5. 5
금융
오픈 플랫폼
카카오페이
네이버페이
한국은 은행이 결제를 담당하는 구조
고객은 이미 여러 개의 계좌 보유
핀테크기업
(7천5백 SW기업)
알리페이/페이팔
선택 2선택 1
천송이
코트
은행 주도 핀테크
전략적 선택은?
6. 6
은행 주도 핀테크 전략모델
B2C 핀테크 B2B 핀테크
지급결제
금융데이터분석
송금/전자화폐
P2P 대출/클라우드 펀딩
-------
비즈페이 / B2B결제
뱅크노트 / 자산관리
수금노트 / 청구수납
기업카드 / 글로벌 Cash Flow
--------
핀테크뱅킹(금융 오픈 플랫폼)
은행은 금융 플랫폼을 개방하고,
핀테크 기업들은 혁신적인 핀테크를 창조하여,
은행과 핀테크기업이 함께 핀테크 생태계를 만들어 가는 것
7. 7
핀테크 기업들이 혁신적인 핀테크 서비스를 만들 수 있도록
지원하는 차세대 금융채널
인터넷뱅킹 핀테크뱅킹(금융 오픈 플랫폼)
은행 Legacy
인터넷뱅킹
고객
금융
채널
UI B2C 핀테크 B2B 핀테크스마트뱅킹
금융 오픈플랫폼) 이란?
12. 12
엘로우
페이
B2C
핀테크
B2B
핀테크
Fin A/C
Auth
핀테크 서비스 Portal
핀테크 플랫폼
제휴 관리
제휴사 관리
제휴계약 관리
수수료 관리
서비스 관리
API 관리
서비스 모니터링
FIN-ACCOUNT
Portal 관리
회원정보 관리
스토어 관리
Platform 관리
사용자권한관리
콘텐츠 관리
security
Auth 관리
이상거래탐지
System 운영
프레임워크
장애관리
코드관리
출금
이체
입금
이체
ATM
출금
거래
내역
조회
예금주
조회
잔액
조회
가상
계좌
·······
이용
내역
한도
조회
승인
외화
계좌
환율
조회
········
-
APIs
-
APIs
예금 APIs 신용카드 APIs 외환 APIs 보안 APIs
········
NH핀테크 오픈플랫폼 구조
15. 15
서비스 Portal
핀테크 기업이 금융 OPEN API 서비스를 신청
API 스토어, 개발가이드, Auth(인증) 기능 제공
회원 가입
My 서비스
Store
사용자 보안
API 서비스 약정관리
핀테크서비스 Auth
[주요 기능]
서비스 Center
B2C
B2B
• 수금관리
• 경비지출관리
• 간편장부
• 빌링/정상
• etc.
• 간편결제
• 간편송금
• 전자지갑
• 자산관리
• 가계부
• etc.
사용자 인증
(AUTHentication)
서비스 허가
(AUTHorization)
AUTH
서비스 사
용
예금주성명조
회
계좌조회
법인카드조회
출금이체
입금이체
Etc.
Open APIs
보안 Center
Auth
관리
N/W
보안
서비스 및
Open API
보안
핀테크 서비스 Portal
16. 16
기존 Legacy 시스템의 영향도를 최소화
플랫폼 기반 OPEN API 서비스 확장성 보장
핀테크 OPEN API 서비스 구조
17. 17
핀테크 기업별 / 서비스별 금융 연계 개발 이슈를 금융 API 설치로 해결
현재의 핀테크 연계 오픈플랫폼 연계
은
행
시
스
템
a1
a2
a3
a1 A기업
a2 B기업
a3 C기업
핀테크 기업별 개발/연계 이슈
은
행
시
스
템
금융
API
(a)
a A기업
a B기업
a C기업
핀테크 기업이 필요한 API 설치
오픈 API란?
28. 28
수많은 핀테크 서비스의 보안성 확보를 위한 체계
전자금융 감독규정 및 관련 보안 가이드 준수
내 금융정보가
유출되지 않을까 ?
핀테크 기업의
보안 수준은 ?
사용자는 어떻게
보호하지 ?
