마이데이터 사업 본격 시행(’21.8.4.)을 차질없이 준비해나가겠습니다-금융분야 마이데이터 테스트베드 구축 및 마이데이터 서비스 기능적합성 심사 및 보안취약점 점검 추진

마이데이터 사업 본격 시행(’21.8.4.)을 차질없이 준비해나가겠습니다-금융분야 마이데이터 테스트베드 구축 및 마이데이터 서비스 기능적합성 심사 및 보안취약점 점검 추진

2021-04-01

 

 

 

 

제 목 : 마이데이터 사업 본격 시행(’21.8.4.)을 차질없이 준비해나가겠습니다.

- 금융분야 마이데이터 테스트베드 구축 및 마이데이터 서비스 기능적합성 심사 및 보안취약점 점검 추진 -

 

■ 8.4일부터 마이데이터 사업이 원활히 시행될 수 있도록 마이데이터 준비상황 점검회의 개최(’21.4.1.)

 

ㅇ 마이데이터 지원센터 및 중계기관별 준비 현황, 주요 마이데이터 사업자 및 정보제공자 등의 준비 현황 및 향후계획 점검

 

■ 마이데이터 API 및 서비스의 개발·테스트를 체계적으로 지원하기 위해 마이데이터 테스트베드를 금융보안원 내 구축(’21.4.1. 오픈)

 

■ 안전하고 원활한 마이데이터 서비스 제공을 위해 마이데이터 서비스에 대한 보안취약점 점검 및 기능적합성 심사 추진

 

■「알고하는 동의」를 반영한 전송요구 양식 등 주요 쟁점들을 추가적으로 논의하기 위한 마이데이터 TF도 4월 중 신용정보원이 운영할 계획

 

1 개요

 

□ 금융위원회와 관계기관은 ’21.8.4일*부터 마이데이터 사업이 원활히 시행될 수 있도록 마이데이터 준비상황 점검회의를 ’21.4.1.(목) 14시에 영상으로 개최하였습니다.

 

* 8.4일부터 마이데이터 사업자는 스크래핑이 아닌 표준 API 방식으로 데이터 전송

ㅇ 중계기관, 업권별로 관련 시스템 개발 일정 등 준비상황을 점검하고 향후 계획 및 애로사항 등을 청취했습니다.

 

< 마이데이터 준비상황 점검회의 개요 >

▣ 일시/장소 : 2021.4.1.(목), 14:00 ~ 15:30 / 온라인 회의(Zoom)로 개최

 

▣ 참석자 : (금융위원회) 금융혁신기획단장, 금융데이터정책과장

(관계기관) 금융감독원, 신용정보원, 금융보안원, 금융결제원, 코스콤,

한국정보통신진흥협회

(참여기관) KB국민은행, 신한카드, 교보생명, 네이버파이낸셜

 

▣ 논의안건 : ➊ 금융분야 마이데이터 테스트베드 시행방안(금보원),

➋ 마이데이터 기능적합성 심사 및 보안취약점 점검 추진방안(금보원),

➌ 마이데이터 TF 구성·운영방안(신정원),

➍ 기관별 마이데이터 준비상황 및 향후 추진계획

 

□ 아울러 마이데이터 사업자가 체계적으로 서비스를 준비할 수 있도록 금융보안원 내에 API* 및 서비스의 개발·테스트를 지원하는 마이데이터 테스트베드를 운영(’21.4.1.~)하기로 하였습니다.

 

* API(Application Programming Interface) : 특정 프로그램의 기능이나 데이터를 다른 프로그램이 접근할 수 있도록 미리 정한 규칙

 

※ 전용 홈페이지 주소 : https://developers.mydatakorea.org 

 

□ 또한, 금융소비자가 마이데이터 서비스를 안심하고 이용할 수 있도록 마이데이터 사업 본격 시행(’21.8.4.) 이전 서비스에 대한 기능적합성 심사와 보안취약점 점검을 추진하기로 하였습니다.

 

□ 마지막으로, 「알고하는 동의」를 반영한 전송요구권 양식 마련 등 주요 이슈사항 등에 대해서는 마이데이터 TF와 마이데이터 자문단을 구성·운영하여 조속히 논의를 마무리할 계획입니다.

 

2 금융분야 마이데이터 테스트베드 운영(4.1.~)

 

◈ 표준 API 규격에 맞는 시스템 개발 여부, 시스템의 원활한 작동 등을 손쉽게 테스트할 수 있는 환경을 지원

 

? API별 상세 개발 규격을 제공합니다.

 

ㅇ 최신 표준 API 규격을 편리하게 조회하고 샘플 코드를 활용하여 서비스를 효율적으로 개발할 수 있도록 API별 상세 규격 제공

? 마이데이터 사업자와 금융회사에 개발·테스트 환경을 제공합니다.

