본문 바로가기 메인메뉴 바로가기

태극기이 누리집은 대한민국 공식 전자정부 누리집입니다.

콘텐츠 영역

개인정보도 함께 전송하고 있나요?

글자크기 설정
인쇄하기 목록

개인정보도 함께 전송하고 있나요?

  • 개인정보도 함께 전송하고 있나요? 하단내용 참조
  • 개인정보도 함께 전송하고 있나요? 하단내용 참조
  • 개인정보도 함께 전송하고 있나요? 하단내용 참조
  • 개인정보도 함께 전송하고 있나요? 하단내용 참조
  • 개인정보도 함께 전송하고 있나요? 하단내용 참조
  • 개인정보도 함께 전송하고 있나요? 하단내용 참조

개인정보도 함께 전송하고 있나요?
응용프로그램 인터페이스(API) 활용 확대에 따른 개인정보 유출 예방 권고

- 비정상 접근으로 약 3700만여 명의 이름, 전화번호 등 유출
- 오래된 API를 통해 별도 권한 확인 없이 고객 데이터 조회 가능
- 안심번호 전송 정책 변경 후에도 휴대전화번호 함께 전송, 타사 시스템에 약 13.5만여 명의 이용자 개인정보 보관 사실 확인

■ 최근 권한 관리 미흡한 API를 통해 개인정보 유출 사고 발생

· 로그인 여부만 확인하고 개인정보 조회 권한을 확인하지 않거나
· 서비스 제공에 필요하지 않은 개인정보까지 API 응답 데이터에 포함하는 경우
→ 대규모 개인정보 유출로 이어질 수 있음

■ API 권한 관리 점검사항 ① 개인정보 최소화
API가 반환하는 개인정보 항목과 제공 규모를 줄입니다.

· 필요한 데이터만 응답
- 화면에 보여주지 않거나 목적에 필요 없는 개인정보는 API 응답 데이터에서 제외

· 대량조회·응답량 제한
- 계정, IP, 자격증명 등을 기준으로 반복 호출, 대량 검색 등에 제한을 두어 대규모 개인정보 조회·유출 등 방지

■ API 권한 관리 점검사항 ② 최소 권한 기반 접근통제
허용된 주체·기능·범위만 개인정보에 접근하도록 합니다.

· 접근범위 분리
- 이용자, 취급자, 고객사 등 주체별로 사용 가능한 API 및 개인정보 항목을 필요 최소한의 범위로 차등 부여

· 기본 차단
- 로그인 여부만 확인하는 것으로는 충분하지 않으며, 권한 정책을 따르지 않는 비정상 요청은 기본적으로 차단

· 서버 권한검사
- 이용자 화면에서 보이지 않는 것만으로는 충분하지 않으며, 서버에서 요청 데이터에 대한 접속 권한 확인

■ API 권한 관리 점검사항 ③ 운영 API 지속 점검
운영 현황, 자격증명, 접속기록을 주기적으로 확인합니다.

· 오래된 API 관리
- 서비스 개편, 기능 종료 후 남아 있는 구버전·미사용 API 차단 또는 폐기

· 자격증명 회수
- 장기 미사용 API 키·토큰 등 자격증명 및 권한 정기적으로 점검 및 회수

· 이상징후 대응
- 접속기록을 점검하고 대량조회·반복 실패, 새벽시간 등 업무 외 시간 접속, 외국 등에서의 접속 등 비정상 패턴 탐지

안전한 API 관리로 개인정보를 안전하게 보호하세요.

· 개인정보 최소화
· 최소 권한 기반 접근통제
· 운영 API 지속 점검

하단 배너 영역