IT 보안/해킹

앱 고도화 개발하다 개인정보 샌다...개인정보위 경보 발령

이구순 기자
파이낸셜뉴스

[파이낸셜뉴스] 웹이나 앱서비스를 고도화하거나 플랫폼 간 연계를 위한 개발 도중에 개인정보가 유출되는 사례가 잇따르고 있어 개인정보보호위원회가 경보를 발령했다. 특히 개인정보보호위는 사고를 막기 위해 설계 단계부터 '개인정보 최소화 원칙'을 뼈대로 삼아 서비스 제공에 꼭 필요하지 않은 개인정보는 처음부터 전송 대상에서 과감히 제외해야 한다고 당부했다.

8일 개인정보보호위는 최근 웹·앱 서비스 고도화와 플랫폼 연계, 제휴사 서비스 연동 등을 위해 API를 활용해 시스템이 데이터를 주고받도록 하는 개발방식이 확대되고 있는데, 이 과정에서 개인정보 유출 위험이 커지고 있어 사업자들이 권한 관리와 개인정보 최소 전송 등 보호조치를 강화해애 한다고 강조했다.

웹이나 앱서비스를 고도화하거나 플랫폼 간 연계를 위한 개발 도중에 개인정보가 유출되는 사례가 잇따르고 있어 개인정보보호위원회가 경보를 발령했다. /사진=뉴스1
웹이나 앱서비스를 고도화하거나 플랫폼 간 연계를 위한 개발 도중에 개인정보가 유출되는 사례가 잇따르고 있어 개인정보보호위원회가 경보를 발령했다. /사진=뉴스1

API는 서로 다른 서비스나 시스템이 데이터를 주고받도록 연결하는 통로다. 최근에는 로그인 여부만 확인하고 개인정보 조회 권한은 따로 확인하지 않거나, 서비스 제공에 필요하지 않은 개인정보까지 API 응답 데이터에 포함해 대규모 유출로 이어지는 사례가 잇따르고 있다.

최근 국내외에서 발생한 대규모 정보 유출 사고도 이 허점을 노렸다. 사용자가 로그인했는지만 확인하고 정작 해당 정보를 볼 권한이 있는지 제대로 검증하지 않는 식이다. 비정상적인 방식으로 이 통로를 반복 호출하면 대량의 개인정보가 한 번에 털릴 수 있다. 특히 과거에 쓰다 버려둔 테스트용 API나 오래된 연결 통로를 그대로 방치하는 것도 개인정보 유출의 원인이 되고 있다.

개인정보보호위는 사고를 막기 위해 설계 단계부터 '개인정보 최소화 원칙'을 지켜야 한다고 당부했다. 서비스 제공에 꼭 필요하지 않은 데이터는 처음부터 API 전송 대상에서 과감히 제외하고, 특정 계정이 단시간에 대규모로 정보를 조회하거나 반복 요청을 보낼 수 없도록 차단벽을 세워야 한다고 덧붙였다.

개인정보보호위는 사고를 막기 위해 설계 단계부터 '개인정보 최소화 원칙'을 지켜야 한다고 당부했다. (출처=연합뉴스)
개인정보보호위는 사고를 막기 위해 설계 단계부터 '개인정보 최소화 원칙'을 지켜야 한다고 당부했다. (출처=연합뉴스)

또 일반 이용자, 관리자, 제휴 협력사 등 접속하는 주체에 따라 접근할 수 있는 API 범위를 명확하게 분리하고, 서버는 모든 데이터 요청이 들어올 때마다 권한이 있는 적법한 요청인지 매번 확인하도록 설계해야 한다고 강조했다.
아울러 기능 개선, 테스트 완료, 서비스 개편 이후 외부에서 호출 가능한 API가 남아 있는지 점검하고 불필요한 정보가 API 응답에 포함되지 않도록 삭제해야 한다고 당부했다. 장기 미사용 API 키·토큰·계정 등 자격증명은 즉시 회수해야 한다고 덧붙였다.

양청삼 개인정보위 사무처장은 "API는 화면에 표시되지 않는 개인정보까지 함께 실어 나를 수 있다"며 "반드시 서비스에 필요한 최소한의 데이터만 처리되도록 시스템을 설계하고 운영해야 한다"고 당부했다.

cafe9@fnnews.com 이구순 기자


#웹서비스 #앱서비스 #개인정보보호위원회 #개인정보 최소화 원칙 #API
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지

기자 정보