오픈API 기반의 B2B2C 플랫폼




B2B2C 전자상거래는 기업간 거래인 B2B와 소비자 대상 거래인 B2C개념을 혼합한 형태로 기업에 제품이나 서비스를 제공하고 그 기업은 다시 인터넷을 통해 소비자에게 제품이나 서비스를 제공하는 비즈니스 모델입니다.

현재 B2B2C 전자상거래는 시장 내에서 급 부상 중인 비즈니스 모델이며, 그 이유에 대해 다음과 같이 분석하고 있습니다.


  • 마케팅 비용에 비해 수익률이 낮은 B2C 전자상거래나 투자회수 기간이 긴 B2B 전자상거래에 비해 훨씬 빠른 시간에 수익을 올리는 것이 가능.
  • 고객기업의 브랜드 파워나 데이터베이스 등 인프라 활용 가능
  • 기업으로부터 확실한 수익 발생


또한 고객에 맞는 데이터베이스를 가공해 이를 전략적 마케팅으로 연결하는 노하우가 뛰어나다는 장점을 갖고 있습니다.

출처 : https://www.etnews.com/200008070010


보험업계의 경우 자사가 보유한 손보생〮보(보험/대출 상품)을 오픈 API를 통해 플랫폼 업체와 거래하는 B2B(Business to Business)와 구매력이 있는 고객에게 플랫폼 업체가 보험/대출 서비스를 제공하는 B2C(Business to Customer)로 나뉘는데, B2B2C 플랫폼은 이를 통합하여 차별화된 서비스를 제공하고자 합니다.

B2B2C 오픈API 플랫폼 아키텍처


B2B2C 오픈API 플랫폼 아키텍처 유형은 다음과 같습니다.


1. 고객사 IDC 내에 직접 구축하는 On-Premise B2B2C 오픈API 플랫폼 아키텍처




2. AWS 클라우드에 구축하는 AWS Cloud向 B2B2C 오픈API 플랫폼 아키텍처

오픈API 서비스 이용 절차



오픈API 서비스 이용절차는 다음과 같습니다.



오픈API 서비스는 개발망에서 사전검증을 마친 뒤 운영망에 반영하여 고객에게 서비스를 제공합니다. 오픈API 서비스 이용절차의 각 단계를 세분화하면 다음과 같습니다.


1. 오픈API 서비스 이용 계약

    ① 표준 오픈API 서비스 이용 계약서를 활용하여, 오픈API 서비스 이용 계약을 진행

    ② 이용기관의 오픈API 접근서버 IP(개발서버, 운영서버), 관리자IP 제출

    ③ 보안성심의 체크리스트 수령


2. 보안성 점검

    ① 이용기관은 보안성심의 체크리스트 작성 후, 제공기관 정보보호파트에 제출하여 보안성 점검을 받음

    ② 점검방법 : 제공기관 정보보호파트에서 제시한 보안성심의 체크리스트를 작성 및 제출

    ③ 점검항목 : 제공기관 정보보호파트에서 지정한 점검항목 (보안성심의 체크리스트)

    ④ 점검주체 : 제공기관 정보보호파트 (또는 제공기관에서 지정한 전문 업체)

    ⑤ 소요기간 : 1주 ~ 2주

    ⑥ 제출시기 : 계약 후 작성 및 제출

    ⑦ 기타 : 개발 및 정보보호 방안 등을 상세히 작성 필요

    ⑧ 제공기관은 보안성 점검 후, 이용기관 접근서버의 방화벽을 해제함

    ⑨ 테스트 GW서버, 테스트 개발자포털(이용기관 관리자)


3. [개발망] 이용기관 및 관리자 가입 및 승인

    ① 개발자포털에 접속

    ② 회원가입 > 기관 등록 화면으로 이동

    ③ 약관동의, 이용기관 및 관리자 정보 입력 후 기관 회원가입 신청

    ④ 이용기관 정보를 확인하여 제공기관 관리자가 승인 또는 거절함


4. [개발망] 이용기관 개발자 가입 및 승인

    ① 개발자포털에 접속

    ② 회원가입 > 개발자 등록 화면으로 이동

    ③ 약관동의, 이용기관 개발자 정보 입력 후 회원가입 신청 (이 때, 사업자등록번호가 일치해야 함)

