목차
마이데이터 사업을 준비하는 실무자라면 누구나 '보안 인증'이라는 큰 산을 마주하게 됩니다. 복잡한 기술·운영 요건과 증빙 서류들 앞에서 막막함을 느끼셨나요?
이 글은 금융보안원의 표준 문서를 기반으로, 마이데이터 보안 인증을 통과하기 위해 반드시 점검해야 할 핵심 사항을 담은 간결한 실행 가이드입니다. 복잡한 규정을 외울 필요 없이, 이 체크리스트를 기준으로 삼고 예외 사항만 관리하여 인증 준비 시간을 획기적으로 줄여보세요.
1. 표준 API 인증: 기본 중의 기본
마이데이터의 핵심은 데이터가 안전하게 오가는 것입니다. 이를 위해 모든 데이터 전송은 표준 API 규격을 따라야 합니다.
- 인증 및 인가: 데이터 표준 API는 OAuth2 기반의 인증·인가 방식을 준수해야 합니다.
- 접근 토큰: 데이터의 무결성 보장을 위해 접근 토큰은 JWS(JWT 서명) 규격을 사용해야 합니다. 평문으로 저장하는 것은 절대 금물입니다.
- 권한 관리: Scope는 자산목록 조회, 전송 요구 등 기능에 따라 명확히 구분하여 최소 권한 원칙에 맞게 설계해야 합니다.
2. 통합인증: 연동 부담을 줄이는 현명한 선택
수많은 기관과 개별적으로 인증을 연동하는 것은 상당한 부담입니다. 통합인증 중계시스템은 이러한 연동 과정을 단일 창구로 중계하여 참여 기관의 부담을 줄여주는 역할을 합니다.
도입을 결정했다면, 마이데이터 통합인증 중계시스템에서 제공하는 API 사용 방법과 신청 절차 가이드를 철저히 따르는 것이 중요합니다.
마이데이터 보안 요건/절차 비교표
| 항목 | 표준 API 인증 | 통합인증 | 취약점 점검 | 로그·감사 | 개인정보 보호 |
|---|---|---|---|---|---|
| 필수 | OAuth2, JWS 적용 | 중계 가이드 준수 | 서비스 출시 전 점검 | API 요청/응답, 동의 이력 | 최소 수집·목적 내 처리 |
| 근거 | 데이터 표준 API | 통합인증 가이드 | 기능적합성 완료 후 수행 | 내부 통제·감사 기준 | 개인정보보호법·내부 정책 |
| 권장 | Scope 최소화 | 장애 전환 리허설 | 연 1회 이상 정기 점검 | 보존·무결성 해시 체인 | 비식별·마스킹 체계 |
| 금지 | 토큰 평문 저장 | 비표준 Redirect | 자체 평가만으로 대체 | 관리자 공유 계정 사용 | 과도·무기한 보관 |
3. 보안 취약점 점검: 언제, 어떻게 해야 할까?
마이데이터 서비스는 출시 전 기능적합성 심사를 완료한 후 반드시 보안 취약점 점검을 받아야 합니다. 이는 테스트베드에서 진행되는 필수 프로세스입니다.
운영 단계에서는 어떨까요? 전자금융거래법(전금법)에 따라 외부 평가전문기관을 통해 "연 1회 이상" 보안 취약점 점검을 수행해야 합니다. 실무적으로는 최소 연 1회 정기 점검을 계획하고, 대규모 서비스 업데이트 전에는 수시 점검을 추가하는 것이 안전합니다.
- 점검 시기: 서비스 출시 전(필수), 운영 중 연 1회 이상(필수)
- 점검 주체: 외부 평가전문기관
- 참고: 마이데이터 운영 및 보호 강화 방안 (금융위원회 보도자료)
4. 개인정보 처리: 보존과 파기의 황금률
개인정보는 수집 목적을 달성하면 지체 없이 파기하는 것이 원칙입니다. 법적으로 보존해야 하는 정보는 별도로 분리하고, 암호화 및 접근 통제를 통해 안전하게 관리해야 합니다.
