
개인정보보호위원회는 웹·앱 서비스와 플랫폼 연계 과정에서 응용프로그램 인터페이스(API)를 통한 개인정보 처리가 늘고 있다며 사업자들에게 유출 예방 조치 강화를 당부했다고 8일 밝혔다.
개인정보위는 최근 권한 관리가 미흡한 API를 통한 개인정보 유출 사고가 잇따르고 있다고 설명했다. 로그인 여부만 확인하고 개인정보 조회 권한을 따로 확인하지 않거나, 서비스 제공에 필요하지 않은 개인정보까지 API 응답 데이터에 포함하면 비정상 호출만으로도 대규모 유출로 이어질 수 있다는 것이다.
개인정보위는 API 설계 단계부터 개인정보 최소화 원칙을 적용할 필요가 있다고 강조했다. 이용자 화면에 보이지 않거나 서비스 제공에 필요하지 않은 개인정보는 API 응답 데이터에서 제외하도록 했다.
이용자용, 관리자용, 제휴사용 등 주체별로 접근 가능한 API와 개인정보 범위도 나눠 관리하도록 권고했다. 인증·권한이 없거나 정책에 맞지 않는 요청은 기본적으로 차단 설정해야 한다고 조언했다.
운영 중인 API 목록에 대한 지속적인 점검도 주문했다. 서비스 개편 뒤 남아 있는 옛 API, 불필요한 개인정보가 포함된 응답값, 장기 미사용 API 키·토큰·계정 등을 정리해야 한다는 설명이다.
박진형 기자 jin@etnews.com