웹·앱 서비스 고도화와 플랫폼 연계가 늘면서 응용프로그램 인터페이스(API)를 통한 데이터 처리가 빠르게 확대되고 있다. 하지만 권한 관리가 미흡한 API를 노린 개인정보 유출 사고가 국내외에서 잇따라 발생하면서, 개인정보보호위원회(위원장 송경희)가 사업자에 보호 조치 강화를 당부하고 나섰다.
API는 서로 다른 프로그램이나 서비스가 데이터를 주고받을 수 있도록 연결해주는 일종의 ‘데이터 통로’다. 최근 트래픽 관리 서비스 ‘클라우드플레어’ 기준으로 전체 처리 트래픽의 57%가 API를 통해 이뤄질 정도로 활용도가 높아졌다. 문제는 로그인 여부만 확인하고 개인정보 조회 권한을 따로 확인하지 않거나, 서비스 제공에 필요하지 않은 개인정보까지 API 응답에 포함하는 경우 대규모 유출로 이어질 수 있다는 점이다.
실제로 권한 관리 미흡으로 피해를 본 사례도 여럿 확인됐다. A사는 권한 관리가 이뤄지지 않은 API에 대한 비정상 접근으로 약 3천700만여명의 이름, 주소, 이메일, 전화번호, 생년월일이 유출됐다. B사는 이용자 보호를 위해 휴대전화번호 대신 안심번호만 전송하도록 정책을 변경했지만, 실제 API는 기존처럼 휴대전화번호도 함께 보내고 있었고, 타사 시스템에 약 13만5천여명의 이용자 개인정보가 보관된 사실도 드러났다. C사는 최신 API에 다중 인증 방식(MFA) 등 권한 관리를 적용했으나, 계속 동작하는 오래된 API를 통해 별도 권한 확인 없이 고객 데이터를 조회할 수 있었다.
이에 개인정보위는 API로 개인정보를 처리하는 사업자에게 세 가지를 중점적으로 점검하고 조치할 것을 권고했다. 첫째, 설계 단계부터 ‘개인정보 최소화 원칙’을 준수해야 한다. 이용자 화면에 표시되지 않는 개인정보나 서비스 제공 목적에 필요하지 않은 정보는 API 응답 데이터에서 아예 제외하도록 설계하고, 대규모 조회나 반복 호출을 제한해 유출 가능성을 낮춰야 한다.
둘째, ‘최소 권한 원칙’에 따라 API 권한을 부여하고 관리해야 한다. 이용자, 관리자, 제휴 협력사 등 주체별로 접근 가능한 API와 개인정보 범위를 필요 최소한으로 차등 부여하고, 인증·권한이 없거나 정책에 맞지 않는 요청은 기본적으로 차단해야 한다. 모든 API 요청에 대해 요청한 이용자가 해당 개인정보를 조회하거나 수정할 권한이 있는지 서버에서 반드시 확인하고, 기간이 지난 정보는 일부 비식별 처리하는 등 추가 조치도 필요하다.
셋째, 운영 중인 API 목록을 식별해 현행화하고 정기적으로 점검해야 한다. 기능 개선이나 서비스 개편 후 외부에서 호출 가능한 API가 남아 있는지, 불필요한 정보가 응답에 포함되지는 않았는지 확인하고 삭제 조치를 해야 한다. 장기간 사용하지 않은 API 키·토큰·계정 등 자격증명은 즉시 회수하고, 접속 기록을 분석해 새벽 시간 접속이나 대량 조회 같은 이상 행위를 탐지·대응해야 한다.
API를 제공받아 서비스를 운영하는 사업자도 안전 관리에 신경 써야 한다. 응답 데이터에 서비스와 무관한 개인정보가 포함되어 있는지 확인하고 불필요한 정보는 즉시 제거해야 한다. API 키·토큰 등 자격증명은 담당자별로 발급하고 최소 권한 원칙에 따라 데이터 범위를 제한하거나, 업무 절차나 시기에 따라 조회할 수 있는 개인정보를 제한하는 것이 바람직하다.
양청삼 개인정보위 사무처장은 “API는 서비스 화면에 표시되지 않는 개인정보도 함께 전송할 수 있으므로, 서비스 제공에 필요한 최소한의 개인정보만 처리되도록 설계하고 운영해야 한다”고 강조했다. 개인정보위는 이번 권고와 함께 API 제공 사업자가 참고할 수 있는 개인정보 보호 수칙과 구체적인 점검사항을 담은 자료도 함께 배포했다.