[One Time Auth(인증) 체계 구축]
1회성 인증키 발행으로 유출피해 차단
※오픈플랫폼은 은행에서 관리/인증
핀테크 기업
연계 보안
[위험거래탐지(FDS) 룰 적용]
은행 수준의 사용자 보안API 제공
핀테크기업에 사용자보호 가이드 제공
[실 계좌번호 미사용]
FIN-ACCOUNT(가칭)를 활용한
고객정보(계좌번호) 보호
사용자 보안
정보보호
이슈 및 대응NH핀테크 오픈플랫폼 정보보호 특징
29. 29
구분 인터넷뱅킹 펌뱅킹
핀테크뱅킹
[OPEN 플랫폼]
통신망 인터넷(공중망) 전용선 인터넷(공중망)
통신
암호화
SSL/TLS VPN SSL/TLS
인증
클라이언트(PC&스마트폰)
공인인증서
-
서버
보안인증(One Time Auth)
사고
예방
개인 PC 방화벽
키보드 보안(E2E)
이상거래탐지(FDS)
-
FIN-ACCOUNT
이상거래탐지(FDS)
보안가이드 적용 사전검수
사후
관리
- 제휴 VAN사 보안 점검 핀테크기업 보안 점검
기존 뱅킹서비스와 정보보호 비교
30. 30
전자금융감독규정 및 시행세칙, 은행 보안규정을 기준 원칙으로
핀테크 OPEN 플랫폼 보안 정책을 수립
구분 주요 보안 정책 및 기준 비고
정보보호
ㅇ 보안 통신 프로토콜(SSL/TLS)을 통한 암호화 통신
ㅇ 주요 개인정보 암호화 처리
ㅇ FIN-ACCOUNT(가칭)를 통한 실 계좌번호 미사용
(주요 금융정보 외부 유출 원천 차단)
전자금융감독규정 및
관련 보안가이드 준수
핀테크 기업
연계 보안
ㅇ 은행에서 발급하는 인증 키와 거래기반 정보를 결합한 One Time Auth(인증) 체계
구축 (OPEN API 인증 표준 기술을 기반으로 개발 예정)
시스템보안
ㅇ 은행 시스템 보안규정 및 정책에 따름
(플랫폼 시스템은 은행 內 구축)
사용자보안
ㅇ 핀테크 기업에 대한 사용자보호 가이드 제공
(가이드 미 준수 시 오픈 API 이용 승인 불가)
ㅇ 위험거래탐지(FDS) 룰 적용
ㅇ 현 운영 중 FDS 시스템 연계 지원
플랫폼
권한관리
ㅇ 업무 및 직무 별 권한관리 체계 구축
ㅇ 권한관리 체계는 은행 내부 정책 반영 구축
어플리케이션 보안
ㅇ 시큐어코딩 가이드 준수(안전행정부 Java 시큐어코딩 가이드)
ㅇ 웹 취약성 점검(SQL injection, XSS, Buffer overflow 등)
보안 정책 방향
31. 31
OPEN API 표준 인증 프로세스 기반 OTA(One Time Auth) 개발
핀테크기업 서버에 보안모듈 설치 없는 인증방식 구현
1. OPEN API 서비스 이용신청
2. 인증키 발급
3. 로그인 / 서비스 요청
4. 인증 요청( 인증키 )
5. 인증키 검증
6. Access 토큰 생성7. Access 토큰 발급
8. 요청 API 구성
9. OTP 생성(Access 토큰)
10. Data 암호화(OTP)
11. 요청 Data 전송
12. Data 복호화
13. 업무처리
14. 결과 API 구성
15. Data 암호화(OTP)
16. 결과 Data 전송
17. 결과 Data 전송
사용자 핀테크 기업 AP 서버 핀테크 플랫폼
핀테크서비스 보안인증 방안
32. 32
9 9 9
FIN-ACCOUNT 체계(안)
*FINTECH APP코드
FiNTECH 기관코드(5) + APP
seq(3)
EX)
웹케시 BIZPAY : “00001001”
네이버 PAY : “00002001”
삼성 PAY : “00003001”
28
국가 코드
“082”
0
은행계좌연결FIN번호 : 플랫폼에서 부여
EX) 휴대전화번호 앞 2자리 제외
휴대전화번호 : 010-1234-5678
연결 FIN 번호 : 0 1234 5678
FIN ACCOUNT
SEQ
정당성
CHECK
Number
은행고유코드
“010”
5 1 2432 4 5 6321 7 8 9 3 9
APP 기관코드 , 개인식별번호, 계좌번호 은행 FIN –ACCOUNT 부여
0 1 1 23
금융 OPEN 플랫폼은 계좌번호 대신 FIN-ACCOUNT로 거래
핀테크 기업은 고객의 계좌번호를 수집, 보관할 수 없음
정보보호 방안 _ FIN-ACCOUNT