고객 동의하에 스크래핑, 법적 문제 없을까?

Question

수고 많으십니다.

고객을 대상으로 하는 시스템을 개발하려고 기획 중에 있습니다. 
고객의 재무 상담을 목적으로 국민연금공단의 연금수령예상액과 시기를 스크래핑을 통해 데이터를 가져와 활용하려고 하고 있습니다. 그런데, 이러한 데이터를 직접 가져오는 것은 아니고 중간에 해당 API를 제공하는 업체를 통해서 전달 받는 구조 입니다. 물론, 이 과정에서 고객의 동의하에 고객이 직접 데이터 요청 버튼을 클릭할 때에만 가져오려고 합니다.

그런데, 아무리 고객이 직접 동의를 하고 요청을 했다 하더라도 스크래핑이 불법이냐 아니냐에 대해 회색지대에 있는 것으로 알고 있습니다.

궁금한건, 말씀 드린것처럼 고객의 요청과 동의하에 진행되었을때, 회색지대에 있는 이러한 상황을 시스템 개발에 반영하고 서비스를 진행해도 될런지요? 리스크를 최소화 하는 방법은 없을런지요?
(국민연금공단이 민간 기업과 이런 상황을 감안해 MOU를 체결해 줄 수 있지는 않을듯합니다만...)

언론 기사를 찾아보니 삼성헬스도 건강보험공단의 데이터를 스크래핑을 하고 있는 것으로 보여집니다.

심규덕 변호사 · Answer

귀하의 질의에 대해 답변드리겠습니다.

새로운 시스템 개발 과정에서 법적 리스크를 꼼꼼히 검토하시려는 신중한 자세가 충분히 이해되며, 사업 초기부터 적법성을 고민하시는 점은 매우 바람직합니다.

1. 결론

고객 동의가 있더라도 국민연금공단의 접근 제한 정책 및 이용약관을 위반하는 스크래핑은 법적 리스크가 존재합니다. 공식 API 연계 방식을 우선 검토하고, 불가피한 경우 기술적·법률적 안전장치를 갖춘 후 진행하셔야 합니다.

2. 쟁점별 검토

가. 고객 동의만으로 정당화되는지 여부

고객이 본인 정보 조회에 동의하고 직접 버튼을 클릭하더라도, 서비스 제공 주체인 국민연금공단의 접근 정책이 우선입니다. 공단이 자동화된 접근을 차단하거나 약관으로 금지한다면 정당한 접근권한을 초과한 것으로 판단될 여지가 있습니다. 중간 API 업체를 경유하더라도 실질적 데이터 활용 주체는 귀하이므로 책임에서 자유롭기 어렵습니다.

나. 리스크 최소화 방법

공단이 공식 제공하는 API 연계 방식이 있는지 우선 확인하시고, 없다면 수집 데이터 항목을 최소화하며 고객 인증정보를 직접 보관하지 않는 구조로 설계해야 합니다. 이용약관에 데이터 수집 범위와 책임 소재를 명확히 규정하고, 개인정보 처리 위탁 관계도 계약으로 정리하셔야 합니다.

다. 결론

삼성헬스 사례와 귀사 상황은 공공기관과의 협의 여부나 기술 환경이 다를 수 있으므로 직접 비교는 어렵습니다. 구체적인 시스템 구조와 계약 관계를 검토한 맞춤형 법률 자문이 필요하며, 비용과 진행 방식은 상담을 통해 자세히 논의하시기 바랍니다.

이주헌 변호사 · Answer

[국민연금 데이터 스크래핑 시스템 구축 / 민사, 형사] 이주헌 변호사입니다.

