"오픈뱅킹"의 두 판 사이의 차이
leejia1222 (토론 | 기여) |
leejia1222 (토론 | 기여) (→규제 동향) |
||
91번째 줄: | 91번째 줄: | ||
이에 대해 업계는 “정부가 나서서 오픈뱅킹을 주도할 것이라 아니라 시장 흐름에 오픈뱅킹을 맡겨야 한다”라고 맞서는 중이다. 국내에서 열린 인터넷 환경을 위한 운동을 진행중인 ‘오픈넷’은 “인터넷뱅킹 서비스의 호환성을 개선하기 위해서는 보안 플러그인 프로그램뿐만 아니라 기타 기능을 제공하는 플러그인이 같이 제거돼야 한다”라고 주장한다. 가장 널리 이용되는 플래시 플러그인도 호환성을 저해할 요인이 될 수 있으므로 HTML5나 CSS3 등 최신 웹표준 기술을 적용해 서비스를 구성하고 플러그인 기술을 최소화해야 한다는 게 이들 입장이다. | 이에 대해 업계는 “정부가 나서서 오픈뱅킹을 주도할 것이라 아니라 시장 흐름에 오픈뱅킹을 맡겨야 한다”라고 맞서는 중이다. 국내에서 열린 인터넷 환경을 위한 운동을 진행중인 ‘오픈넷’은 “인터넷뱅킹 서비스의 호환성을 개선하기 위해서는 보안 플러그인 프로그램뿐만 아니라 기타 기능을 제공하는 플러그인이 같이 제거돼야 한다”라고 주장한다. 가장 널리 이용되는 플래시 플러그인도 호환성을 저해할 요인이 될 수 있으므로 HTML5나 CSS3 등 최신 웹표준 기술을 적용해 서비스를 구성하고 플러그인 기술을 최소화해야 한다는 게 이들 입장이다. | ||
− | == | + | ==정책 동향== |
− | === | + | ===해외=== |
− | + | 영국, 일본, 호주 등 주요국에서는 관련 법 개정 및 마련 등을 통해 은행 등 금융회사가 핀테크기업에 고객 금융데이터를 API로 제공하도록 하는 정책을 시행 또는 준비 중이다. 개별 국가별로 접근 가능한 데이터의 종류, 참여금융기관이나 참여 조건 등은 다양하다. 그러나 ⓛ ‘정보 주체’인 고객의 동의 하에 ② ‘정보보유기관’인 은행 등 금융기관이 고객 정보를 제공하고, ‘정보수취기관’인 핀테크기업 등 제3자가 이를 활용하도록 하고, ③ 주요 방법으로 오픈 API를 의무화하는 방향을 추구하는 공통점이 있다. 유럽연합(EU)의 경우 지급결제 서비스 지침을 준비∙개정하여 결제사업자의 성장과 확대를 꾀하고 있으며, 영국은 오픈뱅킹 정책으로 기존 금융기관의 오픈 API 도입을 의무화하고 있다. 아시아태평양 지역에서는 싱가포르가 최초로 오픈뱅킹 가이드라인을 제시하였고, 일본이 2017년 은행법 개정으로 은행의 API 구축 노력을 명시화하였다. 호주와 홍콩 또한 오픈뱅킹 관련 정책을 확정∙시행할 예정이다. 다만, 미국의 경우 고객 금융데이터의 자기 결정권을 강화하되 오픈뱅킹 정책을 의무화하지 않고 있으며, 시장 참가자가 자발적으로 이에 대응하고 있다. 한국의 경우 이러한 국제적 추세를 반영하여 2016년 세계 최초로 은행권 공동 오픈플랫폼을 구축하였다. | |
− | === | + | ====유럽연합==== |
− | + | 유럽은행감독청(European Banking Authority, EBA)은 지급결제 서비스 및 서비스 업체 관련 규제인 PSD(Payment Services Directive)에 이어 이를 개정한 PSD2를 2015년 12월 공식발표하고 2018년 1월부터 시행 중이다. 또한 2018년 5월부터 시행중인 EU의 일반개인정보보호법(General Data Protection Regulation, GDPR)에서는 ‘개인정보이동권’을 새롭게 도입하여 정보 주체인 개인이 은행 등에 자신의 정보를 다른 회사에 제공하도록 요구할 수 있도록 하여 고객의 자기결정권을 확보한다. 기존 PSD는 EU의 단일 지급시장의 형성과 지급 관련 소비자 보호, 비금융회사의 지급결제 시장 진출 지원을 위해 2007년 제정되었다. PSD에서는 지급서비스(payment service)와 지급기관(payment institution)을 정의하고, 지급서비스는 은행 외 비은행기관도 참여할 수 있다고 명시하였다. 이어 PSD2에서는 지급시장의 통합을 통해 효율성을 제고하고 공정한 경쟁 구도를 조성하기 위해 지급서비스 범위에 지급개시서비스(payment initiation service)와 계좌정보서비스(account information services)를 추가하여 제3자 서비스 제공기관(비금융회사)의 금융회사 계좌접근권을 명시하였다. PSD2의 핵심은 제3자 지급서비스 제공자를 크게 계좌정보 서비스제공업자(Account Information Service Provider, ASIP)와 지급지시 전달업자(Payment Initiation Service Provider, PSIP)로 정의하여 책임과 의무를 부과하였다는 점이다. | |
