"코딩하다 개인정보 샌다"…개인정보위, "API 유출 주의"

김평화 기자
2026.07.08 10:00

웹·앱 서비스 고도화와 플랫폼 연동 확산으로 API를 통한 개인정보 처리가 늘면서 개인정보보호위원회가 사업자들에게 보호조치 강화를 당부했다. 서비스 화면에는 보이지 않지만 API 응답값에 불필요한 개인정보가 포함되거나, 권한 확인이 제대로 이뤄지지 않으면 대규모 유출로 이어질 수 있다는 판단이다.

개인정보위는 API를 통해 개인정보를 처리하는 사업자에게 권한 관리와 개인정보 최소 전송 등 보호조치를 강화해야 한다고 8일 밝혔다. API는 서로 다른 서비스나 시스템이 데이터를 주고받을 수 있도록 연결하는 통로다. 웹·앱 서비스 고도화, 플랫폼 제휴, 외부 서비스 연동 과정에서 활용이 빠르게 늘고 있다.

문제는 API가 개인정보 유출의 통로가 될 수 있다는 점이다. 로그인 여부만 확인하고 실제 개인정보 조회 권한은 확인하지 않거나, 서비스 제공에 필요하지 않은 개인정보까지 API 응답 데이터에 포함하는 경우가 대표적이다. 이런 구조에서는 비정상적인 API 호출만으로도 대규모 개인정보가 외부로 빠져나갈 수 있다.

실제 국내외에서는 권한 관리가 미흡한 API를 통한 유출 사례가 잇따르고 있다. 한 기업은 권한 관리가 되지 않은 API에 비정상 접근이 발생해 약 3700만명의 이름, 주소, 이메일, 전화번호, 생년월일 등이 유출됐다. 또 다른 기업은 이용자의 휴대전화번호 대신 안심번호만 전송하도록 정책을 바꿨지만 실제 API에서는 휴대전화번호까지 함께 전송되고 있었던 것으로 확인됐다. 이 과정에서 타사 시스템에 약 13만5000명의 개인정보가 보관된 사실도 드러났다.

오래된 API도 위험 요인이다. 최신 API에는 다중 인증 방식이 적용돼 있어도, 과거에 만들어진 API가 계속 동작하면서 별도 권한 확인 없이 고객 데이터 조회가 가능한 사례도 있었다. 서비스 개편이나 기능 개선 이후 쓰지 않는 API를 방치할 경우 보안 사각지대가 될 수 있다는 의미다.

개인정보위는 사업자들이 API 설계 단계부터 개인정보 최소화 원칙을 지켜야 한다고 권고했다. 이용자 화면에 보이지 않거나 서비스 제공 목적에 필요하지 않은 개인정보는 API 응답 데이터에서도 제외해야 한다. 대규모 정보 조회나 반복 호출을 제한해 한 번의 취약점이 대량 유출로 번지지 않도록 해야 한다.

권한 관리도 강화해야 한다. 이용자용, 관리자용, 제휴 협력사용 등 주체별로 접근 가능한 API와 개인정보 범위를 다르게 설정하고, 필요한 최소 범위에서만 권한을 부여해야 한다. 인증·권한이 없거나 정책에 맞지 않는 요청은 기본적으로 차단해야 한다. 모든 API 요청에 대해 요청자가 해당 개인정보를 조회하거나 수정할 권한이 있는지도 서버에서 확인해야 한다.

운영 중인 API 목록을 지속적으로 식별하고 관리하는 것도 필요하다. 기능 개선, 테스트 완료, 서비스 개편 이후 외부에서 호출 가능한 API가 남아 있는지 점검하고, 불필요한 정보가 응답값에 포함되지 않았는지 확인해야 한다. 장기 미사용 API 키, 토큰, 계정 등 자격증명은 즉시 회수해야 한다. 새벽시간 접속이나 대량 조회 등 이상행위에 대한 탐지·대응 체계도 갖춰야 한다.

API를 제공받아 서비스를 운영하는 사업자 역시 책임에서 자유롭지 않다. 응답 데이터에 서비스와 무관한 개인정보가 포함돼 있는지 확인하고, 불필요한 개인정보는 즉시 제거해야 한다. API 키와 토큰은 담당자별로 발급하고 최소 권한 원칙에 따라 조회·전송받는 데이터 범위를 제한하는 방식으로 관리해야 한다.

양청삼 개인정보위 사무처장은 "API는 서비스 화면에 표시되지 않는 개인정보도 함께 전송할 수 있으므로 서비스 제공에 필요한 최소한의 개인정보만 처리되도록 설계하고 운영해야 한다"고 말했다.

<저작권자 © ‘돈이 보이는 리얼타임 뉴스’ 머니투데이. 무단전재 및 재배포, AI학습 이용 금지>