“서비스에 필요한 최소 정보만 처리되도록 설계해야”
[보안뉴스 조재호 기자] 개인정보보호위원회는 최근 서비스 고도화 및 플랫폼 연동 과정에서 응용프로그램 인터페이스(API)를 통한 개인정보 유출 사고가 빈발함에 따라 사업자에게 권한 관리 점검을 강화할 것을 8일 요청했다.

클라우드플레어에 따르면 전체 트래픽 중 API 비중이 57%를 차지할 정도로 활용이 급증하고 있으나 보안 관리 체계는 이를 따라가지 못하는 실정이다.
실제 국내외에서는 권한 관리가 미흡한 API를 통한 유출 사고가 지속해서 발생하고 있다. 로그인 여부만 확인하고 개인정보 조회 권한을 확인하지 않거나, 서비스에 필요하지 않은 정보까지 API 응답 데이터에 포함시켜 비정상적 호출만으로 3700만명의 개인정보가 유출된 사례가 확인됐다. 또 휴대전화번호 대신 안심번호를 전송하도록 정책을 변경했음에도 기존 API가 실제 번호를 계속 전송하여 13만5000여명의 정보가 노출된 사례도 있었다.
개인정보위는 API를 제공하는 사업자에게 △설계 단계부터 개인정보 최소화 △최소 권한 △AIP 목록의 지속적 식별과 현행화 등 할 3가지 중점 점검 사항을 제시했다.
이용자 화면에 보이지 않거나 서비스 목적에 불필요한 정보는 API 응답 데이터에서 제외하고 API의 대량 정보 조회 및 반복 호출을 제한하는 등 개인정보를 최소화하도록 설계해야 한다.
또 관리자 및 제휴사 등 주체별로 접근 가능한 데이터 범위를 차등 부여하고 인증되지 않은 요청은 기본적으로 차단한다. 기능 개편 후 남아 있는 오래된 API를 폐기하고 장기 미사용 계정의 자격증명을 회수해야 한다. 새벽 시간 접속이나 대량 조회 등 이상 행위를 탐지하기 위한 접속 기록 점검도 필요하다.
개인정보위는 API를 제공받아 운영하는 사업자에게도 응답 데이터 내 불필요 정보를 즉시 제거하고 담당자별 최소 권한으로 데이터를 전송받아 안전하게 관리할 것을 권고했다.
양청삼 개인정보위 사무처장은 “API는 서비스 화면에 표시되지 않는 개인정보도 함께 전송할 수 있으므로 서비스 제공에 필요한 최소한의 개인정보만 처리되도록 설계하고 운영해야 한다”고 말했다.
[조재호 기자(zephyr@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>














