개인정보위, API 통한 개인정보 유출 ‘경고’
인터넷 트래픽 비중 절반 이상
개인정보보호위원회는 응용프로그램 인터페이스(API)를 통한 개인정보 처리 시 권한 관리 및 개인정보 최소 전송 등 보호조치를 강화할 것을 8일 당부했다.
API란 서로 다른 서비스나 프로그램이 서로 자료를 주고받을 수 있게 연결해주는 규약이다. SNS를 쓰다가 지도·배달주문앱을 열거나 대리인증을 통해 다른 사이트로 로그인할 때 통로 역할을 한다.
API를 통한 데이터 처리는 웹·앱 서비스 고도화, 플랫폼 연계, 제휴사 서비스 연동 등에 따라 증가세다. 인터넷 데이터 트래픽 관리 서비스인 ‘클라우드 플레어’에 따르면 API를 오가는 데이터의 비중이 전체의 절반이 넘는 57%에 달한다.
개인정보위에 따르면 API를 통한 개인정보 유출사고는 매년 빈발하고 있다.
해외기업 A사는 2023년 권한 관리가 이루어지지 않은 API에 대한 비정상 접근으로 해외에서 약 3700만여명의 이름·주소·이메일·전화번호·생년월일 등 유출된 사례가 있다. 국내기업 13만여명의 개인정보가 유출된 B사의 경우 개인정보 보호를 위해 이용자의 휴대전화번호 대신 안심번호만 전송하는 것으로 정책을 변경했으나, 실제 API는 휴대전화번호도 함께 전송한 사실이 드러났다.
개인정보위는 “로그인 여부만 확인하고 개인정보 조회 권한을 확인하지 않거나, 서비스 제공에 필요하지 않은 개인정보까지 API 응답 데이터에 포함하는 경우, 비정상적인 API 호출만으로도 대규모 개인정보 유출로 이어질 수 있다”며 API를 통해 개인정보를 처리하는 사업자에 대해 △개인정보 최소화 원칙을 준수하는 설계 △API 권한 부여 최소화 △운영중인 API 목록 식별, 현행화 및 점검을 당부했다.
이재걸 기자 claritas@naeil.com