[마이데이터 구축방안] 정보 제공자와 마이데이터 서비스
원하는 마이데이터 사업자에 개인신용정보 전송 가능해져
[데이터넷] 2021년 2월 4일부터 본인신용정보 전송요구권이 시행된다. ‘신용정보법 시행령 제33조의2(개인신용정보의 전송요구)’에 의거해 대한민국의 14세 이상 모든 개인인 신용정보주체는 신용정보제공·이용자(이하 정보제공자) 등에 대해 그가 보유하고 있는 본인에 관한 개인신용정보를 해당 신용정보주체 본인 또는 본인신용정보관리회사(마이데이터 사업자)에게 전송해줄 것을 요구할 수 있다. <편집자>
- 연재 순서 - 1. 마이데이터, 대한민국에 새로운 업(業)을 만들다 2. 마이데이터 서비스, 정보제공자 (이번호) 3. 마이데이터 서비스, 종합 포털 4. 마이데이터 서비스 |
본인으로부터 개인신용정보의 전송요구를 받은 정보제공자는 본인에 관한 개인신용정보를 컴퓨터 등 정보처리장치로 처리가 가능한 형태로 지체 없이 및 정기적으로 전송해야 한다. 이를 위반해 개인신용정보를 전송하지 않는 정보제공자에 대해서는 지난해 8월 4일부터 시행된 ‘신용정보법 시행령 제52조(과태료)’에 의거해 3000만원 이하의 과태료가 부과된다. 금융보안원은 금융 분야 마이데이터 참여자별 역할 및 절차 등을 정의함으로써 신용정보주체가 개인신용정보를 보유하고 있는 정보제공자에게 개인신용정보 전송요구권을 행사할 경우, 해당 개인신용정보를 해당 신용정보주체 본인 또는 마이데이터사업자 등과 같은 데이터수신자에게 전송하도록 한다. 이를 위한 마이데이터 서비스 구성은 다음과 같다. | 박용우 유니버셜리얼타임 대표 (yongwoo.park@universalrealtime.com) 前) 한국IT전문가협회 기술원장 前) JCO(JavaCommunity.Org) 초대회장 건국대학교 컴퓨터공학과 공학박사 |
마이데이터 서비스 구성도
마이데이터 서비스 사전 준비
마이데이터 서비스를 시작하기 위해 먼저 데이터 수신자(마이데이터 사업자)와 정보제공자는 종합 포털의 절차에 따라 회원가입 및 기관명, TLS 인증서 정보, 도메인명 등의 기관정보를 등록하고, 종합 포털은 기관코드를 발급한다. 따라서 중계기관 및 중계기관을 이용하는 기관도 종합 포털에 기관 등록을 하고 기관코드를 발급받아야 한다.
기관 간 상호인증, 데이터 암호화 송·수신을 위해 기관들은 뮤추얼(mutual) TLS를 적용해야 하는데, 이를 위해 각 기관이 공인된 CA기관으로부터 발급받은 TLS 인증서(EV등급) 정보를 종합 포털에 등록해야 한다.
마이데이터 사전 준비 구성
- 지원 API 호출용 자격증명: 종합포털이 제공하는 지원 API에 대해 마이데이터 사업자 및 정보제공자가 호출하기 위한 접근토큰을 발급할 때 제출해야 하는 자격증명(client-id, client-secret)
- 지원 API 제공용 자격증명: 마이데이터 사업자 및 정보제공자가 제공하는 지원 API에 대해 종합 포털이 호출하기 위한 접근토큰을 발급할 때 제출해야 하는 자격증명(client-id, client-secret)
마이데이터 사업자는 종합 포털의 절차에 따라 서비스 정보(서비스명, 콜백 URL 등)를 추가 등록하고, 종합 포털로부터 서비스 자격증명을 발급받아 기관 내 시스템 등에 반영해야 한다.
- 서비스 자격증명: 정보제공자가 제공하는 정보제공 API에 대해 마이데이터 사업자가 호출하기 위한 접근토큰을 발급할 때 제출해야 하는 자격증명(client-id, client-secret)
개인신용정보 전송
개인신용정보 전송은 ▲정보주체의 개인신용정보 요구 ▲정보제공자의 정보주체에 대한 고객 본인인증 ▲마이데이터 사업자에게 개인신용정보 전송 등의 3단계로 구성된다.
