검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'스크래핑'통합검색 결과 입니다. (4건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

개보위 "의료분야 데이터 스크래핑, API로 개선해야"

개인정보보호위원회(개인정보위)와 한국인터넷진흥원(KISA)는 16일 14시 서울시 중구 프레스센터에서 '의료분야 스크래핑 대응 및 안전성 강화 토론회'를 개최했다. 이날 토론회는 의료 분야에서 쓰이는 의료분야 주요 공공기관 홈페이지에 대한 '스크래핑' 대응 및 안전성 강화 방안을 논의하기 위해 마련됐다. 스크래핑(Scraping)은 사용자로부터 ID, 비밀번호, 인증정보 등을 얻어 사용자 대신 홈페이지에 접속해 화면에 표시된 개인정보를 자동화된 프로그램으로 긁어 오는 방식을 말한다. 개인정보위는 마이데이터 본인전송요구권 확대와 본인전송의 안전성·신뢰성을 강화하기 위해 개인정보 보호법 시행령 개정을 추진하고 있다. 시행령이 개정되기 전에도 안전한 마이데이터 전송체계를 마련하기 위해 지난 4월부터 건강보험공단, 심사평가원, 질병관리청 등 스크래핑이 많이 일어나는 의료분야 홈페이지 정보전송자와 합동점검회의를 개최했고, 스크래핑 대응을 위한 홈페이지 안전성 강화 방안을 논의했다. 이번 토론회는 그간 개인정보위와 의료분야 공공기관의 논의 내용 및 추진상황을 공유하는 동시에, 스크래핑의 위험성과 개인정보 침해 가능성을 점검하고, 홈페이지 사용자인 국민의 권리행사 보장 및 안전하게 개인정보를 내려받기 위한 제도·기술적 개선 방안을 논의하기 위해 마련됐다. 패널들은 개인정보 스크래핑이 해킹의 한 방식인 '크리덴셜 스터핑'과 구분하기 어렵고, 자동화된 스크래핑 접속이 한꺼번에 몰리는 경우 다른 사용자의 홈페이지 이용을 방해한다는 점에 공감했다. '크리덴셜 스터핑'은 다크웹 등에 유출된 ID, 비밀번호 등을 자동 대입해 공격하는 해킹 방식이다. 또 개인정보위는 ▲정보주체인 개인이 기업 홈페이지에서 본인정보를 자유롭게 내려받을 수 있어야 하며 ▲이를 대리하는 대리인이 개인정보를 잘 관리할 수 있을지 사전에 확인할 수 있어야 하며 ▲기업 홈페이지 관리자는 대리인 식별 및 어떤 개인정보를 가져갔는지 기록에 남겨야 한다고 강조했다. 이를 위해 개인정보위는 국민건강보험공단, 건강보험심사평가원 등과 함께 관련된 제도 개선을 추진할 방침이라고 설명했다. 개인정보위는 스크래핑이 사용자 동의를 얻었다고 해도 과도한 정보를 수집하거나 인증 정보가 유출될 우려가 있다고 당부했다. 아울러 개인정보의 목적 외 이용 등 정보유출·오남용 위험이 높아 안전한 전송방식으로 전환할 필요가 있다고 강조했다. 개인정보위가 지목한 안전한 전송방식은 'API(어플리케이션 프로그래밍 인터페이스)'다. API는 데이터 제공기관이 사전에 정의한 표준 규격에 따라 인증 및 권한 절차를 거쳐 필요한 정보를 안정적으로 연계·전송하는 방식을 말한다. 스크래핑 방식의 위험 요인과 관련해 발제한 김동범 서울대 혁신융합대학 전문위원은 "스크래핑 방식은 사용자의 ID 및 패스워드를 그대로 받아 사용하기 때문에 목적 외로 사용할 가능성이 굉장히 높다. 이는 A라는 사이트에만 접속을 하는 것이 아니라 동일한 계정정보를 사용하고 있는 B, C 사이트까지도 데이터를 가져올 수 있다"며 "A항목, B항목 등 일부분만 가져오는 것이 수집하는 방법이 기술적으로 나올 수 없기 때문에 인증 정보의 탈취 위험이 크다"고 지적했다. 아울러 "스크래핑 방식은 인증 이중장치와 같은 방어 수단을 회피해서 다음 단계로 진입해 정보를 수집한다. 이 과정에서 서비스 장애 및 인프라 부하가 발생할 수 있고, 과도한 트래픽으로 인해 오류가 생길 우려가 있다"며 "또한 법적 및 관리적 위험성도 있는데, 지적재산법 및 웹사이트 이용약관을 위반할 소지도 있다"고 경고했다. 이 외에도 김 전문위원은 국내외 보건의료정보 관려 법령 비교 및 서비스 현황, 정책 동향 등에 대해 소개했다. 이어진 패널토의에서는 개인정보위를 비롯해 보건복지부, 국세청 등 정부기관과 국민건강보험공단 및 학계, 산업계 관계자들이 참석했다. 이날 토의는 개인 의료정보 스크래핑 위험성과 이를 대체할 API 기반의 안전한 정보 전송 체계 구축 방안을 심도 있게 논의했다. 하승철 개인정보위 마이데이터추진단장은 이날 개회사에서 "스크래핑이나 크롤링 등 이런 기술들이 아주 오래전부터 쓰였던 기술이고, 특히 제도적으로 모호한 분야에서는 비공개된 개인정보까지 끌어보는 형태까지 뿌리내려 있어 개선해야 할 여지가 있다"며 "안전의 측면에서 이번 토론회가 쟁점들을 폭넓게 다루고 좋은 해법들이 마련될 수 있었으면 한다"고 밝혔다.

