.svg)
AI 솔루션 문의하기
마이데이터 사업자는 신용정보법상 '본인신용정보관리회사'로 불리며, 개인인 신용정보주체의 신용관리를 지원하기 위하여 개인신용정보를 통합하여 제공하는 업무를 수행합니다. 현재 본허가를 받은 마이데이터 사업자는 69개사에 이르며, 허가심의 중인 30개사와 예비허가 3개사, 허가신청 중인 27개사가 있어 시장이 지속적으로 확대되고 있습니다.
마이데이터 사업이 시작되면서 업계에서는 비대면 서비스의 확산과 함께 안전하고 효율적인 인증수단의 필요성이 더욱 부각되고 있습니다. 정부는 마이데이터 시장이 2025년 20조원 규모에 달하고, 2030년에는 30조원 이상으로 성장할 수 있다고 예상한다고 밝힌 바 있습니다.
마이데이터 서비스에서는 크게 두 가지 인증 방식을 제공합니다. 첫 번째는 개별인증 방식으로, 정보주체가 각각의 정보제공자에게 개별적으로 인증을 수행하는 방식입니다. 두 번째는 통합인증 방식으로, 정보주체가 마이데이터 서비스를 이용하기 위해 통합인증 기관으로부터 발급받은 통합인증 수단을 이용해 1회 인증으로 다수 정보제공자에게 개인신용정보 전송요구권 행사 및 인증을 동시에 수행하는 방식입니다.
통합인증 방식의 경우 정보주체가 한 번의 본인인증만으로 다수의 정보제공자에게 정보전송요구가 가능하도록 복잡한 인증절차를 간소화한 통합인증 도입을 통해 사용자 편의성을 크게 향상시킵니다. 금융위원회는 '공인인증서 + 전자서명법에 따라 인정된 사설인증서'를 통합인증 수단으로 허용하고 있습니다.
통합인증기관은 다수 정보제공자가 정보주체를 공통적으로 식별 및 인증하는데 필요한 식별정보인 연계정보(CI)를 적법하게 제공 가능한 기관 중에서 충분한 보안 수준 등을 갖춰 통합인증기관으로 참여한 기관을 의미합니다. 현재 기존 공인인증서 발급기관인 금융결제원, 코스콤, 한국정보인증 등이 통합인증 시스템을 만들고 있습니다.
통합인증수단과 통합인증서는 통합인증기관으로 참여한 인증서 본인확인기관이 발급한 인증서 본인확인수단을 말하며, 여기에는 공동인증서(범용, 은행, 증권), 금융인증서 등이 포함됩니다. 마이데이터 서비스 초기 단계에서는 구 공인인증서인 '공동인증서'가 주요 통합인증 수단으로 사용되고 있습니다.
마이데이터 사업자는 표준 API 규격을 준수하여 시스템을 구축해야 합니다. 네트워크 구간 보호를 위해 참여주체(정보 제공자, 마이데이터사업자, 종합포털, 통합인증기관) 간 안전한 통신을 위한 보호 방안으로 TLS 기반 상호인증 및 전송구간 암호화를 사용합니다. 안전한 전송을 위해 TLS 1.3 이상 버전 사용이 권장됩니다.
통합인증 API 처리 절차는 다음과 같이 진행됩니다. 정보주체가 마이데이터 서비스 앱에서 통합인증을 선택하면, 마이데이터사업자는 정보제공자 선택화면을 제공합니다. 정보주체는 개인신용정보 전송을 요구하고자 하는 정보제공자를 선택하고 마이데이터사업자는 통합인증 표준창을 팝업으로 띄웁니다. 정보주체가 선택한 통합인증 앱이 실행되고 인증서 비밀번호를 입력하면 정보제공자별로 인증정보가 생성됩니다.
마이데이터 사업자가 되기 위해서는 금융위원회의 허가를 받아야 합니다. 진입장벽은 최소화되어 있어 최소자본금 5억원, 금융회사 출자요건 미적용, 클라우드 전산설비 이용 허용 등의 조건을 만족하면 됩니다. 허가 과정에서는 정보오남용 방지를 위해 단순 데이터 중개·매매 서비스를 제한하고, 데이터 중개·매매가 주된 업무가 될 가능성이 크거나 정보오남용 우려가 있는 사업자는 원칙적으로 불허합니다.
허가 이후에는 서비스 개시 전 기능적합성 및 보안취약점 점검을 의무화하고 있습니다. 금융보안원이 마이데이터 서비스의 관련 법령 준수여부, API규격 적합성 등을 확인하고, 전문기관 등에서 마이데이터 사업자의 앱·시스템 일체에 대한 보안취약점 점검을 실시합니다.
마이데이터 사업자는 개인정보보호를 위한 강력한 보안 체계를 구축해야 합니다. 통합인증 기관은 연계정보(CI)를 제공할 수 있는데, 연계정보는 주민등록번호 대체수단으로 개인을 식별하기 위한 정보입니다. CI가 민감도가 높은 개인정보인 만큼 당국의 심사를 꼭 받아야 합니다.
