[칼럼] 원활한 마이데이터 서비스 구축, API 보안이 핵심
상태바
[칼럼] 원활한 마이데이터 서비스 구축, API 보안이 핵심
  • CCTV뉴스 편집부
  • 승인 2022.04.15 14:45
  • 댓글 0
이 기사를 공유합니다

더욱 중요해진 개인정보 보호 기술

[글=신승모 이사 | 파이오링크 기획실]
smshin@piolink.co

 

파이오링크 신승모 이사

2022년 1월 5일부터 금융 마이데이터 서비스가 전면 시행되었다. 금융위원회와 금융감독원은 원활한 서비스 시행을 위해 지난해 12월 한 달여간 시범 서비스를 통해 개선 필요 사항을 보완했다.

금융 마이데이터 서비스는 안전한 표준 응용프로그램 인터페이스(API) 방식을 통해 은행, 증권, 카드 등 회사별로 흩어진 개인 금융 정보를 한곳에 모아 보여주고 재무 현황, 소비 습관을 분석해 금융 상품을 추천하는 등 자산 관리와 신용 관리를 도와주는 금융 비서 서비스다.

가용성이 확보된 IT 서비스의 다음 과제는 기밀성과 무결성을 확보하는 것이다. 즉, 서비스 수준을 유지하면서 보안을 강화해야 하는 단계다. 특히 마이데이터 서비스는 개인정보를 다루기 때문에 보안에 대한 중요성이 다른 IT서비스들보다 몇 배는 강조된다.

실제로 2022년 3월 3일 실시한 금융위원장 주관 마이데이터 발전을 위한 간담회에서도 위원장의 모두 발언 및 참석자들의 주요 제안에서 보안 강화에 관한 내용이 언급되었다.

그렇다면 마이데이터 서비스의 보안 강화를 위해서 어떤 조치가 필요할까? 전반적인 보안 강화를 위해서는 제도적 보안과 기술적 보안 모두를 강화해야 한다. 이 중 필자는 정보 보호 제품 업계에 속한 입장에서 기술적 보안 위주의 내용에 대해 얘기해보고자 한다.

마이데이터 서비스의 가장 큰 기술적 특징은 바로 개인정보와 관련된 서비스 제공 시 기존에 널리 사용하던 스크래핑 방식이 금지되고 오로지 API 방식을 통해서만 서비스를 제공하여야 한다는 것이다.

암호화(SSL) 통신을 하고 요청에 대해 접근이 허용된 정보만을 제공하는 API는 그 기술 자체로 스크래핑보다는 안전하다고 할 수 있지만 취약점이 없는 것은 아니다. 또한 마이데이터 서비스 시행 이전까지 국내에서는 API 보안에 대한 관심이 적었기 때문에 마이데이터 서비스를 위해 API 보안을 강화해야 하는 상황에 직면한 기업과 기업의 보안 담당자들은 생각보다 부담이 되었을 것이다.

그래도 다행인 부분은 국내에서는 관심이 적었던 API 보안이었지만 글로벌 시장에서는 이미 2019년부터 그 중요성을 인식하고 API 보안에 대한 개념과 대응 방안을 소개하는 자료들이 지속적으로 나오고 있다.

대표적으로 ‘국제 웹 보안 표준 기준(OWASP)’가 API 10대 취약점을 정리하여 발표한 OWASP API Security Top10:2019와 가트너(Gartner)가 웹방화벽(WAF)의 진화된 모델로 소개한 WAAP 관련 자료들이 있다.

위 자료들에서 공통적으로 말하는 점은 API 취약점은 웹 애플리케이션 취약점의 한 부분이며 그 대책 역시 웹 애플리케이션 보안을 기본으로 한다는 것이다. 그리고 주요 글로벌 웹 방화벽 기업들 역시 위의 두 내용들을 바탕으로 API 보안에 대한 방향성을 정리하고 API 보안을 위해 WAAP라는 정보 보호 장비 시장을 형성하여 발전해 나가고 있다.

국내에서는 금융 마이데이터 사업 시행을 앞두고 금융보안원에서 발간한 ‘2022 디지털 금융 및 사이버 보안 이슈 전망’에서 금융 플랫폼의 관문이 되는 API의 보안을 강화해야 한다고 소개하고 있으며, 한국인터넷진흥원(KISA)에서 작성한 ‘2030 미래 사회 변화 및 ICT 8대 유망 기술의 사이버 위협 전망’에서는 유망 기술들에 대한 사이버 위협으로 API 취약점 공격이 다수 포함되어 있다.

또한 이번 마이데이터 서비스 시행을 위해 금융보안원에서 제작한 ‘금융 분야 마이데이터 기술 가이드라인’에서도 API 보안을 위해 양방향 TLS 등 기술적 보안 조치 사항이 포함되어 있다.

그리고 국내 웹방화벽 제조사들 역시 글로벌 시장에 발맞춰 웹방화벽에 API 보안 기능을 구현하여 WAAP시장으로 자연스럽게 확장하고 있으며, 마이데이터 서비스를 제공하는 금융사들과 함께 API 보안 체계를 구축하고 노하우를 습득하고 있다.

파이오링크는 금융권 고객사의 안정적인 마이데이터 서비스를 위해 양방향 TLS등 API 보안과 관련된 사업을 추진 중이다.

이번 금융 마이데이터 서비스 의무화로 API 보안은 선택이 아닌 필수가 되었다. 제도적 의무 사항 때문에 반강제적으로 조치하는 느낌도 있지만, 이렇게라도 기업에서 API 보안에 대해 관심을 갖게 되어서 다행이라고 생각된다.

최근 파이오링크는 API 보안 관련 백서를 제작하여 시장에 API 보안에 대한 이해와 대처 방안을 제시하고 있으며, 다수의 정보 보호 기업들도 시기적절하게 API 보안에 대한 가이드라인을 제시하고 있기 때문에 API 보안을 준비하는 기업과 기업의 보안 담당자들은 이런 정보들을 바탕으로 API 보안을 강화해 나간다면 안전한 마이데이터 서비스를 제공하는데 큰 도움이 될 것이라고 생각된다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.