[이데일리 김승권 기자] SKT 해킹사태 이후 개인정보유출에 대한 경각심이 높아졌지만 일부 기업의 꼼수 스크래핑(자동 정보수집)이 여전한 것으로 확인됐다.
헥토그룹 내 헥토파이낸스 자회사 헥토데이터(구 코드에프)의 경우 의료 마이데이터 사업자로 선정되지 않았음에도 환자들의 ‘진료 및 투약정보’ ‘건강검진 내용’ 등을 판매하며 매출을 내고 있는 상황인 것으로 드러났다. 이밖에 관련 사업자가 아님에도 의료 데이터를 활용한 사업을 영위하는 기업은 쿠콘(294570) 등 상당수가 더 있는 것으로 파악된다.
이에 소관 부처인 개인정보보호위원회 마이데이터 사업 단장은 내년 이런 스크래핑 행위에 대한 전수조사를 예고했다. 개인정보법 추가 개정을 통해 처벌 기준도 명확히 한다는 방침이다.
 | | 개인정보보호법 개정안에 따라 정보전송자 및 전송 요구 대상이 되는 민감 분야 대상 정보 (자료=개인정보보호위원회) |
|
핵토 측 “금융 마이데이터 업체여서 의료 데이터 스크래핑도 가능하다?” 1일 개인정보보호위원회(이하 개보위)에 따르면 지난 3월 개인정보법법률 개정안에서 의료정보 등은 정부가 정한 특수전문기관 만이 ‘마이데이터(환자들의 의료 정보)’를 다룰 수 있게 했다. 하지만 헥토파이낸셜(234340) 자회사인 헥토데이터는 의료 데이터를 다룰 수 없음에도 환자들의 의료정보 스크래핑을 지속하고 있는 상황이다. 실제 헥토데이터는 시행령 개정 후인 5월, 6월 ‘CODEF API’ 서비스로 세금계산서를 발행한 것으로 파악된다
 | | 헥토그룹이 의료 스크래핑을 통해 매출을 내고 있는 모습 (사진=제보자 제공) |
|
하승철 마이데이터 단장은 “일부 기업의 스크래핑이 문제라는 것을 당국도 인지하고 있다. 스크래핑 기준을 어길 시 시정 명령 및 과태료 처분 대상이 된다”라며 “하반기 건강보험심사평가원 등 마이데이터 관련 정보 전송자들에게 안정성 강화 조치를 권고할 예정이다. 또한 스크래핑(정보 수집) 가이드라인을 어기는 업체를 선별하기 위해 늦어도 내년 전수조사에 나설 예정”이라고 설명했다. .
스크래핑은 이용자의 인증 정보를 기반으로 웹사이트에 자동 접속한 후 데이터를 수집하는 방식이다. 건강보험심사평가원 등에서 환자들의 개인 정보를 헥토데이터 등이 수집해가는 방식과 동일하다.
실제 헥토데이터는 홈페이지에서도 스크래핑 서비스인 ‘CODEF API’가 ‘건강보험공단’ 등에서 환자 정보를 스크래핑하고 있다고 설명하고 있다. 이런 데이터는 헬스케어 플랫폼인 ‘친한 약사’, ‘애터미’ 등에 판매된다고 당당하게 홍보도 하고 있다. 핵토데이터의 매출은 100억원 미만이지만 핵토그룹 전체의 정보통신 분야 매출은 약 1116억원에 달한다. 비슷한 비즈니스 모델을 가진 쿠콘(294570)의 의료 등 데이터 부문 매출은 약 386억원으로 파악된다.