− | |||
− | + | 금융사는 고객 동의시 AISP에 고객 계좌정보를 API를 통해 제공하여야 한다. 기존 핀테크기업이 개별 은행으로부터 제휴를 통해 고객 정보를 각각 취합해야 했으나, 이제는 고객이 보유하고 있는 모든 은행의 다수의 계좌에 집합된 고객 정보를 일괄적으로 접근하여 활용할 수 있다. PISP는 고객이 지급 결제를 요청할 때, 고객 은행 계좌에서 직접 자금이체 및 결제대행을 수행할 수 있는 사업자로서 계좌이체 대행 권한을 가진다. PISP는 개별 은행과 일일이 계약을 맺을 필요 없이 고객을 대신하여 계좌이체를 대행하여 실행할 수 있다. 은행이 제3자에게 수취하는 API 이용 건당 수수료도 제한되어, 고객 입장에서 직불방식의 지급결제 서비스를 핀테크기업을 통해 이용할 수 있게 되며, 판매자 입장에서도 신용카드 거래 비용을 지불하지 않아도 된다. 은행이 제공하는 오픈 API를 통해 핀테크기업이 손쉽게 지급결제 서비스를 구현할 수 있는 시스템이 구축된 것을 의미한다. | |
− | |||
− | + | 한편 API 공개를 통해 데이터 보안 위반 가능성이 커지므로 이에 대해서는 GDPR을 적용하여 정보보안과 고객인증과 관련된 개인정보 보호를 강화하였다. 금융 보안과 관련하여 모든 지급서비스 제공기업은 온라인 지급서비스 제공을 위한 충분한 보안 수준을 유지하고 있음을 연단위로 증빙해야 하며, 개인정보 처리 원칙이나 동의요건 등 GDPR의 요건을 심각히 위반하여 적발되면 연간 매출의 4%, 또는 2,000만 유로의 과징금이 부과된다. 또한 거래 승인시 지식기반, 소유기반, 생체기반 인증 방식 중 두 가지 이상을 활용하여 고객이 인증을 해야 한다. PSD2의 후속조치 중 하나인 규제기술표준안(The Regulatory Technical Standard, RTS)이 2019년 9월부터 시행될 예정으로, RTS에서는 보안에 대한 우려를 불식시키기 위해 API에 관한 구체적 내용을 규정하고 있다. RTS에서는 은행이 제공하는 API는 시장 자율에 맡기는 반면, 은행과 제3자 간 API에 관한 최소한의 요구사항을 정하여 계좌정보에 접근하도록 하고, 제3자가 은행의 API를 이용할 수 없는 경우 은행들은 고객 데이터에 접근할 수 있는 다른 방법을 허용하도록 요구할 수 있다. | |
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | + | 2019년 4월말 기준 EBA Payment Institutions Register에 따르면 미국 지급결제업체인 Token이 2018년 6월 EU에서 최초로 PISP 라이선스를 취득한 데 이어 Access Systems (UK) Ltd, American Express Payment Services, Asto Digital Limited, Bud, Lunar 등 41개사가 PSI로 인가를 받았다. Bud, Lunar 등은 AIS로도 라이선스를 받은 가운데 총 36개사가 AIS로 라이선스를 받아 업무를 시작하고 있다. | |
− | + | ====영국==== | |