 

ㅇ 기본 샘플 및 자체 데이터를 이용하여 API의 정상동작 여부를 자동화된 방식으로 자체 검증할 수 있는 개발·테스트 환경 제공

 

[ 유형별 금융분야 마이데이터 테스트베드 지원 테스트 ]

 

① (마이데이터 서비스 테스트) 마이데이터 사업자가 개발한 마이데이터 서비스가 정상 작동하는지를 확인하기 위해 테스트베드(가상API서버)에 API를 호출

 

② (API서버 테스트) 금융회사(정보제공자)가 개발한 API서버가 정상 작동하는지를 확인하기 위해 테스트베드(가상의 마이데이터서비스)에 API를 호출

 

③ (연동 테스트) 마이데이터 서비스와 API 서버 간 상호 호출되는지를 확인하기 위해 금융회사와 마이데이터사업자 간 상호 연동 테스트 지원

 

? 각종 심사·평가에 대한 손쉬운 신청 및 관리를 지원합니다.

 

ㅇ 기능적합성 심사, 보안취약점 점검 등 심사·평가절차를 테스트베드를 통해 편리하게 신청하고 사후관리 가능

 

3 기능적합성 심사 및 보안취약점 점검 추진

 

□ (기능적합성 심사) 안정적 서비스에 요구되는 신용정보법령상 행위규칙 준수여부, 표준API 규격 적합성 등을 서비스 출시 전 확인

 

ㅇ (대상) 마이데이터사업자가 개발한 마이데이터 서비스프로그램

 

ㅇ (심사기준) 신용정보법령상 행위규칙, 표준 API 규격적합성 등을 토대로 금융보안원이 개발한 심사기준* 활용 (☞[붙임1] 참고)

 

* 회원가입, 정보전송요구, 정보조회 등 총 4개 분야 19개 심사항목으로 구성예정

 

ㅇ (심사방법) 개발이 완료된 서비스를 금융보안원 내 전문인력이 IT 단말기에 설치한 후 각 심사항목별 적합성 확인

 

* 마이데이터 테스트베드 상의 가상서버 및 가상의 개인신용정보 활용

 

ㅇ (심사주기) 서비스프로그램 최초개발시 전체 항목 심사, 이후 주요기능 변경시 수시 심사

 

□ (보안취약점 점검) 마이데이터 서비스의 보안성 강화를 위해 연 1회 이상 마이데이터 서비스에 대한 보안취약점 점검 수행 

 

ㅇ (대상) 마이데이터사업자의 마이데이터 서비스 시스템 일체

 

* 고객에게 웹·앱 형태로 제공되는 응용프로그램과 DB, 웹서버, 정보보호시스템, 네트워크 구간 등 전산설비

 

ㅇ (점검기준) 금융보안원 점검기준* 활용 (☞[붙임2] 참고)

 

* 응용프로그램, DB, 웹서버, 정보보호시스템, 네트워크 등 5대 분야 375개 항목으로 구성

 

ㅇ (점검방법) 마이데이터사업자가 평가전문기관*, 자체전담반** 중 택일하여 금융보안원 점검기준에 따라 점검

 

* 전자금융감독규정 제37조의3①의 정보보호전문서비스기업(☞[붙임3] 참고)및 금보원

 

** 전자금융감독규정 제37조의2②에 따른 취약점점검 자체전담반

 

ㅇ (점검주기) 연 1회 점검하되, 올해는 서비스 출시 전* 점검을 완료하고, 점검결과를 매년 11월 말까지 금융보안원 제출

 

* 단, ’21년도는 서비스 출시지연 우려 등을 감안, 응용프로그램 이외 DB 등 전산설비에 대해서는 11월말까지 점검유예

※ (참고) 마이데이터서비스 개발‧검증‧연동 절차

 

 

① 마이데이터 사업자는 금융보안원 테스트베드를 이용하여 개발 및 테스트 수행

② 개발 완료시 기능적합성 심사를 완료하고, 보안취약점 점검 실시 후 결과 제출

③ 위 단계 완료시 신정원 종합포털 내 등록된 기관 연락망을 통해 API담당자와 연동확인

④ 연동테스트가 완료되면 마이데이터 서비스 제공

4 마이데이터 TF 구성·운영방안

 

□ 마이데이터 시행 전 지속적인 이슈 점검 및 협의 등을 위해 신용정보원에 마이데이터 TF 및 자문단을 구성·운영

 

ㅇ (마이데이터TF) 효과적인 TF 운영 등을 위해 마이데이터 사업자TF와 정보제공자 TF를 별도운영하여 의견 수렴 후 각 TF별 대표기관 등이 참여하는 마이데이터 TF에서 주요 쟁점 협의

 

ㅇ (마이데이터 자문단) TF 논의사항 중 개인정보 보호(예: 알고하는 동의를 반영한 전송요구 양식), 업권 간 이견 조정 등 심층 검토가 필요한 사항은 외부전문가로 구성된 자문단을 통해 논의

 

* 소비자단체, 학계, 법조계, 업권 대표자 등으로 구성

 

□ 마이데이터 TF 및 자문단을 통해 논의된 주요 쟁점사항 등은 마이데이터 가이드라인 수시개정을 통해 반영예정

 

5 향후 계획

 

□ 금융분야 마이데이터 테스트베드 운영(’21.4.1~)

 

□ 마이데이터 서비스 기능적합성 심사 및 보안취약점 점검 추진(’21.4월~)

 

※ 금융분야 마이데이터 테스트베드 및 기능적합성 심사·보안취약점 점검 관련 세부 내용 문의 :

금융보안원 데이터혁신센터 (전화)02-3495-9995, (이메일)mydata@fsec.or.kr

 

□ 마이데이터 TF 및 자문단 구성·운영(4월 중)

 

□ 마이데이터 표준API 시스템 구축(~8.4.)

