닫기

Advertisements

앱끼리 데이터 공유하다 개인정보 유출된다…“API 관리 강화해야”

기사듣기 기사듣기중지

공유하기

닫기

  • 카카오톡

  • 페이스북

  • 트위터 엑스

URL 복사

https://www.asiatoday.co.kr/kn/view.php?key=20260708010003053

글자크기

닫기

김홍찬 기자

승인 : 2026. 07. 08. 17:32

구글 검색 선호 출처 추가 Google 검색에서 아시아투데이 기사를 더 자주 볼 수 있습니다.

Advertisements

Advertisements

개인정보위, API 통한 유출 관리 당부
불필요한 수집 막고 비정상 호출 차단해야
개보위
. /개인정보보호위원회
웹 사이트와 스마트폰 앱 등 플랫폼을 연결해주는 응용프로그램 인터페이스(API)를 통한 개인정보 유출 사고가 잇따라 발생하고 있다. 이용자의 편의를 위한 데이터 연계가 확대되고 있지만 정작 관리는 미흡한 채 방치되고 있기 때문이다. 이에 정부는 사업자에게 API 권한 관리와 개인정보 보호 조치를 강화해달라고 당부했다.

8일 개인정보보호위원회(개인정보위)에 따르면, 최근 국내외 사업자들의 API 활용이 늘면서 이를 통한 개인정보 유출 사고가 반복되고 있다.

API는 서로 다른 앱이나 시스템 등이 데이터를 공유할 수 있도록 하는 통로 역할을 한다. 이용자들이 흔히 사용하는 간편 결제·인증, 제휴사 서비스 연동 등에 활용된다. 대표적인 인터넷 망 사업자인 클라우드플레어를 거치는 전체 트래픽 중 57%가 API를 통한다. 디지털 공간에서는 필수 인프라가 된 셈이다.

문제는 이 API가 이용자의 개인정보 조회 권한은 빼고 로그인 여부만 확인하는 경우가 잦다는 것이다. 게다가 당장 서비스 제공에 필요하지 않은 개인정보까지 API 응답 데이터에 포함하기도 한다. 이용자는 전혀 모르는 채로 제공할 필요가 없는 민감한 정보까지 일괄 전송된다는 것이다.

이 경우 비정상적인 API 호출만으로 대규모 개인정보를 빼낼 수 있다. 사용자가 로그인 여부만 파악하고 정보에 접근할 권한은 검증하지 않는 점을 악용한 것이다. 실제로 지난달 중소벤처기업부의 '모두의 창업' 프로젝트에서 2만건 규모의 정보가 유출됐을 당시에도 참가 업체 중 한 곳이 특정 API 호출로 이메일 주소 등 정보를 털었다. 당시 모두의 창업 플랫폼에서는 지원자 개인정보가 API 응답을 통해 구조화돼 노출에 취약한 상태였던 것으로 파악됐다.

이에 개인정보위는 API 설계 단계부터 개인정보 최소화 원칙을 준수해야 한다고 강조했다. 서비스 제공 목적에 필요하지 않은 정보는 API 응답 데이터에서도 제외하고, 권한이 없거나 정책에 맞지 않는 API 반복 호출 등은 차단해야 한다는 것이다.

또한 운영 중인 API 목록을 지속적으로 식별하고 현행화하는 것도 중요해졌다. 기능과 서비스를 개편하고 테스트 완료 후에도 외부에서 호출 가능한 API가 남아 있는지, 불필요한 정보가 포함되지 않았는지 점검하고 필요시 삭제 조치해야 한다는 것이다. 개인정보위는 "키·토큰 등 자격증명은 담당자별로 발급하고 상황별로 조회·전송받는 데이터 범위를 제한해야 한다"고 당부했다.
김홍찬 기자

ⓒ 아시아투데이, 무단전재 및 재배포 금지

기사제보 후원하기