− | + | 영국의 경쟁 및 시장 당국(Competition and Markets Authority, CMA)은 EU의 PSD2 시행에 대응하고자 데이터 보호를 강화한 자체 오픈뱅킹 정책을 의무화하였다. 영국은 오픈뱅킹을 통해 고객 동의 하에 고객의 정보를 공유하고, 비금융기관이 금융산업 내 진입하도록 하여 소수의 대형은행이 지배하는 자국의 금융시장에서 과점화된 리테일 은행 시장 구조를 개편하고 경쟁을 촉진하며, 핀테크 서비스의 발전을 도모할 목적임을 분명히 했다. 영국의 오픈뱅킹 정책은 9개 주요 은행(AIB, Bank of Ireland, Barclays, HSBC, Lloyds, NBS, Northern Bank, Danske Bank, Royal Bank of Scotland Group, Santander)은 공동 API 프레임워크(Common API Framework)를 채택하여 고객 동의시 API를 통해 잔액정보, 거래기록 정보 등 계좌정보를 제공해야 한다. 영국의 오픈뱅킹과 PSD2는 고객 동의시 계좌정보를 제공한다는 기조는 같으나, 1) 영국의 경우 9대 주요 은행 계좌에 적용되며 단일 API를 통해 데드라인에 맞추어 진행되며, 2) EU의 PSD2는 EU 내 모든 지급결제 계좌에 적용되며 시장 자율적 API를 통해 유예기간 18개월을 두고 진행된다는 점에서 차이점이 있다. 2018년 9월 영국 OBIE(Open Banking Implementation Entity)는 기술사양, 보안, 고객 지침, 적합성 및 인증 등에 관한 API 표준요건을 담은 ‘Open Banking Standard 3.0’을 발표했으며, 이에 따라 은행은 계좌 및 거래 내역, 자금 확인 등 조회형 API와 실행형 API 기준을 준수해야 한다. | |
− | + | 현재 영국의 일부 대형 은행에 오픈뱅킹이 도입되더라도 시장 전반에 확산되기까지는 상당한 시간이 필요할 것으로 예상된다. 오픈뱅킹 확산이 더딘 주요 원인은 개인 데이터 보안에 대한 신뢰성이 낮고 은행권의 노후화된 IT 시스템에 기인하는 것으로 분석된다. 그러나 오픈뱅킹에 참여하는 HSBC는 Open Banking API를 공개하고, 오픈뱅킹 애플리케이션(Connected Money)을 통해 타행계정조회, 가처분 소득 조회, 지출 분석 등의 기능을 제공하며, Lloyd Banking Group은 정책 대응을 위해 분석 기능을 강화한 인프라를 마련하고 일부 API를 공개하는 등 기존 데이터 공유가 활성화되지 않은 대형 은행들도 변화에 동참하고 있다. 2019년 3월 기준 영국 오픈뱅킹을 통한 호출 건수는 3,820만 건으로 2018년 말 기준 1,750만 건 대비 약 2배 정도 증가하였다. 2018년 3월말 기준 American Express Payment Services, CitiBank Europe, JP Morgan Chase Bank 등 기존 금융기관 외 Bud, Credit Kudos, DigitalMoney box 등의 핀테크기업 총 78개 기관이 제3자 기관으로 인가 받았다. 또한 ABN AMRO bank, AIB Group 외 Cynergay Bank, Mizuho, Revolut, Sainsbury’s Bank, Starling Bank, The Co-operative Bank, Ulster Bank 등 40 개 기관이 계좌제공업자로 인가 받아 총 118개 기관이 참여하고 있다. 무엇보다 오픈뱅킹 도입을 통해 예〮적금 등 자금 조달의 어려움을 겪고 상대적으로 고객기반이 취약한 Cynergay Bank, Revolut, Sainsbury’s Bank, Starling Bank 등 챌린저뱅크(Challenger Bank)가 계좌제공업자 인가를 받으며 업무 확장을 꾀하고, 관련 핀테크기업을 적극적으로 인수하는 모습을 보이고 있다. | |
− | |||
− | |||
− | : | + | ====미국==== |
+ | 미국은 소비자 금융데이터의 이동권과 자기결정권을 규정하고 있는 가운데, 주요 금융관련 기구에서 은행과 핀테크기업 간의 협력을 강화하고 부정 행위감소를 위한 자발적인 시장 주도형 정보공유의 프레임을 제시하고 있다. 이는 유럽의 PSD2나 CMA 규정과는 달리 의무사항이 아니라는 점에서 차이가 있으며, 금융기관 자체적으로 검증된 제3자의 API 접근을 활용하고 있다. 고객이 금융거래 등 자신의 계좌정보를 활용할 수 있는 권한은 이미 2010년 발표된 도드 프랭크법(Dodd-Frank Act)에서 소비자가 개인의 금융데이터를 사용할 권한을 보장하고, 소비자에게 금융상품이나 서비스를 제공하는 개인 또는 단체는 소비자의 금융상품이나 서비스의 거래, 계좌, 수수료 등의 정보를 전자적 형태로 가공하여 소비자가 활용하도록 제공할 것을 규정하였다. 