 

☞ 본 자료를 인용 보도할 경우 출처를 표기해 주십시오. 금융위원회 대 변 인

http://www.fsc.go.kr prfsc@korea.kr

 

 

“혁신금융, 더 많은 기회 함께하는 성장”

붙임 1 마이데이터 서비스 기능적합성 심사 기준(안)

 

□ 총 4개 분야 총 19개 심사 항목으로 구성할 예정

 

※ API 규격변경, 행위규칙 변경 등에 따라 일부 변동 가능

 

점검분야 점검 항목

1. 회원가입 1.1 이용약관 및 개인신용정보 처리지침 안내

1.2 19세 미만 이용 제한 

1.3 알고하는 동의 

2. 개인신용 정보전송요구  2.1 본인인증 메뉴 구성

2.2 개인신용정보 전송요구 조회

2.3 개인신용정보 전송요구 변경

2.4 개인신용정보 전송요구 철회 

2.5 개인신용정보 삭제 

2.6 금지된 스크레이핑

3. 정보조회  3.1 은행업권 정보조회 API 적합성

3.2 카드업권 정보조회 API 적합성

3.3 금융투자업권 정보조회 API 적합성

3.4 보험업권 정보조회 API 적합성

3.5 전금업권 정보조회 API 적합성

3.6 할부금융업권 정보조회 API 적합성

3.7 보증보험업권 정보조회 API 적합성

3.8 통신업권 정보조회 API 적합성

4. 기타  4.1 마이데이터 서비스 동시가입 현황 안내 

4.2 회원탈퇴시 삭제 연계

붙임 2 보안취약점 점검 기준(안)

 

□ 5개 분야 375개 항목으로 구성될 예정

 

분야 주요 점검 항목

서버 · root 계정 원격 접속 제한 미비, 계정 목록 및 네트워크 공유 이름 노출 등 174개 항목

데이터베이스 · DBA 계정 권한 관리, DB서버 중요정보 암호화 적용 여부 등 32개 항목

네트워크 · 외부통신망에서 접근이 불필요한 구간에 대한 접근통제 미흡, 안전한 암호화 알고리즘 설정 여부 등 77개 항목

정보보호 · 보안장비 보안접속, 보안장비 원격 관리 접근 통제 등 41개 항목

시스템

웹/앱 · 거래 인증수단 검증 오류, 거래정보 무결성 검증 등 51개 항목

붙임 3 외부 전문 점검 기관 지정 현황 (‘21년 1월 현재)

 

번호 업체명 전화번호 홈페이지

1 ㈜시큐아이 02-3783-6600 http://www.secui.com

2 ㈜안랩 031-722-8000 http://www.ahnlab.com

3 엔시큐어㈜ 02-2191-5010 http://www.ensecure.co.kr

4 ㈜에이쓰리시큐리티 02-6292-3001 http://www.a3security.com

5 롯데정보통신㈜ 02-2626-4000 http://www.ldcc.co.kr

6 ㈜싸이버원 02-3475-4955 http://www.cyberone.kr

7 에스케이인포섹㈜ 02-6361-9114 http://www.skinfosec.co.kr

8 ㈜파이오링크 02-2025-6900 http://www.piolink.com

9 ㈜소만사 02-2636-8300 http://www.somansa.com

10 ㈜씨에이에스 02-786-3815 http://www.casit.co.kr

11 ㈜에스에스알 02-6959-8039 http://www.ssrinc.co.kr

12 ㈜파수 02-300-9300 http://www.fasoo.com

13 ㈜윈스 031-622-8600 http://www.wins21.co.kr

14 ㈜이글루시큐리티 02-3452-8814 http://www.igloosec.co.kr

15 ㈜시큐어원 02-6090-7690 http://www.secureone.co.kr

16 한전KDN㈜ 061-931-7114 http://www.kdn.com

17 ㈜신한DS 02-2010-1237 https://www.shinhands.co.kr

18 한국통신인터넷기술㈜ 02-597-0600 http://www.ictis.kr

19 ㈜에프원시큐리티 070-4640-3031 http://www.f1security.co.kr

20 ㈜케이씨에이 02-532-0532 http://www.kca21.com

21 ㈜한국정보기술단 02-3471-7771 http://www.audit.co.kr

22 ㈜씨드젠 02-786-9601 http://www.seedgen.kr

23 라온화이트햇㈜ 070-4268-9863 http://www.whitehat.co.kr

24 한시큐리티㈜ 02-6959-8124 https://www.hangrp.com

25 ㈜보안그룹모비딕 070-8987-0505 http://www.mobymoby.com

26 ㈜시큐리티허브 02-6952-3951 http://www.securityhub.co.kr

 

27 ㈜엘앤제이테크 02-2088-7035 http://www.lnjtech.co.kr