주메뉴 바로가기 본문 바로가기

전자정부 누리집 로고 이 누리집은 대한민국 공식 전자정부 누리집입니다.

확대수치
글자크기 100%

개인정보 보호위원회

카드뉴스 게시판 상세 테이블

카드뉴스 게시판 상세 테이블로 제목, 작성부서, 작성자, 작성일, 조회수, 첨부파일, 페이지 URL, 내용 등 정보를 제공

제목 개인정보도 함께 전송하고 있나요? 응용프로그램 인터페이스(API) 활용 확대에 따른 개인정보 유출 예방 권고
작성부서 대변인 작성자 이람규
작성일 2026-07-09 조회수 901
첨부파일 목록
페이지 URL
🚨개인정보도 함께 전송하고 있나요?🚨
응용프로그램 인터페이스(API) 활용 확대에 따른
개인정보 유출 예방 권고
웹·앱 서비스, 플랫폼 연동, 제휴 서비스까지!
우리가 사용하는 많은 서비스는
API를 통해 개인정보를 주고받고 있습니다
하지만 권한 관리가 미흡하거나,
필요 이상의 개인정보가 함께 전송된다면
단 한 번의 비정상적인 호출만으로도
대규모 개인정보 유출로 이어질 수 있습니다
🔎안전한 API 권한 관리 점검사항 3가지
✔️개인정보 최소화
서비스 제공에 꼭 필요한 개인정보만 API로 전송하고,
불필요한 정보는 응답 데이터에서 제외하세요
✔️최소 권한 기반 접근통제
이용자·관리자·제휴사 등 역할에 따라
접근 가능한 API와 개인정보를 최소한으로 제한하세요
✔️운영 API 지속 점검
오래된 API, 미사용 API 키·토큰을 정리하고,
이상 접근과 대량 조회 여부를 정기적으로 점검하세요
보이지 않는 데이터까지 꼼꼼하게 관리하는 것이
🛡️개인정보 보호🛡️의 시작입니다
#API #활용 #유출 #권고 #최소권한 #점검
#개인정보 #개인정보보호위원회 #개인정보위 #PIPC
  • 개인정보도 함께 전송하고 있나요?
응용프로그램 인터페이스(API) 활용 확대에 따른 개인정보 유출 예방 권고
  • 비정상 접근으로 약 3,700만여명의 이름, 전화번호 등 유출
오래된 API를 통해 별도 권한 확인 없이 고객 데이터 조회 가능
안심번호 전송 정책 변경후에도 휴대전화번호 함께 전송,
타사 시스템에 약 13.5만여명의 이용자 개인정보 보관 사실 확인
최근 권한 관리 미흡한 API를 통해 개인정보 유출 사고 발생
√ 로그인 여부만 확인하고 개인정보 조회 권한을 확인하지 않거나
√ 서비스 제공에 필요하지 않은 개인정보까지 API 응답 데이터에 포함하는 경우
대규모 개인정보 유출로 이어질 수 있음
  • API 권한 관리 점검사항 ①
개인정보 최소화
API가 반환하는 개인정보 항목과 제공 규모를 줄입니다
필요한 데이터만 응답
화면에 보여주지 않거나 목적에 필요 없는 개인정보는 API 응답 데이터에서 제외
대량조회·응답량 제한
계정, IP, 자격증명 등을 기준으로 반복 호출, 대량 검색 등에 제한을 두어 대규모 개인정보 조회·유출 등 방지
  • API 권한 관리 점검사항 ②
최소 권한 기반 접근통제
허용된 주체·기능·범위만 개인정보에 접근하도록 합니다
접근범위 분리
이용자, 취급자, 고객사 등 주체별로 사용 가능한 API 및 개인정보 항목을 필요 최소한의 범위로 차등 부여
기본 차단
로그인 여부만 확인하는 것으로는 충분하지 않으며, 권한 정책을 따르지 않는 비정상 요청은 기본적으로 차단
서버 권한검사
이용자 화면에서 보이지 않는 것만으로는 충분하지 않으며, 서버에서 요청 데이터에 대한 접속 권한 확인
  • API 권한 관리 점검사항 ③
운영 API 지속 점검
운영 현황, 자격증명, 접속기록을 주기적으로 확인합니다
오래된 API 관리
서비스 개편, 기능 종료 후 남아 있는 구버전·미사용 API 차단 또는 폐기
자격증명 회수
장기 미사용 API 키·토큰 등 자격증명 및 권한 정기적으로 점검 및 회수
이상징후 대응
접속기록을 점검하고 대량조회·반복 실패, 새벽시간 등 업무 외 시간 접속, 외국 등에서의 접속 등 비정상 패턴 탐지
  • √ 개인정보 최소화
√ 최소 권한 기반 접근통제
√ 운영 API 지속 점검
안전한 API 관리를 개인정보를 안전하게 보호하세요

해당 페이지의 만족도와 소중한 의견 남겨주세요.

등록