한편 , 미 국 오픈뱅킹에 대 한 규정은 도입하지 않 고 있으나, 미 국 소비자금융보호국(Consumer Financial Protection Bureau, CFPB)은 2016년 10월 ‘Project Catalyst Report: Promoting Consumer friendly innovation’을 통해 소비자의 금융정보접근권에 정보공유의 개념을 포함하여 제3자의 계좌정보접근을 허용하는 방식을 지지하겠다고 밝힌 바 있다. 이어 CFPB는 2017년 고객 정보를 수집에 있어 개략적인 원칙을 발표하였으며, 2018년 비영리 보안 단체인 금융서비스정보공유분석센터(NACHA)는 100여 개의 금융사와 함께 계좌 정보의 공유, 결제, 사기 방지 등을 위한 표준 API의 정의를 발표하였다. | ||
+ | |||
+ | ====호주==== | ||
+ | 2018년 2월 호주 재무부는 오픈뱅킹 구현을 위한 권고안으로서 ‘Review into Open Banking in Australia’에 따라 오픈뱅킹을 추진하기로 발표하였다. 오픈뱅킹 권고안은 ① 고객중심주의, ② 시장경쟁유도, ③ 기회창출, ④ 효율성 및 공정성 확보라는 기본 원칙 하에 오픈뱅킹 체제로의 전환을 위한 규제체계 및 운영 방안을 담고 있다. 이에 따라 실질적인 법제화는 호주 경쟁당국(The Australian Competition and Consumer Commission, ACCC) 이 담당하여 소비자정보권의 개념상 대상 섹터를 결정하고 경쟁 및 소비자법(Competition and Consumer Act)이 개정되는 형태로 진행되었다. 다만, 개인정보보호 담당 부처인 OAIC(Office of the Australian Information Commissioner) 및 금융 당국이 지원하며 호주 중앙은행이 자문하게 된다. 연방종합연구소인 Commonwealth Scientific and Industrial Research Organization는 데이터 표준을 정립하고 호주정보위원회(The Australian Intelligence Community, AIC)는 오픈뱅킹이 개인 프라이버시에 미치는 영향을 검토한다. | ||
+ | |||
+ | 호주 정부는 소비자정보권을 은행산업에 우선적용하기 위해 오픈뱅킹 정책을 추진하고 있으며 추후 에너지, 통신 분야로도 확대해 나갈 계획이다. 적용 범위는 4대 은행에 우선적으로 오픈뱅킹을 적용하고 이를 확대할 예정이며, 공유하는 데이터의 범위 역시 점진적으로 확대하는 방향이다. 하나 유의할 점은 호주의 경우 금융상품의 범위를 예금상품 및 대출상품 등으로 확대하고 있는 반면, 지급결제 등 실행형 API 공개를 의무화하지 않고 조회형 API만을 공개하도록 의무화하고 있다. 도입시기는 호주 4대 은행의 경우 2019년 7월(12개월의 기한까지) 신용∙직불카드 및 예금∙거래계좌부터 출발하여 2020년 2월까지 주택담보 대출로 확대할 예정이다. 또한 나머지 은행은 12개월 시차를 두고 점진적으로 확대하여 2022년 7월 전 은행권의 전 금융상품에 대한 API를 공개할 계획이다. | ||
+ | |||
+ | ====싱가포르==== | ||
+ | 싱가포르는 2016년 아시아태평양 지역에서 최초로 오픈뱅킹 지침을 발표하고 개방형 API를 통해 은행 데이터 제공을 위한 계획을 수립하였다. 싱가포르 통화청(Monetary Authority of Singapore, MAS)은 금융기관의 연결성을 강화하고 핀테크 혁신을 촉진할 수 있는 수단으로 금융데이터의 개방을 지속적으로 유도하였다. 이에 금융 API 안내서(API Playbook)를 발표하여 공통 API 보안 표준과 거버넌스 모델에 대한 지침을 수록하였으며, 금융산업 API 등록소(Financial Industry API Register)을 통해 핀테크기업이 개방된 API를 검색하여 활용할 수 있도록 하고 있다. 현재 싱가포르 내 Citi, OCBC, DBS등 은행을 비롯하여 지급결제업체 NETS, 감독당국이 API 등록소에 참여하여 거래내역, 고객정보, 금융상품 등과 관련된 약 313종의 API를 개방하고 있으며 금융소비자에 대한 편익을 창출하고 있다. 특징적으로 은행뿐만 아니라 MAS도 감독과 관련된 API를 개방하여 레그테크(Regtech) 부문의 발전을 도모하고 있다. 참여 은행 중 DBS와 OCBC가 각각 137개, 76개 항목에 대해 API를 개방하고 있다. 특히, DBS는 국가 등록소 외 자체적으로 200개 이상의 API를 개방하여 세계 최대 은행 API 개발 플랫폼을 구축하고, 50개 이상의 협업 성공 모델을 만들었다. | ||