불법 스크래핑, 해외보다 국내에선 솜방망이 처벌...“인식전환 필요” 문제는 헥토데이터나 헥토이노베이션(214180), 헥토파이낸셜(234340)이 의료데이터를 취급하는 기업으로 당국에 인증받지 않았다는 점이다. 실제 개인정보보호법 시행령 제42조의 6 제7항에 따라 보건의료, 통신, 에너지 등 민감 정보 분야에 대해 스크래핑 방식의 정보 수집이 원칙적으로 금지됐다. 의료 마이데이터 전송 방식은 기술적으로나 법적으로도 표준화된 API 기반으로 전송되어야 하며 스크래핑은 법에서 허용한 방식이 아니라는 것이 개보위 측 설명이다.
 | | 헥토데이터 홈페이지에서 홍보하고 있는 스크래핑 서비스 (사진=헥토데이터 홈페이지 갈무리) |
|
그럼에도 헥토그룹 측은 문제가 없다는 입장이다. 헥토그룹 관계자는 “헥토데이터는 개인정보관리 전문기관으로 개인정보위의 가이드에 따라 스크래핑을 하고 있다”고 설명했다. 그러면서 그는 ‘개인정보위가 API 연계 전까지 ‘개인정보관리 전문 기업’에 대해서 제한적으로 스크래핑을 허용했다’는 당국의 보도자료 내용을 기자에게 보내왔다.
하지만 이는 헥토 측이 금융 마이데이터 사업자이기 때문에 의료 데이터를 사용하는 것이 문제 없다고 오해하고 있는 것으로 파악된다. 하승철 마이데이터 단장은 “의료 마이데이터를 취급할 수 있는 정부 인증 사업자는 현재 룰루메딕, 카카오헬스케어, 카톨릭중앙의료원 컨소시엄 이 세곳”이라며 “다른 기업이 의료 데이터를 스크래핑 하는 것은 법률 위반 소지가 있다”고 강조했다.
 | | 헥토데이터 홈페이지에서 의료 정보를 판매하고 있는 기업 리스트 (사진=헥토데이터 홈페이지 갈무리) |
|
전문가들은 스크래핑이 단순한 ‘데이터 수집’이 아닌, 심각한 범죄가 될 수 있다는 인식의 전환이 필요하다고 경고한다. 과거 우리나라에서 스크래핑은 해외와 비교할 때 사회적인 처벌 강도가 현저히 낮았다.
해외에서는 스크래핑으로 인한 줄 소송이 이어지고 있다. 미국 로펌 클락슨은 최근 ‘소셜미디어 게시글·댓글과 위키피디아 자료 등을 무단 활용해 수백만 명의 권리를 침해했다’는 이유로, 챗GPT 개발사 오픈AI를 캘리포니아주 북부 연방법원에 제소했다. 앞서 2월에는 이미지 제공업체 게티이미지가 ‘이미지를 무단 도용했다’며 생성형 AI 기업 스태빌리티AI를 상대로 소송을 제기한 바 있다.
개인정보보호위원회도 처벌 수위를 높이는 추세다. 개인정보보호위원회는 페이스북 운영사 메타가 민감 정보를 동의 없이 수집해 광고주에게 전달했다고 과징금 216억원 처분을 의결했다.
익명을 요구한 법무법인 태평양 소속 한 변호사는 “시행령은 법률의 위임에 따라 대통령이 제정하는 법규이므로, 이를 어기면 법률 위반과 동일하게 처벌될 수 있다”며 “스크래핑 기업도 얼마든지 피고소 기업으로 배상 책임을 질 수 있다”고 강조했다.
개인정보 관련 정부 부처의 정책 방향에 대한 질의에 대해 헥토그룹 측은 “당사도 마이데이터 사업자로 선정됐기 때문에 임시적으로 스크래핑이 허용된다고 내부적으로 보고있다”고 말했다. 쿠콘 측에는 2회 이상 입장을 질의하고 답변을 기다렸지만 끝내 대답을 듣지 못했다.
![[용호상박 K바이오]'안 아프게 맞자'…메디허브·라메디텍](https://image.edaily.co.kr/images/vision/files/NP/S/2025/07/PS25070400320b.jpg)
![[단독] 헥토그룹, 개인정보법 규정 위배 논란...당국, 불법 스크래핑 전수 조사한다](https://image.edaily.co.kr/images/vision/files/NP/S/2025/07/PS25070301182b.jpg)