    ④ 제공기관 관리자가 이용기관 개발자를 승인 또는 거절함 (관리자 > 포탈 관리 > 이용기관 사용자)


5. [개발망] APP 등록 및 승인

    ① 관리자 로그인 > APP관리 화면으로 이동

    ② APP 정보를 입력하고 중복검사를 한 후, 승인 요청

    ③ 이용기관 APP 정보를 확인하여, 제공기관 관리자가 승인 또는 거절함


6. [개발망] APP키 생성 및 운영 전환

    ① 관리자 로그인 > APP관리 화면으로 이동

    ② 승인 받은 APP을 선택하고, APP키(client_id, client_secret)를 생성함

    ③ 오픈API 활용서비스를 개발할 수 있는, APP은 '운영' 상태로 자동 전환됨


7. [개발망] 오픈API 활용서비스 개발

    ① 오픈API 활용서비스 개발가이드 내용에 준하여 개발

    ② 이용기관은 제공기관 보안성심의 체크리스트 내용에 준하여 개발 (APP키를 이용하여 접근토큰 발급)


8. 오픈API 활용서비스 테스트

    ① 이용기관 관리자/개발자는 오픈API를 활용하여 개발한 APP의 기능별 단위테스트를 수행

    ② 이용기관 관리자/개발자와 제공기관 업무담당자는 전체 프로세스에 대한 통합테스트 수행

    ③ 이용기관 개발자는 APP 실행, 제공기관 기간계/현업 담당자는 API 요청/응답 데이터 정합성 체크


9. 보안성심의 자료 작성

    ① 이용기관 관리자/개발자는 보안성 점검 시에 가이드 받은 내용에 따라서 보안성심의 체크리스트 작성

    ② 실제 개발한 사항을 직관적으로 체크리스트에 작성하고, 증적자료를 별도 파일에 준비


10. 취약점 점검 / 모의해킹

    ① 개발 및 통합테스트가 완료된 오픈API 활용서비스에 대하여 취약성 점검 및 모의해킹 수행

    ② 보안성 점검 시, 제공기관 정보보호파트에서 수행 절차를 설명함

    ③ 이용기관 개발자는 취약점 점검 및 모의해킹 결과를 반영하여 오픈API 활용서비스를 개발


11. 보안성심의

    ① 이용기관은 보안성심의 체크리스트, 보안성심의 증적자료, 취약점 점검 및 모의해킹 결과, 취약점 점검 및 모의해킹 조치 결과 사항을 제공기관 정보보호파트에 제출

    ② 점검방법 : 제공기관 보안성심의 체크리스트에 대한 적용 결과를 작성하여 서면으로 제출

    ③ 점검항목 : 제공기관 정보보호파트에서 지정한 점검항목 (보안성 점검 체크리스트)

    ④ 점검주체 : 제공기관 정보보호파트 (또는 제공기관에서 지정한 전문 업체)

    ⑤ 소요기간 : 1주 ~ 2주

    ⑥ 점검시기 : 서비스 취약점 점검 및 모의해킹 완료 후, 운영계 반영 전

    기타 : 운영 및 정보보호 방안 등을 상세히 작성 필요

    ⑦ 제공기관 정보보호파트에서 보안성 심의를 진행

    ⑧ 보안성심의 미흡사항이 있을 경우, 보안성심의 체크리스트 수정 및 활용서비스 수정·개발

    ⑨ 보안성심의가 완료되면, 운영GW 서버의 방화벽을 해제    


12. [운영망] 이용기관 및 관리자 가입 및 승인

    ① 운영자포털에 접속

    ② 회원가입 > 기관 등록 화면으로 이동

    ③ 약관동의, 이용기관 및 관리자 정보 입력 후 기관 회원가입 신청

    ④ 이용기관 정보를 확인하여 제공기관 관리자가 승인 또는 거절함    


13. [운영망] 이용기관 개발자 가입 및 승인

    ① 운영자포털에 접속

    ② 회원가입 > 개발자 등록 화면으로 이동

    ③ 약관동의, 이용기관 개발자 정보 입력 후 회원가입 신청 (이 때, 사업자등록번호가 일치해야 함)