먼저 정보주체의 개인신용정보 요구 단계에서 고객은 정보제공자에게 본인의 개인신용정보를 본인 또는 마이데이터 사업자를 포함한 데이터 수신자에게 전송할 것을 요구할 수 있다. 이 때 전송 유형은 다음의 3가지 경우 중 하나에 해당한다.
개인신용정보 전송 유형
다음으로 고객의 개인신용정보 전송요구를 받은 정보제공자는 반드시 해당 정보주체에 대한 본인인증(개별인증 또는 통합인증)을 통해 고객의 본인여부를 확인하고, 정보제공자가 제공한 표준 API를 마이데이터 사업자가 호출할 수 있는 접근토큰을 발급할 때 제출해야 하는 인가코드를 발급한다.
이러한 인가코드 발급 요청을 위한 개별인증 및 전송요구 절차를 살펴보면, 정보주체(고객)가 마이데이터 사업자 앱을 통해 개별인증수단(정보제공자가 제공)을 이용해 인증 및 전송요구를 수행한 후 인가코드를 발급하고, 정보제공자가 개별인증을 위한 인증화면 및 전송요구를 위한 자산선택 화면 등을 웹뷰(WebView) 형태로 제공, 해당 화면을 통해 개별인증 및 전송요구를 수행할 수 있도록 해야 한다.
개별인증 및 인가코드 발급 프로세스
⓵ 정보주체: 마이데이터 사업자 회원가입 후 해당 마이데이터 사업자의 서비스 앱에 로그인해 전송요구 또는 전송요구 변경할 정보제공자를 선택
⓶ 마이데이터 사업자: 인가코드 발급을 요청(개별인증-001 API 호출)
⓷ 정보제공자: 개별인증을 위한 인증화면을 웹뷰(WebView) 등으로 제공
⓸ 정보주체: 제공된 개별인증 화면을 통해 인증을 수행
⓹ 정보제공자: 전달받은 인증정보 검증 등 개별인증 수행
⓺ 정보제공자: 개인신용정보 전송요구 또는 전송요구 변경 화면을 웹뷰 등으로 제공
⓻ 정보주체: 제공된 개인신용정보 전송요구 또는 전송요구 변경 화면을 통해 전송요구 내역
⓼ 선택 및 정보제공자에게 전송
⓽ 정보제공자: 전송요구 내역을 저장하고, 인가코드를 생성해 권한 및 상태 값과 함께 회신(호출한 개별인증-001 API에 대한 회신)
⓾ 마이데이터 사업자: 상태 값 검증 후 리다이렉트
이렇게 정보제공자로부터 전달받은 인가코드 및 종합 포털로부터 발급받은 ‘서비스 자격증명(client_id, client_secret)’ 등을 이용해 정보제공자가 제공하는 표준 API를 호출할 수 있는 접근토큰을 발급받는다.
접근토큰 발급 절차
개인신용정보 전송 단계에서는 고객으로부터 전송요구를 받은 정보제공자는 전산시스템의 장애로 인한 지연을 제외하고 개인신용정보를 지체 없이 전송해야 한다. 지연 상황이 발생한 경우에는 마이데이터 서비스, 이메일, 모바일 메신저, SMS 등을 이용해 고객에게 지연 사유를 고지하고, 사유 해소 후 즉시 전송해야 한다.
이를 위반할 경우에는 3000만원 이하의 과태료가 부가된다. 고객의 본인인증을 실패했을 경우에는 개인신용정보 전송요구를 거절할 수 있으며, 거절 사유 역시 고객에게 고지해야 한다.
정보제공자는 개인신용정보에 대해 기간계 시스템의 원장 DB 또는 원장 DB와 최신성에서 차이가 없는 전용 시스템을 두고 처리할 수 있다. 개인신용정보를 안전하게 전송하기 위해 금융보안원에서 정의한 업권별 정보제공자가 제공해야 하는 표준 API를 규정했다.
업권별 정보제공자가 제공해야 하는 표준 API
지금까지 우리는 나의 금융(신용)을 내가 선호하는 금융회사에 맡겼다. 지금부터 우리는 나의 금융정보(신용정보)를 안전하게 운용해 나를 부자로 만들어 줄 대한민국의 마이데이터 사업자에게 맡길 것이다. 마이데이터 서비스가 대한민국의 새로운 업(業)으로서 본궤도에 안착해 순항하기를 바라며, 코로나로 지치고 힘든 우리를 부자로 만들어 주기를 바란다.
출처 : 데이터넷(http://www.datanet.co.kr)