[이데일리 김승권 기자] 최근 의료 데이터 활용과 관련한 논란이 다시 수면 위로 떠올랐다. 기존 방식으로 스크래핑을 진행하는 기업들은 ‘예외 규정이 있기 때문에 문제가 없다’는 입장이다. 하지만 규제 당국은 ‘의료 데이터’를 사용 가능한 곳은 규제 샌드박스로 지정된 룰루메딕, 카카오헬스케어, 카톨릭중앙의료원 컨소시엄 뿐‘이라고 전했다.
특히 헥토데이터(구 코드에프)의 경우 의료 마이데이터 사업자로 선정되지 않았음에도 환자들의 ‘진료 및 투약정보’ ‘건강검진 내용’ 등을 판매하며 매출을 내고 있는 상황인 것으로 드러났다. 이밖에 관련 사업자가 아님에도 의료 데이터를 활용한 사업을 영위하는 기업은 쿠콘(294570) 등 상당수가 더 있는 것으로 파악된다.
 | | 개인정보보호법 개정안에 따라 정보전송자 및 전송 요구 대상이 되는 민감 분야 대상 정보 (자료=개인정보보호위원회) |
|
이에 소관 부처인 개인정보보호위원회 마이데이터 사업 단장은 내년 이런 스크래핑 행위에 대한 전수조사를 예고했다. 개인정보법 추가 개정을 통해 처벌 기준도 명확히 한다는 방침이다.
기존 업체 “스크래핑 서비스는 개인정보열람권에 따른 것….전송요구권과 구별해야” 1일 개인정보보호위원회(이하 개보위)에 따르면 지난 3월 개인정보법법률 개정안에서 의료정보 등은 정부가 정한 특수전문기관 만이 ‘마이데이터(환자들의 의료 정보)’를 다룰 수 있게 했다. 하지만 헥토데이터는 의료 데이터를 다룰 수 없음에도 환자들의 의료정보 스크래핑을 지속하고 있는 상황이다. 실제 헥토데이터는 시행령 개정 후인 5월, 6월 ‘CODEF API’ 서비스로 세금계산서를 발행한 것으로 파악된다.
 | | A 기업이 의료 스크래핑을 통해 매출을 내고 있는 모습 (사진=제보자 제공) |
|
하승철 마이데이터 단장은 “스크래핑은 편리한 반면 위험성이 크다는 것을 인지하고 있다. 인증정보 유출, 과도한 정보 수집, 서비스 장애 등 다양한 위험을 초래할 수 있어 정보주체의 통제권을 약화시킬 우려가 있다. 스크래핑에 의한 정보 수집이 행정, 세무, 의료 등 사회 전 영역에서 광범위하게 벌어지고 있다. 건강보험심사평가원 등 마이데이터 관련 정보 전송자들에게 간담회, 설명회 등을 통해 안전성 강화 조치를 권고하고 있으며, 내년에는 실태점검에 나설 예정”이라고 설명했다.
스크래핑은 이용자의 인증 정보를 기반으로 웹사이트에 자동 접속한 후 데이터를 수집하는 방식이다. 건강보험심사평가원 등에서 환자들의 개인 정보를 기존 방식의 기업이 수집해가는 방식과 동일하다.
실제 일부 기업은 홈페이지에서 ‘건강보험공단’ 등에서 환자 정보를 스크래핑하고 있다고 설명하고 있다. 이런 데이터는 헬스케어 플랫폼인 ‘친한 약사’, ‘애터미’ 등에 판매된다는 것이다.
이에 대해 업계 관계자는 “개인정보열람권에 따라 스크래핑 서비스는 가능하다”고 해명했다.
불법 스크래핑, 해외보다 국내에선 솜방망이 처벌...“인식전환 필요” 개인정보보호법 시행령 제42조의 6 제7항에 따라 보건의료, 통신, 에너지 등 민감 정보 분야에 대해 스크래핑 방식의 정보 수집이 원칙적으로 금지됐다. 의료 마이데이터 전송 방식은 기술적으로나 법적으로도 표준화된 API 기반으로 전송되어야 하며 스크래핑은 법에서 허용한 방식이 아니라는 것이 개보위 측 설명이다.