기관간 상호인증과 데이터 암호화 송·수신을 위해 각 기관이 공인된 CA기관으로부터 발급받은 TLS 인증서(EV등급) 정보를 종합포털에 등록해야 합니다. TLS 인증서 내 SERIALNUMBER에 기재된 기관등록번호(사업자등록번호)를 등록함으로써, TLS 인증서를 추후 재발급받더라도 SERIALNUMBER가 동일한 경우 종합포털에 재등록이 불필요합니다.
마이데이터 사업자는 금융보안원이 제시하는 표준 API 규격을 반드시 준수해야 합니다. API 명세 내 URI와 파라미터의 명명으로 'Under Scores' 표기법을 사용하며, 통화코드 표현은 ISO 4217을 사용합니다. 단, OAuth 2.0과 같이 타 표준에서 요구하는 URI나 파라미터 명명 규칙 등이 존재하는 경우 해당 표준을 우선 준용합니다.
세부 응답코드와 메시지는 응답 본문 내 'rsp_code', 'rsp_msg' 필드에 포함하여 반환해야 하며, 정보의 목록을 반환하는 API에는 부분범위 조회를 위한 'Cursor-Based Pagination' 기법을 적용하여 데이터수신자의 처리 효율성과 정보 제공자의 부하를 경감해야 합니다.
중소 핀테크 사업자 및 중소 금융회사 등은 중계기관 이용을 통해 직접 API 설비를 구축하는 부담을 경감할 수 있습니다. 중계기관은 정보제공기관의 정보를 API 변환 후 전송하는 기관으로, 신용정보원, 금융결제원, 코스콤, 한국정보통신진흥협회가 지정되어 있습니다.
금융결제원은 신용정보법 시행령에 따라 지정된 중계기관으로서 API시스템 직접 구축이 어려운 신용정보제공·이용자의 부담완화를 위하여 API 중계시스템을 구축하여 정보수신자 ↔ 정보제공자 간 개인신용정보를 중계합니다.
마이데이터 통합인증 중계시스템은 마이데이터 참여기관의 One-stop 연동 및 중계 기능을 제공하는, 정보제공 금융회사와 인증기관을 위한 중요 인프라입니다. 신규 인증수단도 이제 간편하게 통합인증에 참여할 수 있도록 지원하고 있습니다.
통합인증 중계시스템을 통해 기존에 복잡했던 인증 절차를 간소화하고, 여러 인증기관과의 연동을 효율적으로 처리할 수 있습니다. 마이데이터 사업자들이 더욱 안정적이고 표준화된 인증 서비스를 제공할 수 있는 기반을 마련해 줍니다.
마이데이터 사업자가 인증수단을 구축할 때 반드시 확인해야 할 사항들입니다. 첫째, 종합포털에 기관정보 등록과 TLS 인증서 정보 등록을 완료해야 합니다. 둘째, 지원API 호출용 자격증명 및 지원API 제공용 자격증명을 발급받아야 합니다. 셋째, 서비스정보 등록과 서비스 자격증명 발급을 받아야 합니다.
기술적 측면에서는 표준 API 규격을 준수하고, 적절한 보안 수준을 확보해야 합니다. 운영 측면에서는 실시간 모니터링 체계를 구축하고, 정기적인 보안 점검과 업데이트를 수행해야 합니다. 규제 측면에서는 관련 법령과 가이드라인을 지속적으로 모니터링하고 준수해야 합니다.
초기에는 공동인증서만 통합인증 수단으로 허가를 받았으나, 추후 요건을 갖추고 심사에 통과한 사업자들이 차례로 통합인증을 제공할 계획입니다. 구축 기간 등을 고려하면 2025년경 주요 민간 사업자들이 모두 참여할 것으로 보입니다.
전자서명법에 따라 인정받는 전자서명 인증 수단은 마이데이터 통합인증 수단으로 포함될 예정이며, 공동인증서가 강제되는 게 아니라는 것을 알 수 있습니다. 마이데이터 사업자별로 연결되는 금융기관, 통신업체 등 정보제공자 수도 지속 확대되고 있어 서비스 편의성이 크게 향상되고 있습니다.
마이데이터 사업자의 성공을 위해서는 안전하고 편리한 인증수단 구축이 필수입니다. 통합인증 시스템을 통해 고객 편의성을 높이면서도 강력한 보안 체계를 통해 개인정보를 보호하는 균형잡힌 접근이 필요합니다.
표준 API 규격 준수와 중계기관 활용을 통해 효율적인 시스템 구축이 가능하며, 지속적인 기술 발전과 규제 변화에 능동적으로 대응하는 것이 중요합니다. 마이데이터 시장의 성장과 함께 더욱 다양하고 편리한 인증수단이 도입될 것으로 예상되므로, 사업자들은 미래를 준비하는 관점에서 인증 시스템을 구축해야 할 것입니다.
.svg)
.svg)