    ④ 제공기관 관리자가 이용기관 개발자를 승인 또는 거절함 (관리자 > 포탈 관리 > 이용기관 사용자)


14. [운영망] APP 등록 및 승인

    ① 관리자 로그인 > APP관리 화면으로 이동

    ② APP 정보를 입력하고 중복검사를 한 후, 승인 요청

    ③ 이용기관 APP 정보를 확인하여, 제공기관 관리자가 승인 또는 거절함    


15. [운영망] APP키 생성 및 운영 전환

    ① 관리자 로그인 > APP관리 화면으로 이동

    ② 승인 받은 APP을 선택하고, APP키(client_id, client_secret)를 생성함

    ③ 오픈API 활용서비스를 개발할 수 있는, APP은 '운영' 상태로 자동 전환됨


16. 오픈API 활용서비스 운영 반영 및 테스트

    ① 이용기관은 오픈API 활용서비스에 운영용 APP키를 설정하고, 운영 환경에 등록함

    ② 이용기관과 제공기관 업무담당자는 운영환경에서 오픈API 활용서비스 통합테스트 수행   


17. 오픈API 활용서비스 대고객 오픈

    ① 이용기관 관리자/개발자는 오픈API 활용서비스가 포함된 APP을 App Store나 플레이스토어 등 APP마켓에 등록 또는 오픈API 활용 서비스가 포함된 Web서비스를 고객에게 오픈

    ② 이용기관 서비스가 정상적으로 작동하는지 주기적으로 모니터링

오픈API 개발자 포털 주요 기능



오픈API 개발자포털은 이용기관 관리자와 이용기관 개발자에게 각각 다른 역할권한을 부여하여 접근할 수 있는 기능을 제한합니다. 역할 별로 이용할 수 있는 주요 기능은 다음과 같습니다.


기능
이용기관 관리자
이용기관 개발자

이용기관 정보 등록/관리

OX

이용기관 관리자 등록/관리

OX

APP등록/관리

OX
오픈API 사용신청OX
APP키 생성/관리OX
개발자 등록/관리OO
오픈API 테스트OO
커뮤니티(Q&A, FAQ, 개발자포럼)OO
오픈API 활용서비스 개발X
O

오픈API 활용서비스 인증 방안



B2B2C 오픈API 플랫폼에서는 다양한 인증방식을 사용하여 보안성을 유지합니다. 오픈API 활용서비스에서 사용하는 인증방안은 다음과 같습니다.


1. 통신방법

  • HTTPS(SSL / TLS v1.2 / TLS v1.3 / mTLS) 방식


2. APP키 발급 방안

  • client_id : 난수화된 텍스트 값 (예; a145e5d5e59347d4a6fb2955cc293ef6)
  • client_secret : 난수화된 텍스트 값 (예; 0b72da829c44458cbf3a9e7d52f2cdab)


3. 접근토큰 Grant Type

  • 이용기관 접근토큰 (Client-Credential Grant-type) : APP키(client_id, client_secret) 값을 검증하여 발급하는 접근토큰. 유효기간(life-time)은 90일. 갱신토큰 (365일)
  • 이용자 접근토큰 (Resource-Owner Grant-type) : 이용기관 접근토큰 및 이용자(Resource-Owner) Credential 값(CI, 주민등록번호, 핸드폰+생년월일+성별 등)을 검증(본인인증)한 후 발급하는 접근토큰. 유효기간(life-time)은 10분(또는 60분). 갱신토큰 (1일)


4. 메시지 무결성 보장 방안

  • 오픈API 활용서비스는 메시지를 { timestamp + client_secret } 값을 암호키로 하여, HMAC 512 방식으로 해시(hash) 값을 생성한 후, 헤더에 전송

         - 헤더 전송 항목 : 접근토큰, timestatmp, hash 값 등

  • 게이트웨이는 수신한 메시지를 헤더에 전송된 { 접근토큰(client_secret), timestamp } 를 가지고 HMAC512 방식으로 해시 값을 생성하여, 전달된 hash 값과 동일한지 무결성 체크


5. 파라메터 암호화 방안

  • 전문의 파라메터에 대해 등록한 암복호화 Resolver를 설정하여 암복호화 가능. 제공 암복호화 Resolver : SEED256, ARIA256, AES256, SHA256 등 기본 제공.
  • 암호키는 기본적으로 전달된 접근토큰에 해당하는 { timestamp + client_secret } 값임. 또는 APP 별로 별도의 암호키를 등록하여 사용할 수 있음.