+ | |||
+ | ====홍콩==== | ||
+ | 2018년 7월 홍콩금융관리국은 은행이 API로 계좌 및 거래정보 등을 제3자에게 제공하도록 하는 ‘Open API Framework’를 마련했다. 홍콩의 오픈 API Framework는 크게 4단계로 나뉘어 도입될 계획이다. 예금, 대출, 기타 은행서비스, 투자, 보험에 적용되며 1단계는 은행상품 및 서비스 정보, 2단계는 고객의 취득 및 신규 신청, 3단계는 계좌 정보, 4단계는 거래처리로 구분하여 단계적인 오픈 API에 대한 접근 방식을 취하고 있다. 금융당국은 Open API Framework를 통해 은행과 핀테크기업 등 제3자가 고객 경험을 개선하는 혁신적이고 통합된 은행 서비스를 개발하도록 유도하고 홍콩 은행업의 경쟁력을 높이는 것이 주요 목표임을 밝히며, 대형 소매은행을 주요 대상으로 도입할 계획이다. PSD2에서 표준 API를 설정하지 않은 것과 달리 홍콩은 표준 API의 공개와 기술적 프로토콜에 대한 사항을 권고하고 있다. 시행 일정은 미정이나, 시행일 기준 각각 6개월과 12개월 후 1단계와 2단계를 시행하고, 3단계 및 4단계의 일정은 감독당국과 은행 간 조율할 예정이다. | ||
+ | |||
+ | ====일본==== | ||
+ | 일본은 개정 개인정보보호법을 통해 익명가공정보라는 개념을 도입해 데이터 유통의 기본 틀을 구축한 뒤, 2017년 5월 은행법 개정을 시작으로 오픈뱅킹을 본격적으로 추진하고 있다. 2017년 6월 공포된 개정 은행법에서는 은행 등이 2018년 3월까지 API 이용업체 간 제휴 및 협력에 관한 방침을 결정하고 공시해야 한다고 규정하였다. 또한 법 시행 후 2년 내에 은행은 API 구축을 위해 노력해야 한다고 명시하여 EU의 의무 부과 방식과 달리 API의 공개를 위한 노력을 의무화한다는 차이가 있다. 더불어 일본 은행은 고객보호를 위해 은행과 API 이용업체 간 은행법이 정한 내용(배상의 책임, 개인정보 취급 등)을 약정해야 한다. 일본 당국은 2020년까지 110개 은행이 API 공개를 완료할 것으로 예상하고 있다. | ||
+ | |||
+ | ===국내=== | ||
+ | 한국에서도 글로벌 핀테크 트렌드에 맞춰 오픈뱅킹 도입 및 확대 움직임이 지속적으로 보이고 있다. 국내에서는 이미 2016년부터 금융권 공동 오픈플랫폼을 구축하여 서비스를 운영 중이다. 이어 고객 정보의 공유를 포함하여 보다 적극적인 핀테크기업 육성을 위하여 금융결제망의 혁신적 개방까지 계획하고 있다. 해외 금융권의 경우 보다 적극적이고 전면적인 API 개방정책을 실시하고 있다. | ||
+ | |||
+ | ;* 2016년 세계 최초로 은행권·증권사 공동 오픈플랫폼 구축 | ||
+ | : 전세계적으로 IT와 금융의 융합(핀테크) 트렌드가 확산되어 소비자 경험, 금융산업의 거래 방식과 경쟁구도가 변모된 점을 고려하여 국내에서도 금융거래 및 규제 환경의 종합적 개선을 통해 글로벌 경쟁력을 갖춘 혁신적 핀테크 산업을 육성하는 기조로 입법화가 추진되고 있다. 금융위원회는 2015년 1월 27일 ‘IT∙금융 융합 지원방안‘을 발표한 이후 공인인증서 사용의무 폐지(2015년 3월), 실물카드 없는 모바일카드 단독 발급 허용(2015년 4월), 다양한 비대면확인 방식 국내 허용(2015년 5월), 신규 전자금융업무에 대한 보안성심의 제도 폐지(2015년 6월) 등 다양한 제도를 개선하였다. | ||
+ | |||
