[데이터넷] 금융 마이데이터가 본격 시행되면서 참여 기업 간 데이터를 원활하게 교환하고 안정적인 서비스를 제공할 수 있게 하는 환경이 필요하다. 이에 마이데이터가 안정적으로 시장에 자리 잡을 수 있도록 금융당국의 가이드에 따라 한국신용정보원이 마이데이터 지원센터를 오픈하고 각종 서비스를 지원하기 위한 마이데이터 종합포털도 운영하기로 했다. 특히 마이데이터 종합포털은 참여자 간 안전한 API 통신을 제공하는 역할로 마이데이터 서비스의 핵심을 이루게 된다. <편집자>
|
- 연재 순서 - 1. 대한민국 새로운 업(業)의 탄생, 마이데이터 서비스 |
(yongwoo.park@universalrealtime.com)
前) 한국IT전문가협회 기술원장
前) JCO(JavaCommunity.Org) 초대회장
건국대학교 컴퓨터공학과 공학박사
2021년 2월 22일, 금융위원회는 마이데이터 사업자와 금융회사 등이 마이데이터 시행을 원활히 준비할 수 있도록 서비스(신용정보원) 및 기술(금융보안원) 가이드라인을 마련하고, 안정적인 마이데이터 운영을 위한 마이데이터 지원센터도 운영한다고 밝혔다.
2021년 8월 4일 이후 마이데이터 사업자들은 보안이 취약한 스크래핑 방식이 아닌 표준 API를 통해 개인신용정보를 수집·활용해 소비자(정보주체)에게 서비스를 제공해야 한다. 이에 금융위에서는 소비자의 정보주권을 보장하고 마이데이터 참여회사들이 원활히 서비스를 준비하도록 마이데이터 가이드라인을 발간했다.
마이데이터 서비스가 새롭게 운영되는 산업인 만큼, 정보제공범위, 운영절차 및 법령상 의무, 유의사항 등에 대해 구체적인 내용을 담았다. 이를 위해, 은행, 보험, 카드, 증권, 핀테크 등 70여개 기업이 2019년 5월부터 2020년 9월까지 데이터 표준 API 워킹그룹을 운영했고, 또한 참여기관의 의견을 수렴하고 애로사항을 해소하기 위해 한국신용정보원에 ‘마이데이터 지원센터’를 설치했다.
마이데이터 지원센터
금융위에서 공개한 ‘금융분야 마이데이터 서비스 가이드라인’ 4장에서는 마이데이터 지원센터에 대해 ‘마이데이터 지원센터란 마이데이터산업이 원활이 운영될 수 있도록 지원하는 역할을 하는 기구로 종합신용정보집중기관인 한국신용정보원이 수행’한다고 정의하고 있다. 한국신용정보원이 수행하는 마이데이터 지원센터의 역할을 살펴보면 다음과 같다.
- 참여기관 관리: 마이데이터산업을 구성하는 고객①, 마이데이터사업자②, 정보제공자③, 중계기관④의 등록 및 데이터 송·수신자 인증을 포함한 참여기관의 전반적인 운영사항을 관리
- 정보항목 선정 및 표준화: 워킹그룹에서 선정한 전송대상 신용정보항목 이외에 마이데이터산업 발전을 위해 추가·관리돼야 할 항목을 지속적으로 반영
- 과금체계 운영방안 관리: 마이데이터사업자의 정기적 정보수신에 따른 수수료 부과와 관련 적정한 과금 모델을 개발해 적용하고, 지속적으로 모니터링해 합리적인 과금체계가 유지될 수 있도록 관리. 과금은 연간·월간·일일 등 정산 방안에 대해 검토하며, 과금 적용 구간은 다음과 같다.
① 마이데이터사업자 ↔ 정보제공자 간
② 마이데이터사업자 ↔ 중계기관 간
③ 중계기관 ↔ 참여회사(중·소형 정보제공자) 간
- 민원·분쟁사항 관리: 고객민원 및 참여기관 간 분쟁발생 관련 의견을 접수해 금융당국과 함께 문제 해결방안을 찾고, 산업이 조기에 정착할 수 있도록 지원. 종합포털(홈페이지)을 통한 고객 민원 및 참여기관 분쟁사항 접수 등 온라인 채널 관리, 또는 정기 협의체 공유·논의 및 금융당국 제안 등 오프라인 채널 관리.
- 정기협의체 운영: 마이데이터서비스 운영에는 다양한 의사결정이 필요하며, 참여기관 간 의견 조율을 위해 정기 협의체를 구성·운영.
