"화면에 안 보여도 샌다"…정부, 'API 개인정보 유출' 경보 작성일 07-08 14 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">앱 연동 통로 'API', 화면에 안 보이는 정보까지 통째로 전송 위험<br>"로그인만 보고 권한 확인 패스"…허술한 관리 틈탄 대량 유출 잇따라</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="4ziuy0e4Go"> <figure class="figure_frm origin_fig" contents-hash="81db424d6af22341bd2a719600053f648cf64ef053230a6ea5315b9c48c9a6a5" dmcf-pid="8qn7Wpd8HL" dmcf-ptype="figure"> <p class="link_figure"><img alt="[서울=뉴시스] 개인정보보호위원회는 8일 API 활용이 확대됨에 따라 사업자에게 권한 관리와 개인정보 최소 전송 등 보호조치를 강화해 달라고 밝혔다. 2026.07.08. (사진=개인정보보호위원회 제공) *재판매 및 DB 금지" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202607/08/newsis/20260708102704681ofgi.jpg" data-org-width="720" dmcf-mid="f9E432Aitg" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202607/08/newsis/20260708102704681ofgi.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> [서울=뉴시스] 개인정보보호위원회는 8일 API 활용이 확대됨에 따라 사업자에게 권한 관리와 개인정보 최소 전송 등 보호조치를 강화해 달라고 밝혔다. 2026.07.08. (사진=개인정보보호위원회 제공) *재판매 및 DB 금지 </figcaption> </figure> <p contents-hash="033463f641702842e442b461d3835a4ae2b9d0009bf6732f1fb066bcb3f083bb" dmcf-pid="6BLzYUJ6tn" dmcf-ptype="general"><br> [서울=뉴시스]윤정민 기자 = 웹사이트나 스마트폰 앱을 서로 연결해 주는 기술인 'API'를 통해 개인정보가 유출되는 사고가 잇따르고 있다. 화면에는 나타나지 않는 개인정보까지 데이터 통로를 통해 무방비로 넘어갈 수 있어 기업들의 각별한 주의가 요구된다.</p> <p contents-hash="bfc1da646309846911ca5285d3be2f67e0ef88d478982d4e2ec6aba30edc4cbc" dmcf-pid="PboqGuiP5i" dmcf-ptype="general">개인정보보호위원회는 8일 API 활용이 확대됨에 따라 사업자에게 권한 관리와 개인정보 최소 전송 등 보호조치를 강화해 달라고 밝혔다.</p> <p contents-hash="8ac170f9514b8fbff005336940f802e9f7e1f404a193b6e42a542f03cfedba6e" dmcf-pid="QKgBH7nQ1J" dmcf-ptype="general">API는 서비스나 시스템끼리 데이터를 주고받도록 연결하는 통로다. 간편 로그인, 제휴 서비스 연동, 배송·결제·회원정보 조회 등 다양한 기능에 쓰인다. 트래픽 관리 서비스 클라우드플레어에 따르면, 전체 인터넷 트래픽의 57%가 이 API를 통해 오가고 있다.</p> <p contents-hash="115aa82708349616bcdf26c74afee9892a0f2c1f900426850175d93e3265186d" dmcf-pid="x9abXzLx5d" dmcf-ptype="general">문제는 API 사고가 일반 이용자 눈에 전혀 보이지 않는다는 점이다. 스마트폰 화면에는 이름과 아이디만 표시되더라도, 뒷단에 있는 API 통로에서는 주소나 주민등록번호 같은 민감한 정보까지 한꺼번에 전송되는 경우가 많다.</p> <p contents-hash="7438c1377a426e460bc4eda4f1004a3fbdc2beb50cd35e82a8a492d2ed5bcc15" dmcf-pid="ys3rJE1yYe" dmcf-ptype="general">최근 국내외에서 발생한 대규모 정보 유출 사고도 이 허점을 노렸다. 사용자가 로그인했는지만 확인하고 정작 해당 정보를 볼 권한이 있는지 제대로 검증하지 않는 식이다. 비정상적인 방식으로 이 통로를 반복 호출하면 대량의 개인정보가 한 번에 털릴 수 있다.