" dmcf-ptype="general">개인정보위는 지난 16일 정부서울청사에서 건강보험심사평가원·국민건강보험공단·질병관리청 등 의료 분야 마이데이터 정보전송기관과 함께 관계기관 협력회의를 개최했다.</p> <p contents-hash="1713b7ed2139a8eb11e028f1824dc6b93d9ba8c4de477b494672428a9c48f993" dmcf-pid="ztfGbevaD2" dmcf-ptype="general">이번 회의는 지난달 25일 전송기관 협의회에서 논의된 홈페이지를 통한 본인전송요구 방법에 대한 개인정보 보호 강화 방안의 후속 조치다.</p> <p contents-hash="8d71c1e33f2a5fd8fc545e5fb4a535149b1e71e384caa38a86aa6c81b1097997" dmcf-pid="qF4HKdTND9" dmcf-ptype="general">개인정보위는 이 자리에서 대리인이 정보주체의 인증정보를 위임받아 웹사이트에 접속해 개인정보를 자동 수집하는 방식인 '스크래핑' 방식이 인증정보 유출, 과도한 정보 수집, 서비스 장애 등 다양한 위험을 초래할 수 있어 정보주체의 통제권을 약화할 우려가 크다고 지적했다.</p> <p contents-hash="e22a9288a8d61d027aad72e214f0bba62e5a6920ea817d12a397d0e7ae94dcd8" dmcf-pid="B38X9JyjsK" dmcf-ptype="general">특히 최근 다크웹 등에 유출된 아이디(ID), 비밀번호 등을 자동 대입해 공격하는 '크리덴셜 스터핑'(credential stuffing) 사례가 급증하는 데다, 스크래핑에 의한 정보 수집은 전 영역에서 광범위하게 벌어지고 최근엔 전문지식이 없는 이들도 챗GPT 등 도구를 활용해 수행하고 있다.</p> <p contents-hash="d23ce682f277ede60017cb85c360c59ef187bc04220945ba8646db44bbdea141" dmcf-pid="b06Z2iWAEb" dmcf-ptype="general">이에 개인정보위는 자동화된 도구를 통한 비공개 개인정보 수집을 제한하고, 식별 가능한 API 연계 시스템을 구축할 것을 요청했다.</p> <p contents-hash="aebbb0752ce80b4f5281e523b2110f24e50e7672d35f94afedb1b7f80585de11" dmcf-pid="KpP5VnYcOB" dmcf-ptype="general">구체적으로 △정보전송기관 홈페이지 이용약관 개정 △MFA 적용 △자동입력 방지코드(CAPTCHA) 도입 △비정상적 로그인 시도 탐지 및 차단 등 보호조치를 단계적으로 적용해 비공개 개인정보 수집을 제한할 수 있다고 설명했다.</p> <p contents-hash="d2b7e8ce79fc181a2cfa166fe177b7033d2ebbdbb716d874299a7cf754dd819f" dmcf-pid="9UQ1fLGkwq" dmcf-ptype="general">다만, 본인 스스로 홈페이지를 통해 개인정보를 내려받는 행위나 자동화 도구를 사용하지 않고 정당하게 위임받은 대리인이 수동으로 접근하는 경우는 정보수집 제한 대상에 포함되지 않는다.</p> <p contents-hash="7ec3465a19757c6fc159b419bc7d153bfa39151a1b64bff8e99dcd1abec98104" dmcf-pid="2uxt4oHEOz" dmcf-ptype="general">아울러 개인정보위는 API 연계 전까지 안전성과 신뢰성이 입증된 개인정보관리 전문기관 등에 대해서만 제한적으로 스크래핑을 허용할 것을 권고했다.</p> <p contents-hash="e0fa188dba216ab577482cf3fa5e87a11da169d9bfb42fbe5b96e4fc87bc3346" dmcf-pid="V7MF8gXDE7" dmcf-ptype="general">하승철 개인정보위 마이데이터추진단장은 “마이데이터 서비스가 국민의 신뢰 속에서 활성화되기 위해선 개인정보를 안전하게 보호할 수 있는 기술·제도적 기반 마련이 우선돼야 한다”며 “기존의 편리성 중심의 자동화 수집 관행을 개선해 국민의 자기정보 통제권을 실질적으로 보장할 수 있도록 기관 간 협력을 강화하겠다”고 밝혔다.</p> <p contents-hash="d36920590481236b84729d77635fd1a3d337b4701867cc4f3219492a3fbfae98" dmcf-pid="fCFwXBA8Ou" dmcf-ptype="general">조재학 기자 2jh@etnews.com</p> </section> </div> <p class="" data-translation="true">Copyright © 전자신문. 무단전재 및 재배포 금지.</p> 관련자료 이전 '완전체' 트리플에스, 초동 51만장 돌파 05-19 다음 잔나비, 카리나 아니면 안 됐다 “첫 소절 부르는 순간 자신감 생겨” (가요광장) 05-19 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