- 마이데이터 종합포털(지원센터 홈페이지) 운영: 지원센터에서 참여기관 및 대국민 대상으로 마이데이터 관련 각종 서비스를 지원하기 위해 ‘마이데이터 종합포털’을 운영
마이데이터 종합포털
마이데이터 지원센터 역할을 수행하는 한국신용정보원에서 구축하고 있는 마이데이터 종합포털의 주요 기능은 다음과 같다.
- 참여기관 등록(마이데이터사업자/정보제공자/중계기관/통합인증기관): 마이데이터산업을 구성하는 참여기관이 종합포털에 가입을 신청하고, 이를 심사해 등록·관리하는 등 마이데이터서비스 운영을 위한 사전 필수 절차. 참여기관은 마이데이터사업자, 정보제공자, 중계기관, 본인확인기관(통합인증) 등
① 종합포털의 절차에 따라 회원가입 및 기관정보(기관명, TLS 인증서 정보, 도메인명 등) 등록
- 종합포털은 기관코드를 발급(따라서 중계기관 및 중계기관을 이용 하는 기관도 종합포털에 기관 등록 필요)
- TLS 인증서 정보 등록: 기관 간 상호인증, 데이터 암호화 송·수신을 위해 기관들은 뮤추얼(mutual) TLS를 적용해야 하는데, 이를 위해 각 기관이 공인된 CA기관으로부터 발급받은 TLS 인증서(EV등급) 정보를 종합포털에 등록
√ TLS 인증서 내 시리얼 넘버(SERIALNUMBER)에 기재된 기관등록번호(사업자등록번호)를 등록함으로써 TLS 인증서를 추후 재발급 받더라도 시리얼 넘버가 동일한 경우 종합포털에 재등록 불필요
√ 각 기관은 TLS 상호인증 시 시리얼 넘버 검증 필요
② 마이데이터사업자, API를 직접 구축한 데이터보유자 및 중계기관은 종합포털로부터 지원API용 자격증명 2종을 발급받아 기관 내 시스템 등에 반영
- (지원API 호출용 자격증명) 마이데이터사업자, 데이터보유자 또는 중계 기관이 지원API를 호출(종합포털이 API 제공)하기 위한 접근토큰 발급 시 필요한 자격증명
- (지원API 제공용 자격증명) 종합포털이 지원API를 호출(마이데이터사업자, 데이터보유자 또는 중계기관이 API 제공)하기 위한 접근토큰 발급 시 필요한 자격증명
③ API를 직접 구축한 정보제공자 및 중계기관은 종합포털로부터 통합인증 API 호출용 자격증명을 발급받아, 기관 내 시스템 등에 반영
- (통합인증 API 호출용 자격증명) 정보제공자, 중계기관이 통합인증 API를 호출(통합인증기관이 API 제공)하기 위한 접근토큰 발급 시 필요한 자격증명
④ 통합인증기관은 종합포털로부터 지원API 호출용 자격증명을 발급받아, 기관 내 시스템 등에 반영
- 서비스정보 등록(마이데이터사업자): 마이데이터사업자는 정보주체에게 여러 서비스를 제공할 수 있으며, 마이데이터서비스를 제공하는 앱에 대해 각각의 서비스로 등록하고, 자격증명을 발급받아야 함
① 종합포털의 절차에 따라 서비스정보(서비스명, 콜백(Callback) URL 등) 등록
② 종합포털로부터 서비스 자격증명을 발급받아, 기관 내 시스템 등에 반영
- (서비스 자격증명) 마이데이터사업자가 정보제공 API를 호출(데이터 보유자가 API 제공)하기 위한 접근토큰 발급 시 필요한 자격증명
- 종합포털과 접속 채널 등 설정(마이데이터사업자/정보제공자/중계기관/통합인증기관): 안전한 지원 API 호출을 위해 마이데이터사업자, API를 직접 구축한 데이터보유자 및 중계기관은 종합포털 IP 접근제어(방화벽 등록 등) 및 TLS 인증서 정보를 기관 내 시스템 등에 반영
마이데이터사업자 및 정보제공자는 마이데이터 종합포털에 기관등록을 마친 후, 마이데이터 종합포털에서 제공하는 지원 API를 호출해 마이데이터 생태계에 참여하는 모든 마이데이터사업자, 정보제공자, 중계기관 등의 참여주체에 대한 자격증명, 콜백 URL, 도메인명, TLS 인증서 정보(사업자등록번호) 등을 받아서 해당 기관의 API 게이트웨이에 등록해야 한다. 각 기관의 API 게이트웨이는 이러한 정보를 기반으로 뮤추얼 TLS 통신 및 인가코드/접근토큰 등을 발급해 안전한 API 통신을 하게 된다.
