CloudPNG

ºC

logo
IT/바이오

의료통신 마이데이터, 개인정보위 안전 전송 강화

장서준 기자
입력

의료와 통신 분야 마이데이터 제도가 개인정보 유출 사고를 계기로 ‘안전한 전송 체계’ 중심으로 재정비 국면에 들어가고 있다. 개인정보보호위원회가 마이데이터 참여 기업과 관계기관을 한자리에 모아 제도 개선 방향을 논의하면서, 무분별한 스크래핑을 줄이고 본인 전송 요구권을 강화하는 법령 개정 작업에 속도가 붙는 모습이다. 업계에서는 이번 조치가 디지털 헬스케어와 통신 마이데이터 산업의 신뢰를 좌우할 분수령이 될 것으로 보고 있다.

 

개인정보보호위원회는 한국인터넷진흥원과 함께 17일 정부서울청사에서 의료·통신 분야 마이데이터 서비스 참여 기업과 관계기관을 대상으로 마이데이터 제도 개선 간담회를 열었다고 밝혔다. 간담회에는 가톨릭중앙의료원, 삼성의료재단, 룰루메딕, 카카오헬스케어, 한국통신사업자연합회 등 마이데이터 참여 기업과 보건복지부, 과학기술정보통신부, 한국보건의료정보원, 코스콤 등 관계기관이 참석했다.

이번 논의의 배경에는 최근 연이어 발생한 개인정보 유출 사고가 있다. 마이데이터 추진 과정에서 정보 전송 단계의 안전성을 다시 점검하고, 구조적인 취약 지점을 제도와 기술로 보완하자는 목적으로 간담회가 마련됐다. 참석자들은 개인정보 전송 안전성 강화, 홈페이지 기반 개인정보 API 지원 사업 추진 방향, 마이데이터 서비스 성과와 향후 과제 등을 놓고 의견을 교환했다.

 

특히 건강보험공단과 건강보험심사평가원 등 공공기관 홈페이지를 통한 의료 데이터 무분별 스크래핑 문제가 핵심 쟁점으로 떠올랐다. 스크래핑은 이용자 계정으로 홈페이지에 자동 접속해 화면 정보를 대량 수집하는 방식으로, 인증 주체와 실제 이용자가 다를 수 있고 수집 범위 통제가 어려운 점이 지적돼 왔다. 참석자들은 신원이 제대로 확인되지 않은 대리인이 의료 데이터를 과도하게 수집하는 사례가 나타나고 있다며, 이 방식을 대체할 안전한 전송 시스템 도입이 시급하다고 강조했다.

 

논의에 올라온 대안은 API 중심 전송 체계다. API는 사전에 정해진 규격으로 필요한 정보만 선별해 기계 간 직접 전송하는 방식으로, 스크래핑 대비 수집 범위를 통제하고 접근 권한을 정밀하게 관리할 수 있다는 점에서 마이데이터 정책의 방향성과 맞닿아 있다. 개인정보위와 KISA가 추진하는 홈페이지 기반 개인정보 API 지원 사업은 이런 문제의식을 반영해, 공공·민간 홈페이지에 안전한 데이터 전송 인터페이스를 깔아주는 역할을 목표로 하고 있다.

 

개인정보위는 이날 간담회에서 본인 전송 요구권 강화를 위한 개인정보보호법 시행령 개정 추진 현황도 공유했다. 본인 전송 요구권은 정보주체가 자신의 데이터를 다른 서비스로 옮기도록 요구할 수 있는 권리로, 마이데이터 제도의 법적 토대에 해당한다. 개인정보위는 소비자 선택권 보장과 안전한 개인정보 전송 체계 구축을 위해 해당 시행령 개정을 조속히 마무리하겠다는 방침을 밝혔다.

 

앞서 개인정보위는 국민이 각종 홈페이지에서 조회 가능한 본인 정보를 직접 내려받을 수 있도록 하는 시행령 개정안을 입법 예고했다. 개정안은 영업 비밀에 해당하는 정보는 내려받기 대상에서 제외해 기업 경쟁력에 대한 우려를 줄이고, 대리인이 자동화된 도구를 활용해 대량 내려받기를 요구하는 경우에는 사전에 협의된 안전한 전송 방식으로 본인에게 제공하도록 규정했다. 사실상 스크래핑 방식 남용을 막고, 표준화된 안전 전송 방식을 유도하는 내용이다.

 

의료와 통신 영역에서 마이데이터는 고부가가치 디지털 서비스의 기반으로 여겨진다. 의료 분야에서는 병원과 공공기관에 흩어진 진료·투약 기록을 통합해 개인 맞춤형 건강관리, 정밀의료, 디지털 치료제 서비스의 데이터 토대로 활용할 수 있고, 통신 분야에서는 통화·데이터 사용 패턴과 위치·부가서비스 이용 이력을 분석해 이동통신과 금융·콘텐츠를 아우르는 결합 서비스를 설계할 수 있다. 다만 이러한 융합 서비스가 확산될수록 데이터 전송 단계의 보안설계와 책임 규율이 중요해지고 있다.

 

글로벌로도 데이터 이동권과 안전 전송 체계를 결합하는 움직임이 강화되는 추세다. 유럽의 일반개인정보보호법은 데이터 이동권을 핵심 권리로 규정하고, 이를 지원하는 표준 인터페이스 논의를 병행하고 있다. 한국에서도 마이데이터가 금융을 넘어 의료·통신·공공 영역으로 확장되는 국면에서, 기술적 보호조치와 법제 정비를 연계하는 작업이 본격화되고 있는 셈이다.

 

하승철 개인정보위 마이데이터 추진단장은 형식적인 동의만으로 개인정보를 과도하게 수집하는 스크래핑 기업과, 보유 기업만이 거래 내역을 활용할 수 있다고 보는 일부 이커머스 기업 모두가 법률의 취지와 시대 흐름에 맞지 않는다고 지적했다. 데이터는 이용자의 권리이자 혁신의 자원이라는 관점에서, 수집 주체 중심에서 정보주체 중심으로 패러다임을 바꿔야 한다는 메시지로 풀이된다.

 

하 단장은 정보 유출 사고로 국민 불안이 커진 만큼 법에서 정한 안전 조치 의무를 다시 철저히 점검해 줄 것을 요청하면서, 안전하고 투명한 환경에서 국민이 자신의 정보에 접근·활용하고 언제든 철회·삭제할 수 있는 통제권이 보장될 때 더 나은 혁신·융합 서비스 기회가 열릴 수 있다고 강조했다. 개인 통제권과 데이터 활용 촉진을 동시에 달성해야 한다는 점을 분명히 한 셈이다.

 

개인정보위는 마이데이터 생태계의 안정적 안착을 위해 제도적·기술적 지원을 강화하고, 데이터 융합 기반 혁신 서비스 발굴을 지속 지원할 계획이다. 의료·통신 분야 마이데이터가 신뢰를 기반으로 성장해 갈 수 있을지, 규제 정비와 산업계의 자율적인 보안 투자가 향후 성패를 가를 변수로 떠오르고 있다. 산업계는 새로운 전송 체계와 법령이 실제 현장에서 어떻게 작동할지 예의주시하는 분위기다.

장서준 기자
share-band
밴드
URL복사
#개인정보보호위원회#마이데이터#카카오헬스케어