개인정보보호위원회는 의료 마이데이터 서비스와 관련하여 본인 인증 정보를 이용한 자동화 방식의 개인정보 수집, 이른바 '스크래핑'에 대해 제한을 권고했다. 이는 개인정보 유출, 서비스 장애 등 보안 위협에 선제적으로 대응하기 위한 조치다.

5월 16일 열린 관계기관 협력회의에는 건강보험심사평가원, 국민건강보험공단, 질병관리청 등이 참여하였으며, 스크래핑 방식의 위험성과 대안에 대해 논의했다. 개인정보위는 인증정보를 무단 사용한 자동 수집이 정보주체의 통제권을 약화시킨다고 지적했다.

특히 최근 다크웹에서 유출된 ID, 비밀번호를 활용한 ‘크리덴셜 스터핑’ 공격이 급증하는 상황에서, 개인정보 자동수집 도구 사용이 더욱 위험하다는 점을 강조했다. 이에 따라 홈페이지에 ▲다중 인증 적용 ▲자동입력 방지코드(CAPTCHA) 도입 ▲비정상 로그인 차단 등의 기술적 조치가 권고되었다.

단, 본인이 수동으로 개인정보를 내려받는 경우나 정당하게 위임받은 대리인이 자동화 도구 없이 접근하는 경우는 예외로 인정된다.

또한 개인정보위는 API 기반 시스템으로의 전환이 완료되기 전까지는 신뢰성과 안전성이 입증된 개인정보관리 전문기관에 한해 예외적으로 스크래핑을 허용할 방침이다.

아울러 중소기업과 의료기관이 마이데이터 서비스를 안전하게 개발할 수 있도록 개인정보위는 보안설비 구축비 지원과 컨설팅을 포함한 2025년도 지원사업도 진행 중이다.

개인정보위는 이번 조치를 통해 국민의 자기정보 통제권을 강화하고, 안전하고 신뢰할 수 있는 마이데이터 환경을 조성하겠다는 방침이다.