"금융·핀테크 오픈API 구현 시 보안 유의해야"

고객 금융·신용정보 탈취 가능성 있어

전문가 칼럼입력 :2019/01/30 10:59

안재영 금융보안원 핀테크보안팀장

희망찬 기해년 새해가 시작된 지 엊그제 같은데, 어느덧 설 명절이 다가오고 있다. 금년도 금융권 주요 전망 중 하나는 금융권에 디지털 전환 및 핀테크 활용이 가속화될 것이라는 것이다. 미국의 대형은행인 골드만삭스와 JP모건이 IT기업으로 정체성을 탈바꿈할 것이라는 선언과 중국의 핀테크 기반 금융회사인 앤트파이낸셜의 기업가치가 골드만삭스를 넘어섰다는 분석 등은 이러한 현상이 세계적인 추세임을 뒷받침하고 있다.

최근 금융권에서 관심이 증대되고 있는 오픈 애플리케이션프로그래밍인터페이스(API)는 이러한 추세의 중심에 있다고 할 수 있다. 오픈API는 데이터나 서비스를 외부에서 쉽게 접근하여 활용할 수 있도록 제공하는 공개 응용프로그램 기술을 의미하며, 우리가 일상생활에서 편리하게 사용하는 일기예보 앱은 오픈API를 활용(오픈API를 통해 기상정보 수신)하는 대표적인 예이다. 금융권에서는 오픈API를 통해 기존 금융회사만이 제공하던 금융서비스를 핀테크 기업이 모바일앱 또는 웹애플리케이션 형태로 제공할 수 있는데, 핀테크 앱을 통한 해외송금이 그 예이다.

금융보안원 안재영 핀테크보안팀장.(사진=금융보안원)

유럽에서는 개정 지급결제서비스지침(PSDS2) 및 일반개인정보보호법(GDPR) 시행 등에 따라 금융서비스 개방 및 고객정보 이동의 주요 수단으로 금융권 오픈API 구현이 급속히 확산되고 있다. 유럽에서 금융권 오픈API 활용이 가장 활발한 영국은 관련 웹사이트인 오픈뱅킹(Open Banking)에 등록된 계좌제공자(account provider, 주로 금융회사)가 2018년말 33개에 달한다고 공개한 바 있으며, 일본은 2020년까지 80개 이상의 은행이 오픈API를 제공한다는 목표를 발표하였다.

국내에서는 금융업권별(은행, 자본시장) 공동 오픈플랫폼을 기반으로 한 금융권 공동 오픈API의 활용이 지속적으로 증가하고 있고, 은행 등 금융회사가 개별적으로 시스템을 구축하여 오픈API를 제공하는 사례도 점차 확대되고 있다.

이렇듯 금융권의 오픈API 도입은 전 세계적인 대세로 떠오르고 있으나, 민감한 정보와 금전을 다루는 금융권에서 오픈API가 부주의하게 구현될 경우 부정적 파급효과가 상당할 수 있으므로 구현 시 보안에 유의하여야 한다.

핀테크 기업은 고객 대신 API를 통해 고객의 금융·신용정보에 접근하거나 금융회사에 거래를 요청할 수 있는데, 동 과정에서 API 접근권한과 관련한 고객 인증, 접근수단 관리, 금융회사의 핀테크 기업 인증 등이 부적절하게 이루어질 경우 악의적인 공격자가 고객의 금융·신용정보를 탈취하거나 무단으로 부정한 거래를 수행할 위험이 있다.

관련기사

이에 금융보안원은 금융권 오픈API의 제공 및 이용이 안전하게 이루어질 수 있도록 금융회사 및 핀테크 기업이 각각 참고할 수 있는 금융권 오픈API에 대한 자체 보안점검 가이드 2종을 연초 배포한 바 있다.

금융회사 및 핀테크 기업이 동 가이드 등을 참고하여 금융권 오픈API 제공 및 이용에 있어 보안에 만전을 기할 경우, 금융소비자는 핀테크 기업을 통해 다양하고 편리한 금융서비스를 안심하고 이용할 수 있을 것이다. 60년만에 돌아온 황금돼지의 해를 맞아 보안을 고려하여 안전하게 구현된 오픈API가 금융권 전반으로 확산되어, 더욱 풍성하고 혁신적인 핀테크 기반 금융서비스를 향유하고 보다 많은 핀테크 리딩기업을 볼 수 있기를 희망한다.

*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.