/
개인정보도 함께 전송하고 있나요?

개인정보도 함께 전송하고 있나요?

개인정보도 함께 전송하고 있나요?

개인정보도 함께 전송하고 있나요?

개인정보도 함께 전송하고 있나요?

개인정보도 함께 전송하고 있나요?

개인정보도 함께 전송하고 있나요?
응용프로그램 인터페이스(API) 활용 확대에 따른 개인정보 유출 예방 권고
- 비정상 접근으로 약 3700만여 명의 이름, 전화번호 등 유출
- 오래된 API를 통해 별도 권한 확인 없이 고객 데이터 조회 가능
- 안심번호 전송 정책 변경 후에도 휴대전화번호 함께 전송, 타사 시스템에 약 13.5만여 명의 이용자 개인정보 보관 사실 확인
■ 최근 권한 관리 미흡한 API를 통해 개인정보 유출 사고 발생
· 로그인 여부만 확인하고 개인정보 조회 권한을 확인하지 않거나
· 서비스 제공에 필요하지 않은 개인정보까지 API 응답 데이터에 포함하는 경우
→ 대규모 개인정보 유출로 이어질 수 있음
■ API 권한 관리 점검사항 ① 개인정보 최소화
API가 반환하는 개인정보 항목과 제공 규모를 줄입니다.
· 필요한 데이터만 응답
- 화면에 보여주지 않거나 목적에 필요 없는 개인정보는 API 응답 데이터에서 제외
· 대량조회·응답량 제한
- 계정, IP, 자격증명 등을 기준으로 반복 호출, 대량 검색 등에 제한을 두어 대규모 개인정보 조회·유출 등 방지
■ API 권한 관리 점검사항 ② 최소 권한 기반 접근통제
허용된 주체·기능·범위만 개인정보에 접근하도록 합니다.
· 접근범위 분리
- 이용자, 취급자, 고객사 등 주체별로 사용 가능한 API 및 개인정보 항목을 필요 최소한의 범위로 차등 부여
· 기본 차단
- 로그인 여부만 확인하는 것으로는 충분하지 않으며, 권한 정책을 따르지 않는 비정상 요청은 기본적으로 차단
· 서버 권한검사
- 이용자 화면에서 보이지 않는 것만으로는 충분하지 않으며, 서버에서 요청 데이터에 대한 접속 권한 확인
■ API 권한 관리 점검사항 ③ 운영 API 지속 점검
운영 현황, 자격증명, 접속기록을 주기적으로 확인합니다.
· 오래된 API 관리
- 서비스 개편, 기능 종료 후 남아 있는 구버전·미사용 API 차단 또는 폐기
· 자격증명 회수
- 장기 미사용 API 키·토큰 등 자격증명 및 권한 정기적으로 점검 및 회수
· 이상징후 대응
- 접속기록을 점검하고 대량조회·반복 실패, 새벽시간 등 업무 외 시간 접속, 외국 등에서의 접속 등 비정상 패턴 탐지
안전한 API 관리로 개인정보를 안전하게 보호하세요.
· 개인정보 최소화
· 최소 권한 기반 접근통제
· 운영 API 지속 점검
개인정보도 함께 전송하고 있나요?
응용프로그램 인터페이스(API) 활용 확대에 따른 개인정보 유출 예방 권고
- 비정상 접근으로 약 3700만여 명의 이름, 전화번호 등 유출
- 오래된 API를 통해 별도 권한 확인 없이 고객 데이터 조회 가능
- 안심번호 전송 정책 변경 후에도 휴대전화번호 함께 전송, 타사 시스템에 약 13.5만여 명의 이용자 개인정보 보관 사실 확인
■ 최근 권한 관리 미흡한 API를 통해 개인정보 유출 사고 발생
· 로그인 여부만 확인하고 개인정보 조회 권한을 확인하지 않거나
· 서비스 제공에 필요하지 않은 개인정보까지 API 응답 데이터에 포함하는 경우
→ 대규모 개인정보 유출로 이어질 수 있음
■ API 권한 관리 점검사항 ① 개인정보 최소화
API가 반환하는 개인정보 항목과 제공 규모를 줄입니다.
· 필요한 데이터만 응답
- 화면에 보여주지 않거나 목적에 필요 없는 개인정보는 API 응답 데이터에서 제외
· 대량조회·응답량 제한
- 계정, IP, 자격증명 등을 기준으로 반복 호출, 대량 검색 등에 제한을 두어 대규모 개인정보 조회·유출 등 방지
■ API 권한 관리 점검사항 ② 최소 권한 기반 접근통제
허용된 주체·기능·범위만 개인정보에 접근하도록 합니다.
· 접근범위 분리
- 이용자, 취급자, 고객사 등 주체별로 사용 가능한 API 및 개인정보 항목을 필요 최소한의 범위로 차등 부여
· 기본 차단
- 로그인 여부만 확인하는 것으로는 충분하지 않으며, 권한 정책을 따르지 않는 비정상 요청은 기본적으로 차단
· 서버 권한검사
- 이용자 화면에서 보이지 않는 것만으로는 충분하지 않으며, 서버에서 요청 데이터에 대한 접속 권한 확인
■ API 권한 관리 점검사항 ③ 운영 API 지속 점검
운영 현황, 자격증명, 접속기록을 주기적으로 확인합니다.
· 오래된 API 관리
- 서비스 개편, 기능 종료 후 남아 있는 구버전·미사용 API 차단 또는 폐기
· 자격증명 회수
- 장기 미사용 API 키·토큰 등 자격증명 및 권한 정기적으로 점검 및 회수
· 이상징후 대응
- 접속기록을 점검하고 대량조회·반복 실패, 새벽시간 등 업무 외 시간 접속, 외국 등에서의 접속 등 비정상 패턴 탐지
안전한 API 관리로 개인정보를 안전하게 보호하세요.
· 개인정보 최소화
· 최소 권한 기반 접근통제
· 운영 API 지속 점검