스크래핑 뭐길래, 마이데이터산업서 쏙 빠졌나

금융위가 지난 달 발표한 '마이데이터 산업 도입 방안' 중 마이데이터사업자가 쓸 수 있는 기술에서 스크래핑(데이터 자동추출)기술이 배제되면서 업계에서는 시대를 역행하는 행위라고 반발하고 있다.

도입 방안에 따르면 마이데이터사업자는 신용정보법상 신용정보산업으로 신설, 개인 동의 하에 개인 및 금융정보를 받아와 자산관리나 신용관리·정보관리 등의 부수업무를 할 수 있다. 다만 개인정보를 이동하고 추출할 수 있는 정보범위가 하나의 기술로만 한정됐다. 금융위는 안정성을 이유로 애플리케이션프로그램인터페이스(API)만을 이용해야 한다고 밝혀, 이보다 데이터 범위와 깊이가 있는 스크래핑 기술을 원천 봉쇄한 것이다.

정보를 다루는 산업인만큼 보안이 철저해야 한다는 것이 대부분의 중론이다. 하지만 국내 스크래핑 엔진 개발업체들은 보안과 관련한 지적은 기술의 이해가 부족하다며, 우려만큼 보안문제가 없다는 점을 강조하고 있다. 24일 국내 4개 스크래핑 기술 개발업체들로부터 스크래핑에 대한 보안 문제는 오해에 불과한 것인지에 대해 대답을 들어봤다.

Q. 금융위에서는 핀테크 업체가 서버에 개인정보(아이디·비밀번호·인증서·인증서 비밀번호) 등을 저장하기 때문에 관리와 유출에 문제가 있다고 지적하고 있다. 이 내용이 맞나.

"스크래핑 기술은 1990년대말부터 국내에서 보편화된 기술이다. 처음은 웹사이트의 콘텐츠를 수집저장해 정보화에 활용하기 위해 만들어졌다. 2018년이니까 20여년이 지났는데, 태동기부터 보안문제 지적이 불거졌다. 이에 맞춰 보안성을 강화하는 방향으로 기술이 발전해왔다. 문제점이 줄어들고 있다.

금융위는 도입방안에서 '스크린 스크래핑'을 언급했다. 하지만 이는 아주 옛날 기술이다. 스크린 상에 띄워져있는 고객 정보를 긁어오는 것은 지금 기술과 다르다. 현재는 전문처리방식의 스크래핑을 쓴다. 예를 들어 은행에서도 개인에게 데이터를 받고, 그 데이터를 파싱(Parsing)한다. 스크래핑 엔진은 또 프로그램으로 돌아가기 때문에 개발회사가 개인데이터를 볼 일이 없다. 프로그램이 돌아가던 중에 오류가 있는지, 혹은 잘 돌아가는지만을 체크한다.

금융위는 또 서버에 저장하고 관리해 문제가 있다고 거론하는데 이는 서버형 스크래핑이다. 이를 이용하는 업체는 일부인데, 기술력을 보유한 스크래핑 개발업체는 이 방식을 지양하고 있다. 서버형 보다는 클라이언트형 스크래핑을 활용한다. 스마트폰 보급률이 높기 때문이다. 스마트폰에 저장된 개인 인증서를 스크래핑 엔진이 있는 업체에게 곧바로 가기 때문에 제3자가 개인정보를 보거나 유출하기 힘들다. 또 최근 정보 유출 사고 사례 중 스크래핑에 의한 경우는 없었다."

Q. 서버에 저장하는 일부 업체들에서 문제가 생길 수도 있는 것 아닌가.

"스크래핑 기술은 20년 동안 정부의 감독·관리 하에서 발전해온 기술이다. 관리해놓고 지금와서 보안성이 문제가 있다는 것은 정부가 그럼 20년 동안 헛짓을 했다는 소리밖에 안된다. 서버형 스크래핑 기술이 문제가 된다고 하면 업계 내에서 이를 활용하지 못하도록 자정노력을 할 계획도 있다. 또 정부가 요구하는 수준의 보안성을 검증받기 위해, 인증 절차도 밟을 마음이 있다. 다만 이미 기존 은행과 카드사에서 스크래핑 기술을 쓴다. 스크래핑 기술이 아무리 좋아도 보안에 문제가 있으면 금융사는 쓰지 않는다. 금융사와 제휴한 업체들에겐 보안에 문제가 없다고 본 것 아닌가."

Q. 금융위에서는 스크래핑을 활용한 핀테크 업체가 과도하게 금융사의 서버에 접속해 안정성의 문제도 생길 수 있다고 본다.

"3년여전일로 알고 있다. 업계 역시 눈여겨봤던 사건이다. 해외의 개인자산관리서비스 스타트업이 구상한 서비스 자체로 인한 것이지, 스크래핑으로 인한 문제는 아니였다. 이 업체는 30분이나 1시간 단위로 개인이 보유한 자산내역을 알려주는 서비스를 제공했는데, 이에 맞춰 제휴 금융사에 자동으로 접속했다. 그러다 보니 해외 금융사의 서버 과부하가 빚어진 일이다. 스크래핑 기술의 보안이나 안정성과는 관계가 없는 문제다."

Q. API에 비해 스크래핑의 안정성이 떨어지진 않나.