금융위원회가 제정한 마이데이터 표준 API를 통해 데이터 연동

금융위원회는 금융 분야에서 개인신용정보의 안전하고 효율적인 전송을 위해 마이데이터 표준 API를 제정하였습니다. 이를 통해 금융기관과 마이데이터 사업자 간의 데이터 연동이 표준화되어, 정보주체인 개인이 자신의 데이터를 더욱 편리하고 안전하게 관리할 수 있습니다.

1. 마이데이터 표준 API의 목적과 개요

• 목적: 개인신용정보의 전송 요구 시, 데이터의 형식과 전송 방식을 표준화하여 정보주체의 데이터 주권을 강화하고, 금융 서비스의 혁신을 촉진합니다.
• 개요: 마이데이터 표준 API는 금융기관과 마이데이터 사업자 간의 데이터 전송을 위한 통신 규격, 인증 방식, 데이터 표현 형식 등을 정의하고 있습니다. 이를 통해 다양한 금융 서비스 제공자 간의 상호 운용성을 확보하고, 데이터 전송의 안전성과 효율성을 높입니다.

2. 데이터 표현 및 통신 규격

• 데이터 표현 형식: API의 메시지 형식은 JSON(JavaScript Object Notation)을 사용하며, 인코딩 방식은 UTF-8을 채택하여 범용성과 호환성을 높였습니다.
• 통신 방식: API 요청 및 응답은 REST 방식을 따르며, HTTP 메소드 중 GET과 POST만을 사용하여 보안성을 강화하였습니다.
• 네트워크 보안: 참여 주체 간의 안전한 통신을 위해 TLS(Transport Layer Security) 기반의 상호 인증과 전송 구간 암호화를 적용하여 데이터의 무결성과 기밀성을 보장합니다.

3. 인증 및 권한 부여

• OAuth 2.0: 정보주체의 개인신용정보 전송 요구에 따른 인증 절차는 OAuth 2.0 프로토콜을 준용하여 안전한 인증 및 권한 부여를 수행합니다.
• 접근 토큰: 데이터 접근 권한을 관리하기 위해 JWS(JSON Web Signature) 형식의 접근 토큰을 사용하며, 발급 주체와 활용 주체에 따라 토큰의 종류와 사용 방식이 구분됩니다.

4. 데이터 전송 절차

1. 정보주체의 전송 요구: 개인이 자신의 신용정보 전송을 요청하면, 마이데이터 사업자는 해당 요청을 수신합니다.
2. 인증 및 권한 부여: OAuth 2.0을 통해 정보주체의 신원을 확인하고, 필요한 접근 권한을 부여받습니다.
3. 데이터 요청 및 수신: 마이데이터 사업자는 표준 API를 통해 금융기관에 데이터를 요청하고, 금융기관은 요청된 데이터를 JSON 형식으로 응답합니다.
4. 데이터 제공: 수신된 데이터를 정보주체에게 제공하거나, 동의하에 다른 서비스에 활용합니다.

5. 소비자 보호 및 보안 강화 조치

• 기능 적합성 및 보안 취약점 점검: 마이데이터 서비스 개시 전, 금융보안원이 관련 법령 준수 여부와 API 규격 적합성을 확인하며, 전문 기관에서 앱과 시스템의 보안 취약점을 점검합니다.
• 민감 정보 보호: 적요, 주문 내역 등 민감한 정보에 대해서는 별도의 동의 절차를 마련하여 정보주체의 프라이버시를 보호합니다.

6. 지원 및 관리 체계

• 마이데이터 지원센터: 마이데이터 산업의 원활한 운영을 위해 지원센터가 생태계 전반을 관리하며, 고객 민원 및 분쟁 관련 의견을 접수하여 신속한 해결을 지원합니다.
• 종합포털 운영: 마이데이터 종합포털을 통해 정보주체는 자신의 데이터 전송 요구 현황을 확인하고, 필요 시 전송을 요청할 수 있습니다.

금융위원회의 마이데이터 표준 API 제정은 금융 데이터의 표준화와 안전한 전송을 통해 정보주체의 데이터 주권을 강화하고, 금융 서비스의 혁신을 촉진하는 중요한 기반이 되고 있습니다.