쟁점: 이용자 동의를 전제로 한 스크래핑의 정당한 접근권한 보유 여부 및 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 위반 가능성
판단: 이용자의 개별적 동의가 있더라도 서비스 제공 주체의 접근 통제 정책 및 이용약관 위배 여부에 따라 법적 리스크가 발생할 가능성이 상당함

🔘 스크래핑 행위의 법적 성격과 권한 범위
① 대법원 판례에 따르면 정보통신망에 대한 접근권한은 서비스 제공자가 설정한 제한에 따라 결정됩니다. 이용자가 동의하고 직접 요청 버튼을 누르는 구조라 하더라도, 공단 측에서 스크래핑 차단 솔루션을 운영하거나 약관을 통해 자동화된 접근을 금지하고 있다면 이는 정당한 접근권한을 넘어선 것으로 간주될 여지가 높습니다.
② 중간 API 업체를 경유하는 방식은 책임 소재를 분산시킬 수는 있으나, 실질적으로 데이터를 수집하여 비즈니스에 활용하는 주체는 귀하이므로 정보통신망법상 타인의 정보통신망 침해 또는 데이터베이스권 침해 논란에서 완전히 자유롭기 어렵습니다. 특히 공공기관 데이터는 민간 기업의 영리 목적 활용에 대해 엄격한 기준을 적용하는 추세입니다.

🔘대응전략
① 공단이 공식적으로 제공하는 API 연계 방식이 있는지 우선 확인하고, 불가능할 경우 수집되는 데이터의 항목을 최소화하며 인증정보를 사업자가 직접 보관하지 않는 기술적 구조를 설계해야 합니다. 또한 이용약관 내에 데이터 수집 및 활용에 대한 책임 소재를 명확히 규정하는 법률 검토가 선행되어야 합니다.
② 법리적 검토 없이 시스템을 가동할 경우 공단으로부터의 IP 차단은 물론, 정보통신망법 위반에 따른 형사 고소나 손해배상 청구 등 치명적인 리스크에 직면할 수 있습니다. 유사 사례인 삼성헬스와는 공공기관과의 협의 여부나 기술적 환경이 다를 수 있으므로 귀사만의 맞춤형 법률 가이드를 구축하는 것이 안전합니다.

확보하신 증거 자료들을 가지고 구체적인 상담을 받아보시길 권합니다.

문종원 변호사 · Answer

관련 법령과 규정, 사례들을 폭넓게 검토하여 판단하고 방향을 설정하여야 할 사안으로 보입니다.

정식 자문 요청을 주시면, 진행 가능 여부, 법적 리스크 없이 사업을 진행할 방법에 대해 조언드리도록 하겠습니다.

대형로펌 자문팀 출신, 삼성전자 출신 변호사들로 구성된 자문 팀에서 자문 진행이 가능하니 상담문의 또는 연락 부탁드립니다.

홍원표 변호사 · Answer

안녕하세요

국민연금 예상연금액을 스크래핑으로 조회해 재무상담에 활용하는 시스템을 개발중이시군요. 
고객이 동의하고 ‘요청’ 버튼을 눌렀을 때만, 중간 API 업체를 통해 값을 받아오려는 구조로 이해했습니다. 
검찰 실무 경험상 이 유형은 ‘정당한 접근권한’과 이용약관, 접근제어 우회 여부에서 결론이 자주 갈립니다.

동의가 있어도 스크래핑이 자동으로 안전해지는 것은 아닙니다. 
대법원은 접근권한 판단에서 보호조치와 이용약관 등 객관 사정을 종합하라고 봅니다. 
개인정보보호위원회도 대리 스크래핑이 위험을 키울 수 있어, 식별 가능한 API 연계를 요청했습니다. 
삼성헬스 사례가 있어도, 스크래핑 축소와 API 전환 기조는 강화되는 흐름입니다. 
국민연금 서비스는 특정 아이피 차단 안내가 있습니다. EDI에서는 스크래핑 차단 솔루션 시범 운영을 공지했습니다.

제가 이 사건을 맡는다면 방향은 이렇게 잡습니다.
공단이 허용한 연계 경로가 있는지 확인하고, 없으면 스크래핑을 전제로 사업을 확장하지 않습니다.
연동이 필요하면 인증정보를 사업자가 취급하지 않는 구조, 요청 시점 단발 호출, 우회 기능 배제로 ‘접근권한을 넘지 않게’ 설계합니다.
개인정보보호법상 위탁 구조와 책임 경계를 계약과 고지 문구로 맞춥니다.

상담 원하시면, 정확한 정보로 얽힌 쟁점을 분리해 어떤 라인부터 대응할지 효율적으로 설계해드리겠습니다.

감사합니다.