다음 내용이 궁금하다면?
불편하시다면 뒤로 가기를 눌러주세요

[강민지 제작] 일러스트
(서울=연합뉴스) 차민지 기자 = 개인정보보호위원회는 8일 웹·앱 서비스와 플랫폼 연계 과정에서 응용프로그램 인터페이스(API)를 통한 데이터 처리가 늘어남에 따라 사업자들에게 권한 관리와 개인정보 최소 전송 등 보호조치를 강화할 것을 당부했다.
개인정보위에 따르면 최근 국내외에서는 권한 관리가 미흡한 API를 통해 개인정보가 유출되는 사고가 잇따르고 있다.
로그인 여부만 확인하고 개인정보 조회 권한은 확인하지 않거나 서비스 제공에 필요하지 않은 개인정보까지 API 응답 데이터에 포함하는 경우 비정상적인 API 호출만으로도 대규모 개인정보 유출로 이어질 수 있다는 것이 개인정보위의 설명이다.
개인정보위는 우선 API 설계 단계부터 개인정보 최소화 원칙을 적용해야 한다고 강조했다.
이용자 화면에 표시되지 않거나 서비스 제공에 필요하지 않은 개인정보는 API 응답 데이터에서도 제외하고, 대규모 정보 조회나 반복 호출을 제한해 개인정보 대량 조회와 유출 가능성을 줄여야 한다고 밝혔다.
또 최소 권한 원칙에 따라 이용자와 관리자, 제휴사 등 주체별로 접근 가능한 API와 개인정보 범위를 차등 부여하고, 인증이나 권한이 없는 요청은 기본적으로 차단하도록 권고했다.
개인정보위는 운영 중인 API를 지속적으로 식별·관리하는 것도 중요하다고 강조했다.
기능 개선이나 서비스 개편 이후 외부에서 호출할 수 있는 API가 남아 있는지, 불필요한 개인정보가 API 응답에 포함돼 있는지 점검하고 불필요한 정보는 삭제해야 한다고 강조했다.
아울러 API 권한을 정기적으로 점검해 장기간 사용하지 않은 API 키와 토큰, 계정 등 자격증명은 즉시 회수하고, 새벽 시간 접속이나 대량 조회 등 이상 행위를 탐지·대응할 수 있도록 접속기록도 상시 점검해야 한다고 당부했다.

[개인정보위 제공. 재판매 및 DB 금지]
chacha@yna.co.kr
Copyright 연합뉴스 All rights reserved. 무단 전재 및 재배포 금지.
인기상품 확인하고 계속 읽어보세요!
원치 않을 경우 뒤로가기를 눌러주세요.
