금융권-핀테크 기업 간 API 연동 방식 주목

금융권이 그동안 개별적으로 제공해 왔던 API를 통합해 핀테크 기업들이 이전보다 쉽고 편리하게 은행, 증권사 등의 정보를 끌어다가 새로운 서비스를 개발할 수 있게 돕는 금융권 공동 핀테크 오픈플랫폼에 대한 구축논의가 한창이다.

금융사 입장에서 현재는 물론 앞으로 등장하게 될 수많은 핀테크 기업들에게 자사 정보를 제공하는 오픈API를 통해 공개한다는 점은 새로운 시장을 개척할 수 있는 기회인 동시에 또 다른 보안위협에 노출될 수도 있다는 우려섞인 목소리도 나오고 있다.

이런 와중에 핀테크 기업들과 오픈플랫폼이 금융권 공동으로 제공하게 될 오픈API를 누가 쓰고 있는지를 확인하기 위해 안전하면서 편리한 인증방식에 대한 고민도 깊어졌다.

현재 유력한 인증방식으로 거론되고 있는 것 중 하나가 'OAUTH2.0'이라는 표준이다. 인터넷표준화기구(IETF)가 마련한 이 표준은 드롭박스, 페이스북, 구글 등에도 적용된 것으로 쉽게 말하면 한번 페이스북에 로그인한 뒤에 서로 연결된 다른 웹서비스에 별도 ID나 비밀번호를 입력하지 않고도 인증을 받게 하는 방식이다.

금융권 오픈플랫폼은 올해 말까지 기본적인 합의안을 마련한 뒤 내년 6월부터 본격적으로 추진될 예정이다. 이보다 앞서 올해 초부터 자체적으로 오픈플랫폼 구축사업을 하고 있는 곳이 NH농협은행이다. 이 은행이 현재 핀테크 기업들의 인증을 위해 OAUTH2.0을 차용한 '원타임오쓰(OTA)' 방식을 도입한다.

OTA는 핀테크 기업이 제공하는 서비스의 사용자가 금융정보를 조회하거나 이체 등을 실행할 때마다 핀테크 기업이 NH농협은행이 구축한 별도 인증서버를 통해 실시간으로 인증토큰을 발급받아 처리하도록 하는 방식이다. 이 은행의 오픈플랫폼 구축 사업자로 참여하고 있는 웹케시의 설명준 팀장은 "OTA의 경우 NH농협은행과 사용계약을 맺은 핀테크 기업들인지 여부를 확인하는 용도로 활용된다"며 "공인인증서를 쓰지 않고서도 (핀테크 기업들이) 이체, 조회 등 서비스를 제공할 수 있게 하는 것"이라고 설명했다.

이 방식은 현재로서는 NH농협은행이 구축하고 있는 오픈플랫폼에서만 구현된다. 설 팀장은 "아직 금융권 오픈플랫폼에서 어떤 인증방식이 논의되고 있는지에 대해서는 잘 모른다"고 답했다.

그러나 금융위원회가 주도해 각 은행들, 증권사들이 각각 구축할 예정인 금융권 공동 오픈플랫폼에서도 OTA와 유사한 OAUTH2.0 방식을 차용할 가능성이 크다. 금융당국이 금융권 공동 오픈플랫폼 구축안을 발표하면서 NH농협은행이 진행하고 있는 오픈플랫폼 구축현황을 면밀히 살피고 있기 때문이다.

만약 OAUTH2.0을 차용한 인증방식을 쓰게 된다면 핀테크 기업들은 A은행 API와 연동하기 위해 발급받은 인증토큰으로 B은행에서도 인증을 받을 수 있게 된다는 것이다. 물론 이런 방식을 도입하기 위해서는 오픈플랫폼 내에서 하나의 인증토큰을 여러 곳에서도 쓸 수 있게 한다는 합의가 이뤄져야한다. 유료로 제공될 것으로 예상되는 오픈API에 대해 핀테크 기업들이 A은행, B은행과 모두 연동한다는 계약을 맺고 있어야한다는 전제조건이 따른다.