로그나 증빙 자료 또한 마찬가지입니다. 내부 정책 수립 시, 테스트베드의 개인정보 처리 기준을 참고하여 내부 보존 목록을 정비하세요.
실무 팁: 주민번호 뒷자리, 계좌번호 중간 6자리 등 민감정보(PII)는 화면과 로그 양쪽 모두에서 반드시 마스킹 처리하세요. 백업 및 아카이브 데이터에도 동일한 정책을 적용해야 합니다.
5. 최종 점검! 놓치기 쉬운 예외 조건 체크리스트
기본 요건을 모두 갖췄다고 생각할 때, 놓치기 쉬운 예외 조건들이 있습니다. 아래 체크리스트로 최종 점검을 진행하세요.
- ✅ 토큰 규격: OAuth2/OIDC, JWS 토큰의 세부 규격(alg, aud, exp, jti 등)이 표준과 일치하는가?
- ✅ 오류 처리: 리다이렉트, 세션 종료(SLO) 시 발생하는 타임아웃, 취소, 재시도 한도 등 예외 흐름이 명확히 처리되는가?
- ✅ 연동 방식: 중계기관을 활용하는가? (미참여 시, 개별 기관과의 연동 표준 합치성 검토 및 증빙 자료 추가 필요)
- ✅ 개인정보 관리: PII 마스킹 및 보존 기간 정책이 로그, 백업 데이터에 동일하게 적용되고, 파기 증적이 남는가?
- ✅ 취약점 점검: 연 1회 이상 외부 전문기관 점검 및 대규모 릴리스 전 수시 점검 계획이 수립되었는가?
- ✅ 사전 심사: 인증/권한, 데이터 전송 등 보안에 영향을 미치는 주요 기능 변경 전 사전 심사를 신청했는가?
6. 완벽한 준비를 위한 증빙 서류와 로그 관리
인증 심사 과정에서는 모든 요건을 충족했음을 서류와 로그로 증명해야 합니다. 미리 준비해야 할 목록은 다음과 같습니다.
- 필수 증빙 서류: 사전심사 신청서 및 결과, 기능적합성 보고서, 취약점 점검 결과 및 개선 증적, 토큰 스펙·키 관리 절차, 동의 화면·Scope 매핑 자료, 접근통제·백업·파기 절차서, 운영 로그 정책
- 최소 로그 항목: 인증/인가 추적 로그, 자산목록·전송요구 요청/응답, 오류 코드, 관리자 활동, 데이터 파기·보관 이력
역할 및 책임(R&R) 매트릭스 예시
| 항목 | 개발팀 | 보안팀 | 운영팀 | 대외(심사/중계) |
|---|---|---|---|---|
| 증빙 서류 | API 스펙, 토큰 샘플 | 취약점 점검 결과·개선 계획 | SOP, 장애/오류 리포트 | 사전심사/기능적합성/중계 신청 |
| 승인 절차 | PR·테크 리뷰 | 위험 평가·예외 승인 | 변경 관리(CAB) | 서류 접수·보완 응대 |
| 점검 주기 | 분기 릴리스 전 점검 | 연 1회 정기·수시 점검 | 상시 모니터링·월간 리포트 | 일정 공지에 따름 |
| 만료·갱신 | 클라이언트 ID/Secret 회전 | 키·인증서 회전, 정책 연동 | 로그 보존·파기 주기 갱신 | 인증·연동 갱신/재심사 |
7. 우리 회사에 맞는 최적의 전략은? (의사결정 가이드)
- 통합인증 vs 개별연동: 연동해야 할 인증 기관이 많고 채널이 다양하다면 통합인증이 유리합니다. 제한된 파트너와 연동한다면 개별 연동도 가능하지만, 예외 및 오류 처리의 복잡성이 증가합니다.
