신한금융, 오픈API 외부개방 합류

[한국금융신문 정선은 기자] 신한금융그룹이 오픈 API(애플리케이션 프로그래밍 인터페이스) 플랫폼 구축을 추진하며 외부 개방에 한 발짝 나선다.

핀테크 등 비(非)금융 기업들이 혁신 서비스를 보다 쉽게 만들 수 있도록 하는 ‘오픈 뱅킹’ 변화의 흐름에 닿아 단순 API 공개가 아닌 비즈니스 모델(BM)로 공략할 방침이다.

25일 신한금융지주에 따르면, 신한금융은 최근 ‘오픈 API 표준 플랫폼 구축 컨설팅’ 입찰을 거쳐 사업자를 선정하고 관련 컨설팅에 돌입했다.
동시에 오는 7월을 목표로 웹사이트 형태의 오픈 API 플랫폼 구축 작업도 진행 중이다.

신한금융은 이미 그룹 내부에서는 통합 모바일 플랫폼 ‘신나는 한판’을 통해 은행·카드·금투·생명 등 그룹사가 신한의 핵심 금융 서비스를 한 곳에서 편리하게 이용하도록 하고 있다.

이번 프로젝트는 ‘내부 API’에서 나아가 외부 제휴를 통한 진정한 의미의 오픈 API를 구현하기 위해서 추진되고 있다. “아직 초기단계이나 향후에 내부자원뿐 아니라 외부자원과 공동으로 비즈니스 모델을 만들기 위해 오픈 API 흐름에 동참해야 한다는 판단에 따른 것”이라는 설명이다.

신한금융그룹은 이번 컨설팅을 통해 오픈 API 서비스 정책과 활성화 방안을 수립하고, 국내·외 사례 연구를 통해 비즈니스 모델과 방향성도 점검키로 했다.

보안과 개인 정보보호 정책도 검토 대상이다.
오픈 API 플랫폼이 구축되면 신한금융은 자체 스타트업 육성센터인 ‘신한 퓨처스랩’과의 협력뿐 아니라, 외부 핀테크 업체 등에 맞춤형 API를 제공할 수 있을 것으로 예상된다.

신한금융지주 관계자는 “은행·카드·금투·생명 각 그룹사의 특성도 있지만 외부로 나아가기 위한 공통의 전략과 정책을 정할 필요가 있다“며 “단순히 API를 오픈하는 것에 그쳐서는 큰 의미가 없고 어떤 비즈니스 모델로 어떻게 합쳐서 시스템을 전환(convert)할 지 고민하는 프로젝트“라고 설명했다.

국내 은행권에서는 이미 NH농협은행이 지난 2015년 말 ‘NH핀테크 오픈플랫폼’을 도입해 운영하고 있다.

이후 2016년 8월 일부 제한적 API를 개방하는 ‘은행권 공동 오픈 플랫폼’이 출범했다. KEB하나은행도 지난달 오픈 플랫폼을 구축했다.
유럽·미국 등 오픈 API를 통해 은행 인프라에 접근하고 빅데이터를 활용하려는 세계적인 추세는 점점 거세지고 있는 모습이다.

한국금융연구원의 ‘오픈 API 정책 관련 해외사례와 시사점’ 리포트에 따르면, 유럽연합(EU)·미국·영국 등 해외 주요국들은 제3자 또는 고객의 고객계좌 접근권한을 명확히 하고 고객계좌 정보를 활용한 서비스가 활성화될 수 있도록 여건을 조성하고 있다.

이대기 한국금융연구원 선임연구위원은 “오픈API 정책이 도입되면 데이터를 활용한 혁신적인 금융상품과 금융서비스 개발이 촉진되고 금융산업 발전과 소비자 편익 증가를 기대할 수 있다”고 내다봤다.

특히 올해 1월부터 유럽연합(EU) 회원국 은행들에 시행 중인 ‘PSD2’(Payment Services Directive2)는 ‘오픈 뱅킹’과 관련 주요한 정책적 변화로 꼽힌다.