</p> <p contents-hash="b56f6a01df8ec33ee20ac4eb7e77525c09a9d4aa49ef0b7144f9e7870d0a9fe2" dmcf-pid="WO0miDtWYR" dmcf-ptype="general">특히 과거에 쓰다 버려둔 테스트용 API나 오래된 연결 통로를 그대로 방치하는 것도 화근이다. 제휴 관계가 복잡한 대형 플랫폼일수록 어떤 통로로 어떤 정보가 나가는지 실시간으로 파악하지 못해 피해를 키우고 있다.</p> <p contents-hash="04a41a711386f329353bfd8ae95f5eb5368084c5d1f3ca432c218e8bc28e2a69" dmcf-pid="YIpsnwFYHM" dmcf-ptype="general">개인정보위는 사고를 막기 위해 설계 단계부터 '개인정보 최소화 원칙'을 뼈대로 삼아야 한다고 강조했다. 서비스 제공에 꼭 필요하지 않은 데이터는 처음부터 API 전송 대상에서 과감히 제외하라는 주문이다. 아울러 특정 계정이 단시간에 대규모로 정보를 조회하거나 반복 요청을 보낼 수 없도록 차단벽을 세워야 한다.</p> <p contents-hash="7107969e3209074b56b310dbd79eddb0da0ec3a912703d5cb54bc8302d4db37d" dmcf-pid="GCUOLr3GYx" dmcf-ptype="general">철저한 권한 분리도 필수적이다. 일반 이용자, 관리자, 제휴 협력사 등 접속하는 주체에 따라 접근할 수 있는 API 범위를 칼로 자르듯 명확히 나눠야 한다. 서버는 모든 데이터 요청이 들어올 때마다 권한이 있는 적법한 요청인지 매번 확인해야 한다.</p> <p contents-hash="b4750f8d737ef2446a465f1438474471ea1e1cf7ce295933fd84b94e58648665" dmcf-pid="HhuIom0HGQ" dmcf-ptype="general">이미 운영 중인 시스템도 전면적인 점검이 필요하다.. 기능 개선이나 서비스 개편이 끝난 뒤 외부에 열려 있는 불필요한 API 통로는 즉시 닫아야 한다. 오랫동안 쓰지 않은 API 접속 열쇠(키·토큰)나 계정 등 자격증명 역시 발견 즉시 회수해야 안전하다.</p> <p contents-hash="6444bcceddd53861d9153f2b5bde68744d87b1d52c8b0e5c46eef713126c1476" dmcf-pid="XcHjPgWI1P" dmcf-ptype="general">운영 중인 API 목록을 식별하고 현행화하는 절차도 요구된다. 개인정보위는 기능 개선, 테스트 완료, 서비스 개편 이후 외부에서 호출 가능한 API가 남아 있는지 점검하고 불필요한 정보가 API 응답에 포함되지 않도록 삭제해야 한다고 말했다. 장기 미사용 API 키·토큰·계정 등 자격증명도 즉시 회수해야 한다고 전했다.</p> <p contents-hash="045e3dd2cbc27c6fb70d4937953ce0ff6797bd9eb0528c0d52413aff1f9c78a6" dmcf-pid="ZkXAQaYCH6" dmcf-ptype="general">API를 제공받아 서비스를 운영하는 하위 사업자도 책임을 피할 수 없다. 넘어오는 데이터 중에 우리 서비스와 무관한 개인정보가 섞여 있는지 수시로 모니터링해야 한다.</p> <p contents-hash="9397eaafebd1c46497f95ee2853d7c3fd2886e3bf009d51c616771996e67a749" dmcf-pid="5EZcxNGhY8" dmcf-ptype="general">양청삼 개인정보위 사무처장은 "API는 화면에 표시되지 않는 개인정보까지 함께 실어 나를 수 있다"며 "반드시 서비스에 필요한 최소한의 데이터만 처리되도록 시스템을 설계하고 운영해야 한다"고 당부했다.</p> <p contents-hash="bffa678b4fe3710c7ac060cafe4b899bb9aac6ca7a676fe5f02fd36ae477d473" dmcf-pid="1D5kMjHlX4" dmcf-ptype="general"><a href="https://www.newsis.com/?ref=chul" target="_blank">☞공감언론 뉴시스</a> alpaca@newsis.com </p> </section> </div> <p class="" data-translation="true">Copyright © 뉴시스. 무단전재 및 재배포 금지.</p> 관련자료 이전 아이스하키 고교 최강 가린다…U-18 i리그 3라운드 9일 개막 07-08 다음 삼성전자, 베라 루빈 탑재 'SSD PM1763' 양산 개시…AI 저장장치 경쟁 본격화 07-08 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.