오픈API 활용서비스 인증 방안



이용기관 및 이용자는 오픈API를 이용하기 위해 접근토큰을 발급받아 필수적으로 입력해야 합니다. 발급받은 접근토큰은 보안 상의 이유로 외부에 탈취되지 않도록 life-cycle을 정하여 관리합니다. 이용기관 및 이용자의 접근토큰 관리 방안은 다음과 같습니다.



구분

설명

이용기관 접근토큰

발급

url : /b2b/v1/oauth/2.0/token

애플리케이션 구동 시 발급

갱신

url : /b2b/v1/oauth/2.0/token

접근토큰 유효기간(90일) 종료 이전, 갱신토큰을 이용하여 갱신

폐기

url : /b2b/v1/oauth/2.0/revoke

계약 또는 서비스 종료시. 또는 유효기간이 지나면 자동 폐기

관리방안

이용기관 접근토큰은 애플리케이션 SCOPE로 유지해야 하고, 애플리케이션 재기동시, 반드시 이용기관 접근토큰를 재발급 받아 Redis와 같은 메모리 캐시 서버에 저장하여 관리해야 함. 이전에 발급받은 이용기관 접근토큰은 접근토큰 폐기 API를 호출하여 명시적으로 폐기. 접근토큰 발급시 기존에 발급받은 접근토큰은 자동으로 폐기됨.

이용자

접근토큰

본인인증

이용자 접근토큰 발급을 위해서는 이용자 본인인증 必, 상품별 본인인증 절차 및 API가 다를 수 있음.

발급

url : /b2b/v1/oauth/2.0/token

이용자 세션 생성 시, 본인인증 후 발급

갱신

url : /b2b/v1/oauth/2.0/token

접근토큰 유효기간(10분) 종료 이전, 갱신토큰을 이용하여 갱신

폐기

url : /b2b/v1/oauth/2.0/revoke

이용자 세션 종료시. 또는, 유효기간이 지나면 자동 폐기

관리방안

이용자 접근토큰은 이용자 세션 SCOPE로 유지해야 하고, 애플리케이션 재기동시, 반드시 이용기관 접근토큰 및 이용자 접근토큰을 재발급 받아 Redis와 같은 메모리 캐시 서버에 저장하여 관리해야 함. 이전에 발급받은 이용자 접근토큰은 접근토큰 폐기 API를 호출하여 명시적으로 폐기. 접근토큰 발급시 기존에 발급받은 접근토큰은 자동으로 폐기됨.

오픈API 활용 사례



자사의 플랫폼을 이용하여 오픈API를 구축한 사례는 손해보험과 생명보험으로 나뉘며 상세한 내용은 다음과 같습니다.






손해보험



1. 이용기관 및 제공 서비스


손해보험 B2B 제휴 업체 및 B2C 서비스는 다음과 같습니다.


구분서비스설명

이용기관

㈜지앤넷

보험 서비스


투비콘

보험 서비스


㈜레몬헬스케어

보험 서비스

계약조회, 사고접수

주식회사 넥솔

보험 서비스

보험료산출, 재난배상, 증권발송

배민/스몰티켓

인수심사요청


주식회사 펫프렌즈

애완동물보험 서비스

가입저장, 피보험자가입목록조회

주식회사 어바웃펫

애완동물보험 서비스


네이버파이낸셜 주식회사

보험비교추천 서비스


해빗팩토리

보험비교추천 서비스


뱅크샐러드

보험비교추천 서비스

흩어져 있는 내 모든 자산을 한 번에 모아 관리

㈜쿠콘

보험비교추천 서비스


주식회사 카카오페이

보험비교추천 서비스

계약조회, 사고접수

주식회사 핀크

보험비교추천 서비스


보맵㈜

마이데이터 고객DB 연동 (구매)

고객DB연동,상담신청

헥토데이터

보험비교추천 서비스


매드코퍼레이션

보험비교추천 서비스


KP보험서비스

카카오 단체명세 정보저장


SK플래닛

보험비교추천 서비스




2. 아웃바운딩 서비스 


손해보험에서 주로 사용하는 아웃바운딩 서비스는 다음과 같습니다.


