삼성헬스 건강정보 수집 서비스 제동 걸리나

정부가 올 연말까지 국민 건강정보 스크래핑(긁어오기)을 제한한다. 무분별한 데이터 수집과 정보유출 우려가 커지면서 관행적으로 이뤄지던 스크래핑 행위에 제동을 걸었다. 당장 '삼성헬스'처럼 스크래핑을 포함해 자동화된 도구로 건강정보를 수집, 사용자에게 제공하던 서비스에 차질이 예상된다.

24일 정부기관에 따르면 개인정보보호위원회는 연내 건강보험심사평가원, 국민건강보험공단과 협의해 스크래핑 등 자동화된 도구를 활용한 정보 전송을 제한할 방침이다. 다만 개인정보관리전문기관 등 충분한 기술적 보호조치를 갖춘 기업에게는 스크래핑을 한시적으로 허용하겠다는 게 핵심이다.

스크래핑은 개인 동의에 기반해 본인전송요구권을 위임받은 기업이 정보보유기관 웹사이트에 자동 접속한 후 데이터를 수집하는 방식이다. 필요한 정보만 갖고 가는 게 아니라 전체 정보를 사진으로 찍듯 일괄 수집한다. 수집하는 입장에선 편리하지만 과도한 정보 수집과 이 과정에서 데이터 유출 등 정보보안 우려가 크다. 이 같은 이유로 정부는 스크래핑보다는 애플리케이션프로그래밍인터페이스(API) 방식으로 데이터 수집을 권장하고 있다.

이 같은 우려가 제기됨에도 스크래핑을 통한 의료 정보 수집, 서비스는 지속 늘어나고 있다. 최근 삼성전자도 헬스케어 플랫폼 '삼성헬스'에 '건강기록' 서비스를 오픈했다. 개인이 동의할 경우 건보공단의 접종, 검진, 약처방, 내원, 생체징후, 검진 등 데이터를 끌어와 보여준다.

이러한 움직임에 마이데이터 사업자들 불만이 폭발하고 있다. 이들은 어렵게 '의료 마이데이터 사업'에 참여해 정부 방침대로 API 방식으로 데이터를 수집, 서비스하는 상황에서 스크래핑으로 손쉽게 데이터를 수집하는 기업이 등장하면서 형평성 문제가 불거지기 때문이다.

정부는 현행 개인정보보호법에서 자동화된 도구에 대한 금지나 제한을 두지 않고 있긴 하지만 스크래핑이 지속 확산하고 있다는 점에서 특단의 조치가 필요하다는 입장이다. 최근 개인정보전송요구권이 기존 의료, 통신에서 사회 전분야로 확대되면서 스크래핑 이용도 늘어날 수 있는 만큼 선제적인 대응이 필요하다는 것이다.

이를 위해 현재 정보주체 대리인(기업)이 정보제공기관과 협의만 할 경우 허용됐던 스크래핑은 정보제공기관의 약관개정을 통해 제한하기로 방침을 세웠다. 가장 민감한 데이터를 다루는 보건의료 부문에선 이미 질병청과 협의를 마쳐 스크래핑을 제한한 상태고, 심평원과 건보공단 역시 연내 같은 조치를 취할 계획이다.

개인정보위 관계자는 “스크래핑이 법적 금지 사항이 아님에도 기술적 보호조치에 대한 우려가 큰 만큼 개인정보관리전문기관을 포함해 이에 준하는 보호조치를 취하는 곳만 제한적으로 허용하자는 게 방침”이라며 “스크래핑으로 건강정보 서비스를 하는 기업과도 면담해 보호조치 강화 등을 유도할 계획”이라고 말했다.

합법적으로 의료 데이터 수집, 활용이 가능한 의료 마이데이터 사업은 이제 막 시범사업 단계인데다 API 방식도 한계가 있는 만큼 관행으로 써왔던 스크래핑 기반 서비스는 지속 이어질 것이라는 게 전문가 관측이다.

박영수 법무법인 민후 변호사는 “정책 활성화 측면에서 스크래핑을 당장 차단하는 건 쉽지 않다”면서 “현재 스크래핑에 대한 기술적 보호조치가 완벽하게 안돼 있는 만큼 여기에 대한 기준이나 가이드라인이 필요하다”고 말했다.

최경진 가천대 교수(한국인공지능법학회장)는 “스크래핑이 문제다 아니다를 떠나 안전한 정보 유통 경로인지 판단하는 게 우선”이라며 “안전성만 확보된다면 어떤 경로든 문제가 되지 않으며 정보주체 친화적인 방향에서 논의가 필요하다”고 강조했다.

정용철 기자 jungyc@etnews.com, 조재학 기자 2jh@etnews.com