개인정보위, API 개인정보 최소 전송·권한 차등 적용 권고
개인정보보호위원회(이하 개인정보위)가 애플리케이션 프로그래밍 인터페이스(API)를 통해 개인정보를 처리하는 사업자에게 설계 단계부터 개인정보 전송 범위를 줄이고 이용자별 권한을 차등 적용할 것을 권고했다.
API는 서로 다른 프로그램이나 서비스가 데이터와 기능을 주고받도록 연결하는 기술이다. 웹·애플리케이션 서비스 고도화와 플랫폼·제휴사 연계가 늘면서 API를 통한 개인정보 처리도 확대되고 있다.
개인정보위는 로그인 여부만 확인하고 개인정보 조회 권한을 점검하지 않거나 서비스에 필요하지 않은 정보까지 API 응답에 포함하면 대규모 유출로 이어질 수 있다고 설명했다.
개인정보위에 따르면, 실제로 A사는 권한 관리가 적용되지 않은 API에 비정상적인 접근이 발생해 약 3700만명의 이름과 주소, 이메일, 전화번호, 생년월일 등이 유출됐다.
B사는 이용자의 휴대전화번호 대신 안심번호만 전송하도록 정책을 바꿨지만 실제 API에서는 휴대전화번호도 함께 전송했다. 이 과정에서 약 13만5000명의 개인정보가 다른 회사 시스템에 보관된 사실도 확인됐다.
C사는 최신 API에 다중 인증(MFA) 등 권한 관리 기능을 적용했지만 계속 작동하던 오래된 API에서는 별도의 권한 확인 없이 고객 데이터를 조회할 수 있었다.
개인정보위는 API 설계 단계부터 서비스 제공에 필요하지 않은 개인정보를 응답 데이터에서 제외해야 한다고 권고했다. 대규모 정보 조회와 반복 호출 횟수도 제한해 대량 유출 가능성을 줄여야 한다는 것이다.
이용자용과 관리자용, 제휴사·협력사용 API는 접근 가능한 기능과 개인정보 범위를 다르게 설정해야 한다. 인증 정보나 권한이 없거나 정책에 맞지 않는 요청은 기본적으로 차단해야 한다.
모든 API 요청에 대해서는 해당 이용자가 개인정보를 조회하거나 수정할 권한이 있는지 서버에서 확인해야 한다. 일정 기간이 지난 정보는 일부를 알아볼 수 없도록 처리하는 추가 조치도 필요하다.
사업자는 운영 중인 API 목록을 지속적으로 파악하고 최신 상태로 관리해야 한다. 서비스 개편이나 테스트가 끝난 뒤에도 외부에서 호출할 수 있는 API가 남아 있는지 점검하고 불필요한 API와 응답 데이터를 삭제해야 한다.
장기간 사용하지 않은 API 키와 토큰, 계정 등 자격증명은 회수해야 한다. 새벽 시간 접속과 대량 조회 등 비정상적인 호출도 접속기록을 통해 탐지해야 한다.
API를 제공받아 서비스를 운영하는 사업자도 응답 데이터에 업무와 관계없는 개인정보가 포함됐는지 확인해야 한다. 불필요한 정보는 즉시 삭제하고 API 키와 토큰은 담당자별로 발급해야 한다.
양청삼 개인정보위 사무처장은 “API는 서비스 화면에 표시되지 않는 개인정보도 함께 전송할 수 있다”며 “서비스 제공에 필요한 최소한의 개인정보만 처리하도록 설계하고 운영해야 한다”고 말했다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network