- 중계기관 활용: 대외 연동의 난이도가 높고 일정이 촉박하다면 중계기관 참여를 적극 검토하세요. 자체 기술 역량과 보안 인증 경험이 풍부하다면 직접 연동을 고려할 수 있습니다.
- 점검 주기: 대규모 릴리스나 보안 구성 변경이 포함된다면 정기 점검 외 수시 점검을 추가하세요. 경미한 변경이라면 내부 스캐닝과 보완 증적만으로 관리할 수 있습니다.
자주 묻는 질문 (FAQ)
- Q. 표준 API 인증과 통합인증의 차이는 무엇인가요?
A. 표준 API는 OAuth2/JWS 기반의 데이터 전송 기술 표준이며, 통합인증은 여러 기관과의 인증 연계를 단일 창구로 중계하는 운영 체계입니다. - Q. JWS 접근 토큰은 필수인가요?
A. 네, 데이터 표준 API 규격에 따라 접근 토큰은 JWS 표준 규격 사용이 명시되어 있습니다. - Q. 주요 기능 변경 시 사전심사 범위는 어디까지인가요?
A. 인증/권한, 전송요구 처리, 보안 구성 변경 등 외부에 영향을 미치는 항목은 사전심사를 통해 관리해야 합니다. - Q. 연 1회 취약점 점검 기준이 무엇인가요?
A. 전금법상 외부 평가전문기관이 주관하는 연 1회 이상 점검을 기준으로 계획해야 합니다. - Q. 중계기관을 활용하면 절차가 단축되나요?
A. 네, 다수 기관과의 인증 연동을 일괄 중계하여 초기 연동 및 운영의 복잡도를 크게 줄일 수 있습니다.
보너스: 준비 기간, 얼마나 걸릴까? (간단 산정식)
연간 준비 공수 = (증빙 서류 N개 × 검토 시간) + (취약점 점검일수) + (사전심사 리드타임)
- 예시 (보수적): 서류 35종 × 1.5시간 = 52.5시간 + 점검 5일(40시간) + 사전심사 12영업일(96시간) ≈ 약 3.5~4.5주 (내부 승인 및 보완 기간 포함)
함께 읽으면 좋은 글 (실무 참고)
- 통합로그·SSO 절차/예외 정합화: SSO 정책 가이드(인증 절차·예외)
- 로그 보관 절차/예외·오류 분석: API 과금 정책(로그·보관 절차·예외)
- 오류 모니터링 증빙·비용 비교: Observability 요금 비교(오류 모니터링·증빙)
- 데이터 보존/삭제 비교·동의 범위 한도 검토: CDP 연동 정책 가이드(데이터 보존/삭제 비교)
면책 문구
본 문서는 일반적인 정보 제공을 목적으로 하며 법률 및 규정 자문이 아닙니다. 정책과 요금은 변동될 수 있으므로, 반드시 최신 공식 문서를 확인하시기 바랍니다.
공식 출처 (도움 문서)
- 데이터 표준 API 인증규격(개인신용정보 전송요구·OAuth2/JWS) — 금융보안원 테스트베드
- 기능적합성·보안취약점 결과 점검 안내 — 금융보안원 테스트베드
- (보도) 기능적합성 심사·보안취약점 점검 추진 — 금융위원회
- (보도) 마이데이터 운영·보호 강화 및 연 1회 이상 취약점 점검 안내 — 금융위원회
- 통합인증 중계시스템 가이드(소개·API 사용방법·신청) — 금융보안원 통합인증 포털
비공식 비교/경험담
- 대규모 인증기관과 동시 연동 시, 중계시스템 + 사전 Mock 점검(3~5일)을 병행하면 심사 보완 건수를 평균 20~30% 줄였다는 업계 실무 체감치가 있습니다. (사내·동종사 공유 기준)