‘PSD2’는 고객이 동의한다면 은행이 보유한 금융정보를 제3자에게 공유하는 것을 의무화하는 내용이 골자다.

그동안 은행이 사실상 독점해 온 정보가 공개된다는 점에서 기존 은행권에게는 위협적인 요소다.

다만 ‘PSD2’에서도 고객 계좌정보 접근권을 보장하는 대신, 로그인 정보·공인인증서·OTP(일회용 패스워드) 등 개인 보안인증 자료를 활용하는 일은 엄격하게 금지하고 있다.

‘오픈 뱅킹’ 흐름에 따라 국내에서도 개방형 플랫폼 구축에 관심이 높아지고 있다. 금융당국도 최근 오픈 API 활성화를 유도하기 위한 방안을 정책적 과제로 제시했다.

금융위원회는 지난 20일 발표한 ‘핀테크 혁신활성화 방안’에서 금융권 공동 오픈 API를 지속적으로 개선하고, 금융회사 개별 오픈 API도 병행 추진하겠다고 밝혔다.

금융보안원, 금융결제원을 비롯 자체 API를 구축하거나 예정중인 농협·하나·신한 등 금융사로 민간 태스크포스(T/F)를 구성해 올 하반기까지 국내·외 오픈 API 구축사례를 조사하고, 보안점검 가이드 등도 마련할 방침이다.

여기에 더해 금융당국은 금융회사가 제공하는 개별 오픈 플랫폼의 보안 취약점을 점검하고 테스트 과정에 있는 혁신 서비스에 대한 보안성 심사도 강화하기로 했다.

또 금융위원회가 지난 15일 발표한 ‘금융분야 데이터 활용방안’에도 핀테크 업체가 신용정보사(CB)와의 제휴, 고객을 대신해 계좌에 접속하는 방식 등을 통해 통합 정보관리 서비스를 제공하는 방안이 포함됐다.

정보주체 본인 정보를 일괄 제공하기 위해 사용되고 있는 현재의 ‘스크래핑’(ScreenScraping) 방식에 보안상 취약성이 있다고 보고, 이를 API 방식으로 대체하도록 권고한 것이다.

물론 아직 금융권에서는 “API 관련 보안 부문 제약사항이 많은 만큼 충분한 가이드라인은 아니다”는 의견이 나오고 있다.

다만 업계에서는 “제도적인 부분이 확정되지 않더라도 ‘오픈 뱅킹’ 추세가 계속될 것으로 보고 준비에 착수하고 있다”고 전했다.

오픈 API 플랫폼이 성공적으로 정착하기 위해서는 수익성을 보장할 비즈니스 모델 마련뿐만 아니라, 특히 보안 부문 강화가 필수라는 의견이 나온다.

금융결제원의 ‘해외 금융회사의 오픈 API 구축 동향 및 시사점’ 리포트는 금융회사가 오픈 API 도입을 추진할 때 보안성을 감안해 제공대상과 범위를 선정할 필요가 있다고 강조하고 있다.

오픈 API 제공 대상이 많고 범위가 클수록 개인정보 침해 등 보안 위험 또한 증가하기 때문이다.

오픈 API가 남용되거나 악용될 경우 오픈 API 취약점을 이용한 해킹을 통해 대량의 고객정보가 유출될 수 있다는 점도 지적됐다.

또 서로 다른 운영환경에서 호환성 문제를 유발할 가능성도 점검 대상이다.

이제은 금융결제원 연구역은 “오픈 API 도입 초기에는 계좌정보나 잔액확인 등 조회와 관련한 API, 소액으로 한정한 이체 API 등 제공대상과 범위를 제한적으로 적용할 필요가 있다”며 “오픈 API를 공개한 이후에는 실제 유용하게 활용되는 지 시장에서 피드백을 받고 보안상 취약점은 없는 지 충분한 점검절차를 거쳐야 할 것”이라고 말했다.

정선은 기자 bravebambi@fntimes.com