관련 업계 한 관계자는 “스크래핑 방식이 가능한 열람권과 새로 신설된 개인정보 전송요구권은 구분되야 한다”며 “전송요구권을 행사할 때도 API 연계 방식을 권장하지만 API연계전까지는 제한적으로 스크래핑을 허용할 것을 권고”했다고 설명했다. 그러면서 그는 ‘개인정보위가 API 연계 전까지 ‘개인정보관리 전문 기업’에 대해서 제한적으로 스크래핑을 허용했다’는 당국의 보도자료 내용을 기자에게 보내왔다.
하승철 마이데이터 단장은 “현재, 의료 마이데이터를 활용한 서비스는 룰루메딕, 카카오헬스케어, 카톨릭중앙의료원 컨소시엄 세 곳이다. 정보전송자 웹사이트들은 안전성과 신뢰성이 입증된 개인정보관리 전문기관 등에 대해서만 제한적으로 스크래핑을 허용할 것을 권고하고 있다”고 강조했다.
 | | A기업 홈페이지에서 의료 정보를 판매하고 있는 기업 리스트 (사진=기업 홈페이지 갈무리) |
|
전문가들은 스크래핑이 단순한 ‘데이터 수집’이 아닌, 심각한 범죄가 될 수 있다는 인식의 전환이 필요하다고 경고한다. 과거 우리나라에서 스크래핑은 해외와 비교할 때 사회적인 처벌 강도가 현저히 낮았다.
해외에서는 스크래핑으로 인한 줄 소송이 이어지고 있다. 미국 로펌 클락슨은 최근 ‘소셜미디어 게시글·댓글과 위키피디아 자료 등을 무단 활용해 수백만 명의 권리를 침해했다’는 이유로, 챗GPT 개발사 오픈AI를 캘리포니아주 북부 연방법원에 제소했다. 앞서 2월에는 이미지 제공업체 게티이미지가 ‘이미지를 무단 도용했다’며 생성형 AI 기업 스태빌리티AI를 상대로 소송을 제기한 바 있다.
개인정보보호위원회도 처벌 수위를 높이는 추세다. 개인정보보호위원회는 페이스북 운영사 메타가 민감 정보를 동의 없이 수집해 광고주에게 전달했다고 과징금 216억원 처분을 의결했다.
익명을 요구한 대형로펌 소속 한 변호사는 “시행령은 법률의 위임에 따라 대통령이 제정하는 법규이므로, 이를 어기면 법률 위반과 동일하게 처벌될 수 있다”며 “스크래핑 기업도 얼마든지 피고소 기업으로 배상 책임을 질 수 있다”고 강조했다.
헥토데이터 관계자는 “입법 예고 중인 개인정보보호법 시행령 개정안에 따라 개인정보 통합관리 전문기관 도입이 추진되는 등 안전성 기준이 강화될 전망”이라며 “당국의 정책에 맞춰 필요한 조치를 적극 이행할 것”이라고 말했다.
쿠콘 측도 의료 데이터 스크래핑 논란에 강력하게 해명했다. 헬스케어 기업이 의료데이터를 직접 수집 사용하도록 안정성과 신뢰성이 확인된 스크래핑 엔진과 API만 제공한다고 밝혔다. 의료데이터는 헬스케어 기업이 직접 수집·사용하며, 쿠콘은 이 과정에서 기술적 도구만 제공할 뿐이라는 것이다.
쿠콘 관계자는 “개인정보보호법 제2조5호에 따르면 개인정보처리자는 실질적으로 이용기업(헬스케어 사업자)가 해당된다”며 “이에 따라 쿠콘은 단순히 기술적 도구를 제공할 뿐 개인정보를 직접 처리하거나 관여하지 않는다”고 강조했다.
한편 개인정보보호위원회는 특수전문기관 추가 선정을 예고했다. 5일 기업 등을 대상으로 추가 설명회를 개최한다는 방침이다.
![인투셀, 특허이슈에 장외 하한가…퓨쳐켐, 진단제 국내 품목허가 추진[바이오 맥짚기]](https://image.edaily.co.kr/images/vision/files/NP/S/2025/07/PS25071000247b.jpg)