2026.01.17 07:46김기찬 기자

위키피디아 "유료 API 사용·무단 스크래핑 중단" 요청

위키미디어재단이 인공지능(AI) 기업에 유료 API 사용과 책임 있는 데이터 활용을 촉구했다. 무단 스크래핑으로 인한 서버 부하를 줄이고 비영리 모델을 유지하기 위한 전략이다. 11일 테크크런치 등 외신에 따르면 위키미디어는 공식 블로그를 통해 AI 개발자들이 위키피디아 콘텐츠를 사용할 때 반드시 출처를 명시하고, 유료 상품인 '위키미디어 엔터프라이즈' 플랫폼을 통해 접근해야 한다고 밝혔다. 해당 서비스는 기업이 대규모로 데이터를 이용하면서도 서버에 과도한 부하를 주지 않도록 설계됐다. 위키미디어는 "AI 기업이 무료로 웹사이트를 스크래핑하면서 서버 부하가 심해졌다"며 "유료 모델을 통해 수익 일부가 비영리 활동에 재투입돼야 한다"고 주장했다. 이어 "이는 위키피디아의 공익적 운영 구조를 지탱할 수 있는 유일한 방법"이라고 덧붙였다. 위키피디아는 최근 사람처럼 가장하는 AI 봇이 자사 콘텐츠를 긁어가며 트래픽을 비정상적으로 끌어올린 사실을 확인했다. 재단은 탐지 시스템을 강화한 결과 지난 5~6월 트래픽 급증이 탐지 회피를 시도한 AI 봇 때문이었다고 밝혔다. 반면 실제 사람의 페이지 조회 수는 전년 대비 8% 줄어든 것으로 나타났다. 이에 재단은 AI가 학습이나 답변에 사용하는 정보 출처를 반드시 명확히 표시해야 한다고 기업에 요청한 것이다. 출처가 사라질 경우 자원봉사 편집자와 후원자 모두 줄어들어 위키피디아의 생태계가 위협받을 수 있다는 이유에서다. 재단은 올해 초 내부 편집자들을 위한 AI 전략도 공개했다. 단조로운 편집 업무를 자동화하고 번역을 지원하는 등 AI를 보조 도구로 활용하되, 인간 편집자의 창의적 역할을 대체하지 않는다는 원칙을 세웠다. 위키미디어재단은 블로그를 통해 "사람들이 인터넷 정보를 신뢰하려면 플랫폼이 정보의 출처를 명확히 밝혀야 한다"며 "AI 시대일수록 기여자 공로를 존중하고, 참여의 문을 닫지 않는 것이 중요하다"고 밝혔다.

