마이데이터 서비스를 실제 적용하기 위한 표준API 규격이 이르면 내달 초 배포된다. 내년 3월경 서비스 개발 테스트베드 운영이 시작된다.
26일 온라인으로 열린 '제11회 스마트금융 콘퍼런스'에 연사로 참석한 유재필 금융보안원 마이데이터팀장은 “마이데이터 환경을 실현하려면 강력한 본인인증, 응용 프로그램 인터페이스(API) 방식 기반의 안전한 개인신용정보 전송, 24시간 실시간 모니터링 보안관제 등이 반드시 수반돼야 한다”면서 “서비스 개발 테스트베드를 활용해 다수 금융사와 마이데이터 사업자 간 상호 연동시 오류 여부를 점검할 수 있다”고 밝혔다. 보안원은 내년 3월 운영을 목표로 시스템을 개발 중이다.
마이데이터 환경에서는 은행, 보험, 카드 등에 분산된 개인 금융거래 정보 등을 일괄 수집해 정보주체가 알기 쉽게 통합 분석·제공하게 된다.
이를 실현하기 위해 금융당국은 2019년 4월부터 표준 API 워킹그룹을 운영하고 있다. 여러 금융기관 데이터를 중계하는 다수의 마이데이터 중계기관이 데이터 유형과 전달 방식을 표준화할 수 있도록 표준화된 API 기술과 강도 높은 보안 체계를 수립하는 역할을 한다. 사고 발생 시 피해배상 범위 등도 고려해야 한다.
현재 가장 중요한 것은 표준 API를 이용해 신뢰도를 높이는 것이다. 신용정보법 개정안에서는 내년 8월부터 고객 인증정보로 계정에 접근해 스크린에 보이는 데이터를 추출해 개인신용정보를 수집하는 스크린 스크래핑(Screen Scraping)을 금지했다. 이에 따라 마이데이터 사업자는 정보제공자가 발급한 접근토큰을 이용해 개인신용정보를 수집해야 한다. 표준API 기반으로 인증정보가 아닌 접근토큰을 저장·관리하고 고객이 부여한 권한 안에서 정보를 수집하게 되는 것이다.
유재필 팀장은 “내년 3월께 마이데이터 사업자와 정보제공자가 개인 신용정보 전송·인증 관련 API 규격 적합성을 자체 검증하도록 마이데이터 서비스 개발 테스트베드를 운영할 예정”이라면서 “이 과정을 거쳐 보안상 취약점을 검증하고 API 규격에 맞게 서비스가 개발됐는지 검증하게 된다”고 말했다.
또 “마이데이터 사업자 허가에서 가장 중요한 것은 개인신용정보 유출을 차단하는 체계”라면서 “마이데이터 사업자는 전자금융거래에 준하는 기술·물리·관리적 보호대책을 반드시 실행해야 하며 이용자수 100만명 이상을 확보하면 금융보안관제에 반드시 가입해야 하는 등 이중·삼중 보안 체계를 갖췄다”고 강조했다.
배옥진기자 withok@etnews.com