구분
서비스
설명
아웃바운드

KCP(베네피아)

베네피아

선택적 복지제도 전문업체, 맞춤형 복리후생 등 서비스

배민/스몰티켓



보맵

고객DB연동, 상담사상태변경


네이버파이낸셜 주식회사

보험료응답


TMAP



우체국

등기 종추적


손해보험협회

건출행정정보(건축물재장)


보험개발원

카히스토리


조달청

나라장터


국세청



국토교통부

공동주택 유지관리 이력 정보제공


행정안전부

동물등록 정보조회 서비스


드론

종합안전관리시스템




3. 오픈API


손해보험에서 제공하는 오픈API는 다음과 같습니다.


오픈API 명
오픈API 설명
비고

(오픈API) B2B_TA_001_채용대상자등록

/b2b/v1/organ/meritz/RecuTrgpeReg


(오픈API) B2B_신장기TM_001_상담신청

/b2b/v1/organ/meritz/WdalRqe


(오픈API) B2B_신장기TM_002_철회신청

/b2b/v1/organ/meritz/CnsRqe


(오픈API) B2B_애완동물보험_001_가입저장

/b2b/v1/organ/meritz/PetInsDtInq


(오픈API) B2B_애완동물보험_002_해지저장

/b2b/v1/organ/meritz/PetInspeSbcRetrieveLst


(오픈API) B2B_애완동물보험_003_피보험자가입목록조회

/b2b/v1/organ/meritz/PetInsTmnStr


(오픈API) B2B_애완동물보험_004_가입상세조회

/b2b/v1/organ/meritz/PetInsSbcStr


(오픈API) B2B_넥솔_001_보험료산출_재난배상

/b2b/v1/organ/nexol/polSnd


(오픈API) B2B_넥솔_002_단체계약체결

/b2b/v1/organ/nexol/rcptCtrCclu


(오픈API) B2B_넥솔_003_보험료산출_소상공인풍수해

/b2b/v1/organ/nexol/premCmptSmlTopOfapv


(오픈API) B2B_넥솔_004_영수계약체결

/b2b/v1/organ/nexol/retrieveDsstCmpsSno


(오픈API) B2B_넥솔_005_재난배상일련번호조회

/b2b/v1/organ/nexol/GrupStrCclu


(오픈API) B2B_넥솔_006_증권발송

/b2b/v1/organ/nexol/PremCmpt


(오픈API) B2B_보험금청구_001_레몬헬스케어_계약조회

/b2b/v1/organ/lmhc/AcdRct


(오픈API) B2B_보험금청구_002_레몬헬스케어_사고접수

/b2b/v1/organ/lmhc/InsCtrInq


(오픈API) B2B_보험금청구_001_카카오페이_계약조회

/b2b/v1/organ/kkopay/InsCtrInq


(오픈API) B2B_보험금청구_002_카카오페이_사고접수

/b2b/v1/organ/kkopay/AcdRct


(오픈API) B2B_보험금청구_001_지엔넷_계약조회

/b2b/v1/organ/gnnet/InsCtrInq


(오픈API) B2B_보험금청구_002_지엔넷_사고접수

/b2b/v1/organ/gnnet/AcdRct


(오픈API) B2B_단체보험_001_카카오단체명세정보저장

/b2b/v1/organ/kppartners







생명보험


1. 이용기관 및 제공 서비스


생명보험 B2B 제휴 업체 및 B2C 서비스는 다음과 같음.


구분
서비스
설명

이용기관

(주)비바리퍼블리카


토스(Toss)를 통한 간편송금 서비스 등을 제공하는 전자금융회사

㈜알파코


딥러닝 관련 교육을 진행하는 교육기관

네이버파이낸셜주식회사

대출비교 서비스

 

㈜해피투씨유


어린이 핀테크 플랫폼 아이쿠가 서비스 운영

주식회사 핀크

대출비교 서비스

 

얌고리즘


 

베스트핀㈜

통합고객 대출신청 서비스

주택담보대출 시장의 혁신을 주도하는 있는 핀테크 기업으로, '담비' 플랫폼 운영

뱅크샐러드

대출간편조회 서비스

흩어져 있는 내 모든 자산을 한 번에 모아 관리하고, 나만을 위한 맞춤 솔루션 제공

민트팟


민트팟-생명보험 RP 교육 프로그램 개발

교보라이프플래닛생명


진짜 보험료 인상 NO! 100세만기 가입시 100세까지 인상없이 쭉!