+ | : 하지만 여전히 많은 핀테크기업들이 기존 금융기관에 의존하여 사업을 펼쳐야 하는 상황이다. 이에 금융결제원과 16개 은행 및 18개 증권사는 실무협의회를 거쳐 금융회사 내부의 금융 서비스를 표준화된 API 형태로 제공하는 오픈 API와, 개발된 핀테크 서비스가 금융전산망에서 작동하는지 시험해볼 수 있는 인프라인 테스트베드(Test-bed)를 더한 금융권 공동 핀테크 오픈플랫폼 구축을 추진하여 2016년 8월 30일 개통하였다. | ||
+ | |||
+ | : 은행권 공동 오픈플랫폼의 구성 주체는 은행, 오픈플랫폼센터, 이용기관, 일반고객이다. 은행은 오픈플랫폼에 참여하여 자금이체, 조회 등의 서비스를 제공하며, 오픈플랫폼센터(금융결제원)는 은행권 공동으로 오픈플랫폼 시스템을 구축하고 운영한다. 금융결제원과 오픈플랫폼 이용 계약을 체결하고 이용 승인을 받은 핀테크기업은 오픈 API를 통해 기존 은행의 다양한 데이터에 접근할 수 있다. 아울러 일반고객은 오픈플랫폼 서비스 이용 신청을 통해 이용기관이 오픈플랫폼을 기반으로 제공하는 서비스를 사용할 수 있다. | ||
+ | |||
+ | : 현재 KDB산업은행, NH농협은행, 신한은행 등 16개 은행이 참가하고 있으며, 조회형 API 4종과 실행형 API 2종 등을 제공하고 있다. 은행권 공동 오픈플랫폼을 이용하기 위 한 핀테크기업은 「 중소기업기본법 」 상 중소기업이어야 하며, 금융위원회 핀테크 산업 분류업종 업체, 전자금융업자, 전자금융보조업자, 기타 핀테크지원센터 인정 업체여야 한다. 이와 같은 조건을 만족하는 핀테크기업은 오픈 API와 테스트베드를 활용하여 다양한 핀테크 서비스를 출시하고 있다. | ||
+ | |||
+ | ;* 오픈뱅킹 법제화와 중장기적 핀테크기업에 금융결제망 직접 개방을 추진 | ||
+ | : 금융결제원 주도로 은행권 공동 오픈플랫폼이 2016년부터 운영 중이지만, 이 용 기관이 중소기업에 해당하는 핀테크기업으로 규정되어 인터넷전문은행이 제외되어 있는 등 플랫폼 참여 기관이 한정되어 있다. 뿐만 아니라 이체 API의 경우 이용료가 건당 400~500원으로 높은 수준이고, 개별 은행에 따라 오픈 API 제공 여부와 그 범위가 상이하다는 문제가 지적되어 금융위원회는 금융권의 지급결제망 API를 확대∙개편하기로 했다. | ||
+ | |||
+ | : 오픈뱅킹 구축은 2019년 2월 25일 금융위원회가 발표한 ‘금융결제 인프라 혁신 방안’의 3대 추진전략 및 9대 추진과제 중 금융결제 시스템 혁신적 개방 전략에 속한 추진과제이다. 금융위원회는 다양한 결제 서비스가 공정하게 경쟁할 수 있는 생태계를 조성하기 위해 핀테크기업에 금융결제망을 단계적으로 개방하고 이용 비용을 합리화하는 등 금융결제 인프라를 폐쇄형에서 개방형으로 개편하겠다고 동 추진전략의 목적을 밝혔다. | ||
+ | |||
+ | : 금융위원회는 2019년부터 금융결제망을 (1) 공동 결제시스템(오픈뱅킹) 구축, (2) 오픈뱅킹 법제도화, (3) 핀테크기업에 금융결제망 직접 개방 등 3단계로 나누어 개방하고자 한다. 1단계는 모든 핀테크 결제사업자가 합리적 비용으로 편리하게 은행결제망을 이용할 수 있도록 공동 오픈 API를 전면 개편하고 금융결제원 규약을 개정하여 오픈뱅킹을 구축하는 단계이다. 국내 모든 시중은행의 계좌조회 및 이체 관련 API를 오픈플랫폼으로 일원화하여 상호간 정보를 공유할 수 있다. | ||
+ | |||
+ | : 2019년 4월 현재 9차례의 참여기관 실무협의회 회의를 거쳐 16개 은행을 비롯하여 인터넷전문은행인 케이뱅크와 카카오뱅크, 그리고 모든 핀테크 결제사업자가 전산테스트를 거쳐 2019년 9월부터 참가할 예정이다. 무엇보다 기 존 핀테크기업은 종전 펌뱅킹 수수료대비 90% 이상 낮은 기본 비용(40~50원)을 적용 받고 영세 스타트업에는 수수료를 추가 할인(약 20~30원대의 비용으로 확정)하여 기존 대비 낮은 비용으로 은행 결제망을 이용할 수 있다. | ||
+ | |||
+ | : 또한 오픈뱅킹을 운영하는 기관인 금융결제원은 오픈뱅킹 이용 확대에 따른 전산시스템을 증설하기로 했으며, 정부는 금융결제원 외 추가 운영기관과 24시간 실시간 장애대응 체계도 검토할 계획이다. 이슈가 되었던 부당인출 등 보안사고 방지를 위한 충당금과 관련하여 현행 하루 거래량의 300%까지 의무화된 보증은 중소형 사업자의 경우 현행 보증제도를 유지한다. 다만, 대형 사업자는 출금은행이 여러 리스크를 고려하여 보증금액에 대해 자율적으로 합의하는 형태를 적용하기로 하였다. | ||