API 지원
먼저 금융보안원의 ‘금융분야 마이데이터 표준 API 규격(안)’에서 정의하고 있는 마이데이터 종합포털에서 제공하는 지원 API에 대해 살펴보면 다음과 같다.
1. 접근토큰 발급 API: 마이데이터사업자 또는 정보제공자가 종합포털에서 제공하는 지원 API를 호출하기 위해 종합포털에서 발급받은 자격증명(Client ID/Secret)을 이용해 종합포털 게이트웨이에게 접근토큰 발급 요청 API
2. 기관정보 조회 API: 마이데이터사업자 또는 정보제공자가 타기관의 기관정보를 종합포털로부터 제공받기 위한 API
3. 서비스정보 조회 API: 마이데이터사업자 또는 정보제공자가 타기관(마이데이터사업자)의 서비스정보를 종합포털로부터 제공받기 위한 API
4. 통계자료 전송 API: 마이데이터사업자는 통계자료를 종합포털에 주 단위 집중하며, 정기적 전송과 비정기적 전송을 구분(type parameter)해 API 통계 자료를 전송
5. 통합인증 API 호출용 자격증명 조회 API: 통합인증기관이 통합인증 API(통합인증-003)를 요청하는 정보제공자 및 중계기관의 통합인증 API 호출용 자격증명을 종합포털로부터 제공받기 위한 API
- 통계정보 제공: 마이데이터사업자가 종합포털에 집중하는 API 전송내역을 활용해 정기적 전송에 대한 과금모델 개발 및 각종 산업통계·지표 등을 제공
다음으로 금융보안원에서는 ‘금융분야 마이데이터 표준 API 규격(안)’에서 정의하고 있는 마이데이터 종합포털에서 호출하도록 마이데이터사업자 및 정보제공자에게 제공하는 지원 API에 대해 살펴보면 아래와 같다.
6. 접근토큰 발급 API: 종합포털에서 마이데이터사업자 또는 정보제공자가 제공하는 지원 API를 호출하기 위해, 종합포털의 자격증명(Client ID/Secret)을 이용해 해당 기관의 게이트웨이에게 접근토큰 발급 요청 API
7. 정보제공자 상태 조회 API: 마이데이터사업자가 종합포털에서 특정 정보제공자의 상태 조회 시, 종합포털이 해당 정보제공자의 API 서버 가용여부 상태를 조회하기 위한 API
8. 정보주체별 전송 요구내역 조회 API: 정보주체가 종합포털에서 요청 시, 종합포털이 정보제공자로부터 해당 정보주체의 전송 요구 내역을 조회하기 위한 API
9. 통계자료 재전송 요청 API: 마이데이터사업자가 API 규격 오류, 전송 실패, 또는 잘못된 정보 집중 등 통계자료 집중이 정상적으로 이뤄지지 않았을 경우 종합포털에서 해당 마이데이터사업자에게 재전송을 요청하기 위한 API
- 개인신용정보 전송 요구 내역 통합조회: 고객이 마이데이터서비스를 이용하기 위해 다수의 마이데이터서비스에서 요구한 개인신용정보 전송 요구내역을 일괄 통합 조회할 수 있도록 서비스 제공
- 정보제공자 서비스 상태 조회: 마이데이터사업자는 종합포털을 통해 정보제공자의 API 전송시스템 상태(정상, 시스템 점검, 장애 여부) 조회 가능
끝으로 다음의 주요 기능도 마이데이터 종합포털에서 제공한다.
- 마이데이터서비스 실환경 테스트 지원: 마이데이터사업자가 개발한 서비스 앱이 안정적으로 운영될 수 있도록 정보제공자와의 실환경에서 사전 테스트 지원
- 마이데이터 소개 및 고객지원서비스 : 마이데이터 생태계 및 참여기관에 대한 소개와 함께 주요소식 안내 및 각종 민원, 분쟁사항의 접수·처리 지원
한국신용정보원에서 수행하는 마이데이터 종합포털이 정상적으로 운영되지 않으면, 마이데이터 생태계에 참여하는 마이데이터사업자, 정보제공자, 중계기관, 본인확인기관(통합인증) 등 1000여개에 달하는 참여기관들에 대한 기관 정보, TLS 인증서 정보, 콜백(Callback) URL 등록은 물론 자격증명 발급을 할 수 없을 뿐만 아니라, 마이데이터 산업의 근간이 되는 API 통신을 전혀 할 수 없다.
이에 2021년 1월 초부터 시작한 한국신용정보원의 종합포털 구축 사업이 목표하는 5월 17일에 성공적으로 오픈하기를 바라며, 그에 따라 마이데이터 서비스가 대한민국의 새로운 업으로서 본궤도에 안착해 순항하기를 기대해본다.
