[이슈플러스]의료 데이터 스크래핑 차단…“보안 강화”vs“산업 위축”

정부가 의료데이터에 대한 스크래핑(일괄 자동수집)에 제동을 걸었다. 무분별한 정보수집과 인증수단 관리 취약성이 꾸준히 제기되면서 이용을 제한한 것이다. 개인이나 기업의 의료 데이터 활용이 확대되는 상황에서 이에 걸맞은 보호조치라는 평가다. 다만 법상으로 스크래핑이 불법이 아닌데다 오랫동안 광범위하게 사용하던 기술인만큼 획일적인 금지보다는 안전성 강화 대책 마련이 우선이라는 주장도 제기된다.

◇의료 데이터 취급 기관, 스크래핑 제한 나서

최근 건강보험심사평가원, 국민건강보험공단, 질병관리청은 이용약관을 개정해 스크래핑과 같은 자동화 도구를 활용한 데이터 추출을 제한했다. 지난 5월 개인정보보호위원회와 보건복지부, 의료 데이터를 다루는 심평원, 건보공단 등 산하기관 간 협의에서 의료 마이데이터 사업자의 스크래핑 사용 제한을 결정한 뒤 4개월 만에 일반 사용자(기업)까지 대상을 확대했다.

국민건강보험공단 제1사옥 전경.

스크래핑은 개인 동의에 기반해 본인전송요구권을 위임받은 기업이 정보보유기관 웹사이트에 자동 접속한 후 데이터를 수집하는 방식이다. 필요한 정보만 갖고 가는 게 아니라 전체 정보를 사진으로 찍듯 일괄 수집한다.

스크래핑에 대한 보안 우려는 꾸준히 제기돼 왔다. 개인이 동의한 범위를 넘어선 데이터 수집과 활용, 인증수단 관리 취약성 등이 원인이다. 이 때문에 정부는 의료 마이데이터 사업자를 포함해 본인전송요구권을 위임받은 기업은 의료 데이터 추출시 스크래핑보다는 애플리케이션프로그래밍인터페이스(API) 방식을 권장하고 있다.

복지부 산하 기관들이 스크래핑 제한에 나선 것은 정부 기조에도 불구하고 여전히 많은 기업이 스크래핑 방식으로 의료 데이터를 수집하고 있기 때문이다. 지난 8월 삼성전자가 '삼성헬스' 애플리케이션(앱) 내 오픈한 '건강관리' 서비스 역시 스크래핑 방식을 이용했다. 이 서비스는 개인동의에 기반해 질병관리청의 접종기록과 국민건강보험공단의 진료, 검진, 처방 등 데이터를 스크래핑 방식으로 추출해 사용자에게 보여준다.

삼성헬스 내 '건강기록' 서비스. 서비스 이용을 위해선 국민건강보험공단 데이터 수집 동의를 해야 한다.

질병관리청 관계자는 “특정 건강 앱의 경우 예방접종 정보 등을 스크래핑해 운영하고 있는데 예방접종의 경우 해당 건강 앱 계정정보 탈취 시 발생할 수 있는 2차 피해 등을 우려해 스크래핑 서비스를 금지했다”고 말했다.

◇“형평성 지켜야” vs “산업 위축 우려” 팽팽

정부 제한 조치에 찬반 의견이 팽팽하다. 개인이 의료 데이터 이동이나 저장, 활용 등을 주도적으로 할 수 있는 제도적 기반이 마련된 데다 기업 역시 이 정보를 활용한 사업화가 시작되는 상황에서 선제적인 안전조치라는 평가가 우선적으로 나온다.

실제 의료 마이데이터, 건강정보고속도로 등 정보 주체(개인)가 자신의 의료 정보를 주도적으로 활용하는 제도가 연이어 시행되고 있다. 데이터 이동과 수집, 활용이 활발히 일어나는 상황에서 우려가 제기된 스크래핑에 대한 제재 조치가 필요하다는 입장이다.

형평성 문제도 근거로 제시된다. 현재 의료 데이터를 사업 목적으로 사용할 수 있는 권한은 의료 마이데이터 사업자뿐이다. 정부는 이 사업자들에겐 스크래핑 방식을 금지한 바 있다. 하지만 사업에 참여하지 않는 기업들은 비슷한 서비스를 하면서도 상대적으로 편리한 스크래핑 방식으로 데이터를 수집하고 있어 형평성에 어긋난다는 것이다.

한 의료 마이데이터 사업자는 “어렵게 사업에 참여해 정부 방침대로 데이터를 수집하고 있지만, 다른 기업들은 손쉽게 데이터를 얻을 수 있는 스크래핑을 지속적으로 사용하고 있어 형평성 문제가 있다”면서 “정부 과제에 참여한다는 이유만으로 더 어려운 방식으로 데이터를 얻고 있는 상황인데, 역차별에 가깝다”고 말했다.

반면 스크래핑이 개인정보보호법 등 법률적으로 불법이 아닌 만큼 무작정 제한해선 안된다는 주장도 있다. 국내에 출시된 건강관리 등 디지털헬스케어 서비스 대부분은 스크래핑 방식으로 데이터를 가져온다. 더욱이 정부가 권장한 API 방식 역시 기술적 완성도가 높지 않고, 일부 기관은 이에 대한 시스템 구축도 완료되지 않아 스크래핑 대체제가 부족하다는 지적도 나온다. 오랫동안 광범위하게 활용됐는데, 법적 근거 없이 단번에 금지할 경우 산업 위축이 우려된다는 것이다.

한 디지털헬스케어 기업 관계자는 “현재 국내 서비스하고 있는 디지털헬스케어 플랫폼 대부분이 스크래핑 방식을 쓰고 있는데, 갑작스럽게 제한해 버린다면 서비스 차질이 우려된다”면서 “무작정 금지하기 보다는 이 기술에 대한 우려를 해소하는 방안에 대한 진지한 논의가 우선돼야 한다”고 주장했다.

◇개인정보관리 전문기관 등 제한적 허용 방침

정부는 의료 데이터 스크래핑을 우선 제한했지만 추후 개인정보관리 전문기관 등 특수기관 인정을 받을 경우 제한적 허용을 검토하고 있다. 스크래핑을 사용하더라도 기술적 보호조치가 충분하다고 판단될 경우 이 방식으로 데이터 수집을 허용하겠다는 것이다.

보건복지부 관계자는 “스크래핑이 여러 분야에서 활용되고 있고, 현재 가장 많이 쓰이는 기술이라는 점은 인지하고 있다”면서 “개인정보관리 전문기관 등 충분한 보호조치를 갖췄다고 판단한 기업에 대해선 스크래핑을 제한적으로 허용하는 것도 검토 중”이라고 말했다.

개인정보관리 전문기관은 마이데이터 등을 통해 개인정보를 받아 맞춤형 서비스, 분석 등에 활용하거나 다른 기업·기관으로 전송 중계를 담당하는 기관이다. 지정되기 위해선 △접근권한 관리 △암호화 △접속기록 보관 △악성프로그램 방지 △물리적 안전조치 등 여러 보호 체계 요소에 걸쳐 세부 기준을 준수해야 한다.

정부는 기업의 스크래핑 의존도가 높은 상황에서 개인정보관리 전문기관 지정을 적극 유도해 기존 기술을 사용하되 보호수준을 높이도록 할 방침이다. 실제 의료 마이데이터 사업자인 카카오헬스케어, 가톨릭중앙의료원은 개인정보관리 전문기관 지정을 신청했으며, 삼성전자도 조만간 신청할 계획으로 알려졌다.

정용철 기자 jungyc@etnews.com