+ | |||
+ | : 2019년 내 오픈뱅킹 구축을 완료한 이후 2단계로는 오픈뱅킹 관련 법제도화를 추진할 예정이다. 오픈뱅킹은 명확한 법적 근거가 없어 은행권의 참여, 이용료 책정 등에 있어 제도의 안정성과 항구성을 보장하기 어렵다는 한계가 있다. 이에 따라 전자금융거래법 개정 등을 통해 차별 없이 은행결제망을 이용할 수 있도록 명확한 법적 근거를 마련할 계획이다. 예를 들어, 모든 은행이 결제사업자에게 자금이체 기능을 표준화하여 제공하도록 의무 규정을 마련하고 결제사업자에 대해 이체처리 순서, 처리 시간, 비용 등에서의 차별행위를 금지하는 것 등이다. 이미 EU에서 PSD2 도입(2018년 1월)을 통해 은행 API를 핀테크기업에 수수료 등 차별 없이 제공하도록 한 바 있다. | ||
+ | |||
+ | : 중∙장기적으로는 핀테크 결제사업자가 금융소비자에게 결제서비스를 제공하기 위해 은행에 의존이 불가피한 상황을 개선하고자 3단계에서는 핀테크기업에 금융결제망을 직접 개방하여 독자적인 금융서비스를 허용하도록 할 방침이다. 충분한 건전성 및 전산 역량을 보유하는 등 일정한 자격을 갖춘 핀테크 결제사업자에 대하여 ‘종합지급결제업’ 등을 도입하여 지급결제 계좌 발급∙관리 업무를 허용할 방침이다. 이를 위해서는 독자적인 자금이체가 가능하도록 한국은행규정을 개정하는 작업 역시 병행될 예정이다. | ||
==활용 사례== | ==활용 사례== |
2019년 11월 28일 (목) 09:48 판
오픈뱅킹은 핀테크기업이 금융서비스를 편리하게 개발할 수 있도록 은행의 금융서비스를 표준화된 형태로 제공하는 인프라를 말한다. 스마트폰에 설치한 응용프로그램을 통해 모든 은행 계좌에서 결제를 비롯한 금융서비스를 실시간으로 이용할 수 있다. 2019년 10월 30일부터 10개 대형 은행이 시범 운영을 시작했으며, 2019년 12월 정식 가동될 예정이다. 정식 운영이 시작되면 일반은행 16곳과 인터넷전문은행 2곳까지 총 18개 은행에 접근이 가능하다.
목차
개요
오픈뱅킹은 오픈 API와 테스트베드로 구성된다. 오픈 API는 핀테크기업이 직접 응용프로그램과 서비스를 개발할 수 있도록 공개된 프로그램 도구로서, 6개의 서비스 API와 인증/관리 API를 제공한다. 테스트베드는 개발된 서비스가 금융전산망에서 정상적으로 작동하는지 시험해 볼 수 있는 인프라이다. 핀테크기업은 오픈 API와 테스트베드를 활용하여 기존 금융서비스에 새로운 IT기술을 접목시킨 다양한 핀테크 서비스를 빠르고 편리하게 출시할 수 있다.
은행권을 아우르는 핀테크 서비스 출시를 위해서는 은행 모두와 개별적으로 협약을 맺어야 하는 번거로움이 있다. 또한, 전산표준이 다른 복수 은행과의 호환에 어려움이 있을 수 있다. 이러한 어려움을 해결하고자 16개 시중은행이 자발적으로 참여하여 세계 최초로 참가은행과 핀테크기업이 서비스 개발 과정에서 서로 소통할 수 있는 통로인 오픈플랫폼이 구축되었으며, 제공기관 확대, 이용대상 확대 등 오픈플랫폼이 오픈뱅킹으로 전환됨에 따라 더욱 더 혁신적인 서비스 개발을 지원한다.
오픈뱅킹은 오픈뱅킹에 참여하여 자금이체, 조회 등의 서비스를 제공하는 참가은행과 은행권 공동으로 오픈뱅킹 시스템을 구축하고 운영하는 금융결제원인 오픈뱅킹 센터, 금융결제원과 오픈뱅킹 이용계약을 체결하고 이용승인을 받은 핀테크사업자 및 참가은행인 이용기관, 오픈뱅킹 서비스 이용신청을 통해 이용기관이 오픈뱅킹을 기반으로 제공하는 서비스를 사용하는 사용자인 일반고객으로 구성된다.
이용기관은 참신한 아이이디어와 기술을 가지고 금융 분야에 진출하여 다양한 핀테크 서비스를 제공할 수 있게 되고, 핀테크 서비스를 이용하는 고객은 금융에 대한 접근이 쉬워지고 선택권이 넓어지는 효과가 생기게 되며, 참가은행은 이용기관이 제공하는 다양한 서비스를 통하여 신규 고객과 만날 수 있게 됨으로써 새로운 수익기회를 얻을 수 있다.