에스케이엔앤서비스


'베네피아'를 중심으로 기업, 공공기관의 구성원 및 다양한 고객의 복리 증진을 위해 건강관리, 쇼핑, 여행/레저, 보험, 교육 등 삶의 여러 영역에서 필요한 행복 서비스를 제공

주식회사 더즌

대출중계 서비스

금융 VAN, 카카오페이 파트너사로 카카오페이의 '내 대출한도' 서비스 제공

과탑


검증된 강사님을 만날 수 있는 1:1 온라인 영어·중국어·일본어 맞춤 수업 플랫폼

핀마트

맞춤형 대출비교 서비스

쉽고 편리하게 최선의 금융상품을 비교, 선택할 수 있는 금융전문 플랫폼 핀마트 서비스

에프앤주식회사


On/Off-Line교육의 가장 이상적인 결합을 통해 국제적 경쟁력을 갖춘 전문가 양성 서비스

주식회사 쿠콘

신한은행 주담대 중계 서비스


FP MALL

FP-MALL 운영 연동 서비스




2. 오픈API


생명보험에서 제공하는 오픈API는 다음과 같습니다.


오픈API 명
오픈API 설명
공개 시점

소개감사쿠폰발송대상자목록조회

/customer/coupon/list

2024 년도

아파트상품문의등록

/apartment-product/inquiry/registration

2023 년도

아파트상품안내조회

/apartment-product/guidance/query

2023 년도

보장내용조회

/insurance/coverages/query

2022 년도

연금지급예시

/insurance/pension/payment/example

2022 년도

실적배당연금

/insurance/pension/result

2022 년도

공시이율연금

/insurance/pension/rate

2022 년도

상품정보조회

/product/info/query

2022 년도

개인상품특약관계규칙조회

/product/special/rule/query

2022 년도

보험상품정보조회

/insurance/product/query

2022 년도

보험료조회

/insurance/cost/query

2022 년도

조직별 컨설턴트 목록 조회

/organization/consultant/list

2021 년도

평생든든 포인트 사용이력 등록

/wholelifesafe/point/registration

2021 년도

평생든든 지원물품 수량 목록 조회

/wholelifesafe/article/list

2021 년도

평생든든 활동이력 등록

/wholelifesafe/action/registration

2020 년도

평생든든 포인트적립대상 조회

/wholelifesafe/accumulation/target

2020 년도

평생든든 대상 고객 조회

/wholelifesafe/target/customer

2020 년도

이벤트 고객 조회

/customer/event/list

2020 년도

나만의 고객목록 조회

/group/customer/list

2020 년도

나만의 고객그룹목록 조회

/group/list/query

2020 년도

기본고객조회

/customer/information/query

2020 년도

FP 후보자 정보 조회

/candidate/information/query

2020 년도

조직 정보 조회

/organization/information/query

2020 년도

임직원 및 FP 정보 조회

/member/information/query

2020 년도

고객접촉정보등록_혁신금융

/customer/contract/registration

2020 년도

보험계약대출가능금액조회(혁신금융)

/loan/possible/amount

2020 년도

대출실행결과조회

/loan/execution/result

2020 년도

상품문의등록

/product/inquiry/registration

2020 년도

상품안내조회

/product/guidance/query

2020 년도

고객확인조회

/customer/confirm/query

2020 년도

고객보유계약조회

/insurances/contract/list

2019 년도

대출정보조회

/savings/status/query

2019 년도

고객별대출내역조회

/loan/status/query

2019 년도

보험계약대출원리금조회

/insurance/loan/principle

2019 년도

약관대출가능금액

/insurance/loan/available

2019 년도

해약금조회

/insurance/cancel/refund

2019 년도

계약상세특약사항조회

/insurance/contract/special

2019 년도

보험계약정보조회

/insurance/contract/detail

2019 년도

통합고객정보식별

/customer/ciInfo/query

2019 년도