마이데이터 오픈 API
- 사용자는 계좌정보 서비스 사업자(AISP, Account Information Service Provider), 이하 마이데이터 사업자에게 자신의 개인 신용정보를 제공하고자 한다.
- 이를 위해 <그림 1>과 같은 금융기관, 마이데이터 사업자, 고객간 절차가 수행된다.
(1) 본인인증 수행 : 고객은 먼저 자신의 신용정보를 가지고 있는 금융사로부터 인가코드를 요청한다.(*본인인증)
(2) 인가코드 발급 : 금융사는 강력한 개인 인증과정을 거쳐 사용자를 식별하고 인가코드를 발급한다.
(3) 통합조회 요청 : 고객은 마이데이터 사업자에게 인가코드를 제공함으로써 해당 마이데이터 사업자가 고객의 신용정보를 접근하는 API 호출권한을 부여한다.
(4) 인증토큰 발급요청 : 마이데이터 사업자는 고객으로부터 받은 인가코드를 금융사에 제공함으로써 고객으로부터 적법한 인가를 받은 사업자임을 증명한다.
(5) 인증토큰 발급 : 금융사는 토큰정보를 확인한 뒤 해당 사업자에게 해당 고객 신용정보를 접근하는 API 호출 권한을 갖는 토큰을 발급한다.
(6) 정보조회 API 호출 : 마이데이터 사업자는 인증 토큰을 사용하여 고객의 신용정보를 요청한다.
(7) 고객정보 제공 : 금융사는 고객 신용정보를 제공하는 API를 제공한다.
(8) 조회결과 제공 : 마이데이터 사업자는 획득한 고객 신용정보를 고객에게 시각화하여 보여준다.
* 영국의 오픈 뱅킹(Open banking)과 마이데이터 사업과의 차이?
- 오픈 뱅킹은 주로 PISP에 관한 내용으로 우리나라의 공동 결제망과 유사한 개념이다. 고객이 A은행 앱을 사용해 B은행 계좌를 사용해 C은행 계좌로 송금할 수 있도록 하는 기능이 포함된다. 즉, '결제 지시(Payment Initiation)'과 관련된 API 개발이 요구된다. 마이데이터 사업은 결제 지시와는 무관하게 '계좌 및 거래내역 조회(Account and Transaction)'과 관련된 API 개발을 요구한다.
- 앱 하나로 모든 계좌 출금·이체···'오픈뱅킹' 시범 도입
현재 마이데이터 사업 오픈 API 논의 사항
API 규격
- 프로토콜 : https
- 규격 : REST
- 데이터 표현 : JSON
- 버전 관리 : Semantic Versioning
API 제공범위
- 각 금융권업(은행, 증권, 카드)에서 어디 까지 데이터를 개방할 것인가? 에 대한 문제.
API 보안체계
- <그림 1>에서 고객 개인인증, 마이데이터 사업자 인증에 강력한 개인인증이 필요
- API 이상행위 모니터링
EU PSD2와 RTS의 보안 요구사항(*RTS : Regulatory Technical Standard)
- 강력한 고객인증 적용 : 최소 two-factor authentication
- 인증정보의 무결성·기밀성 보호 : <그림 1> 인증토큰이 네트워크 상에서 암호화되어야 하며 타인에 의해 조작될 수 없어야 함.
- 안전한 오픈 통신 표준 수립 : 안전한 통신체계 마련. 즉, 네트워크 상에서 중간자공격과 같은 위협이 없는 통신체계 요구
- 보호조치 이행감사 : 주기적인 마이데이터 사업자 보안사항 점검
데이터 결합, 데이터 거래소, 데이터 전문기관
- 금융데이터, 비금융데이터를 가지고 있는 서로 다른 사업자간에 데이터를 교환할 수 있는 중개기관을 마련하는 것이 목표
- 다양한 데이터를 결합, 분석하여 새로운 가치를 창출하는 빅데이터 산업 성장을 기대할 수 있음
- 금융위원회는 신용정보법 개정을 통해 데이터 결합, 데이터 거래소, 데이터 전문기관에 대한 법적근거를 마련한
- 실제 운영은 보안 전문성을 갖춘 기관인 금융보안원이 맡음.
- 데이터는 "비식별 처리"를 거쳐 특정인임을 식별할 수 없도록 해야하는데 이것을 합당하게 수행했는지 평가하는 데이터 전문기관을 마련하기로 함.(개인정보 비식별 조치 적정성 평가)
Reference
'금융 > 마이데이터(Mydata)' 카테고리의 다른 글
마이데이터 산업 활성화 (0) | 2019.05.07 |
---|---|
PSD2란? (0) | 2019.05.07 |
GDPR이란? (0) | 2019.05.06 |