2025.11.11 15:35김미정 기자

교보문고, 에버스핀 '에버세이프'로 고객정보 보호한다

인공지능(AI) 보안기업 에버스핀(대표 하영빈)은 해킹방지 솔루션 '에버세이프(EVERSAFE)'를 교보문고에 공급했다고 20일 밝혔다. 에버세이프는 세계 33개 특허를 보유한 동적표적방어(MTD·Moving Target Defense) 기술을 적용한 솔루션이다. MTD 기술은 보안 모듈이 지속해서 변화하기 때문에 해커가 시스템 분석을 시도하더라도 공격 성공이 거의 불가능한 게 에버스핀 측의 설명이다. MTD는 2009년 미국 오바마 행정부에서 처음 제시된 혁신적인 보안 개념이지만, 기술적 난이도 때문에 현재까지 실제 구현율이 5% 미만에 그치고 있다. 에버스핀은 에버세이프를 통해 이를 성공적으로 상용화하여 국내 금융시장에 안착시켰다. 에버세이프는 최근 2년간 4천만건 이상의 데이터 스크래핑을 탐지했다. 웹 소스코드 보호·매크로 방지·제로데이필터 등 광범위한 웹 해킹 보안 기능을 제공하고 있다. 현재 에버세이프는 NH농협은행·SBI저축은행·삼성카드·우리카드·한국투자증권·KB증권·키움증권·메리츠증권·저축은행중앙회 등 국내 주요 금융사는 물론, 헥토파이낸셜 등 주요 PG사에도 도입했다. 에버스핀 관계자는 “최근 해커들이 타 사이트에서 유출된 계정정보를 자동화된 봇으로 대량으로 시도해 로그인에 성공한 뒤 개인정보를 탈취하는 크리덴셜 스터핑(credential stuffing) 공격으로 인한 대규모 고객 개인정보 유출사고가 한 대형 유통기업에서 발생했다”며 “에버세이프 도입을 통해 크리덴셜 스터핑과 같은 자동화된 해킹 공격을 효과적으로 차단할 수 있고 개인정보를 더욱 안전하게 보호할 수 있는 환경을 구축할 수 있다”고 설명했다. 한 정보보안 전문가는 “개인정보 유출 사고가 기업 이미지와 고객 신뢰도에 미치는 영향을 고려할 때, 선제적 보안 투자는 더는 선택이 아닌 필수”라고 강조했다.

2025.01.20 12:01주문정 기자

오픈AI '크롤러' 논란…"사이트 수 차례 다운" 주장

오픈AI가 타사 웹사이트 데이터를 대량 스크래핑해 서버를 다운시켰다는 의혹으로 뭇매를 맞았다. 13일 테크크런치 등 외신에 따르면 미국 3D 데이터 기업 트리플갱어스(Triplegangers)는 자사 웹사이트가 오픈AI 크롤러로 인해 수 차례 다운됐다고 주장했다. 이로 인해 서버 부하와 비용 증가를 겪었으며 기업 운영에 심각한 차질을 빚었다는 설명이다. 올렉산드르 톰축 트리플갱어스 최고경영자(CEO)는 자사 전자상거래 사이트가 디도스(DDos) 공격과 유사한 상황을 겪었다고 공식 홈페이지에서 이같이 밝혔다. 그는 오픈AI 크롤러가 사이트에 있는 5만6천 개 넘는 제품 페이지와 수십만 장 이미지를 스크랩하면서 발생한 것을 오류 원인으로 꼽았다. 톰축 CEO는 "오픈AI 크롤러는 약 600개 IP로 홈페이지 데이터를 허가 없이 수집하려 했다"며 "해당 크롤러가 자사 웹사이트를 공격한 것이나 다름없다"고 주장했다. 외신에 따르면 오픈AI는 크롤러 차단을 돕는 기능을 제공하고 있기는 하다. 기업은 'robots.txt' 파일로 클로러를 차단할 수 있다. 다만 이 기능을 모르는 기업은 트리플갱어스처럼 크롤러 피해 볼 가능성이 있다. 이에 톰축 CEO는 "오픈AI는 타사 웹사이트가 'robots.txt'로 크롤러를 차단하지 않으면 피해입을 수 있다는 점을 교묘히 악용하고 있다"며 "사이트 소유자가 이를 차단하기 위해 기술적 지식을 가져야 한다는 것은 문제"라고 지적했다. 현재 트리플갱어스는 다른 크롤러를 차단하기 위해 클라우드플레어 계정을 설정하고 로그를 실시간 모니터링하고 있다. 다만 이미 스크랩된 데이터가 무엇인지 파악하거나 삭제 요청할 수 있는 방법은 없는 상태다. 전문가들은 AI 기술 발전으로 데이터 스크래핑을 악용한 사이버 활동이 증가할 것으로 내다봤다. 포브스에 따르면 지난해 AI 크롤러와 스크래퍼로 인한 웹사이트 트래픽 증가율은 86%를 기록했다. 그러면서 스크래핑에 필요한 기술 안전장치과 봅적 보호 장치 필요성을 강조했다. 현재 오픈AI는 트리플갱어스 발표에 대해 응답하지 않았다. 톰측 CEO는 "AI 기업들은 타사 웹사이트 데이터를 가져가지 전 허가를 요청해야 한다"고 말했다.

2025.01.13 09:38김미정 기자