등장배경
오픈뱅킹은 스마트폰과 태블릿PC가 등장하면서 윈도우와 IE외 다른 환경에서 금융거래를 하고 싶어하는 고객의 목소리를 은행을 비롯한 금융권이 주목하면서 싹을 틔웠다. 오픈뱅킹에 대한 의견이 나오기 전, 국내 인터넷 사용자의 95% 이상은 웹브라우저로 IE를 사용하고 있었다. 이런 상황에서 국내 은행들은 굳이 다른 웹브라우저나 OS를 지원할 필요성을 느끼지 못했다. 자연스레 국내 인터넷뱅킹 서비스는 윈도우 기반의 IE를 사용하는 고객에게 최적화된 환경을 지원했다.
인터넷뱅킹 서비스가 처음 시작될 당시 안전한 금융거래를 위해 128비트 이상의 암호화 통신을 적용해야 했다. 또한 사용자 인증과 자신이 거래한 증거를 부정하지 못하게 하는 부인방지 기능을 위해 인증서와 전자서명 처리 기능이 요구됐다. 문제는, 당시에는 위 기능들을 웹브라우저에서 구현할 수 없었다는 데 있다. 금융권을 비롯한 국내 기업은 별도의 플러그인 형식의 프로그램을 통해 보안 기능을 적용했다.
당시 국내 PC의 인터넷 이용 환경은 윈도우와 IE 점유율이 압도적이었고 이에따라 국내 기업은 IE의 플러그인 기술인 액티브X 컨트롤러를 바탕으로 보안 프로그램 플러그인을 만들었다. 그러나 스마트폰에 이어 태블릿PC가 등장하면서 인터넷뱅킹 서비스에서도 다양한 기기를 지원해야 하는 과제가 생겼다. 윈도우 이외의 OS를 활용하는 사용자도 늘어나기 시작했다. 웹브라우저 시장 점유율에서 IE가 50% 이하로 떨어지기도 했다. 결국 2010년, 국내 금융권에선 처음으로 우리은행이 액티브X 외 다른 수단을 도입해 오픈뱅킹 서비스를 선보였다.
특징
이용대상
- 이용대상
오픈뱅킹의 이용대상은 일반고객과 핀테크 사업자, 은행으로 나뉜다. 본인명의의 휴대폰을 소지하고 있는 고객은 본인확인을 받은 후 오픈뱅킹 서비스를 이용할 수 있다. 핀테크산업 분류업종 기업, 전자금융업자, 전자금융보조업자, 오픈뱅킹 운영기관 인정기업 또한 오픈뱅킹 이용대상이다. 핀테크 사업자 및 은행에 대한 자세한 설명은 다음과 같다.
- 핀테크 사업자 : 정보통신기술 또는 그 밖의 기술을 활용하여 금융회사의 업무 효율성을 증대 시키거나 이용자의 편의성 향상에 기여하는 금융관련 업무
- 은행 : 오픈뱅킹공동업무 제공자 역할을 수행하는 참가 금융회사
- 핀테크산업 분류업종 기업
- 시스템 소프트웨어 개발 및 공급업
- 컴퓨터 프로그래밍 서비스업
- 기타 정보기술 및 컴퓨터운영 관련 서비스업
- 포털 및 기타 인터넷 정보 매개 서비스업
- 기타 금융지원 서비스업
- 응용소프트웨어 개발 및 공급업
- 컴퓨터시스템 통합 자문 및 구축 서비스업
- 자료 처리업
- 데이터베이스 및 온라인정보 제공업
- 제외서비스
- 출금대행 : 지급인의 출금동의를 수취인을 통해 전달받아 제3자가 출금을 대행하거나 동 권리를 재판매하는 경우
- 납부서비스 : 수납하려는 주체가 고객에게 제공하는 재화나 용역의 대가로써 일정금액을 정기적·반복적으로 추심(예약)하는 경우
- 제외대상
- 「사행행위 등 규제 및 처벌 특례법」상사행행위기업, 부도기업
- 다단계 판매, 상조회사, 대부업(P2P연계대부업포함)
- 이용기관이 서비스하고자 하는 사업모델상 필요자격 미달기업
- 기타 소비자 피해 발생이 우려되는 기업 등
- 게임머니·아이템 중개 또는 가상화폐 관련 사업모델 기업
- 미풍양속 저해, 불법행위 사업모델 기업(자금세탁, 테러자금조달 등)
- 영업 행태에 금융질서 문란행위가 의심되는 기업
- 모듈 재판매 시 하위사업자에게도 동일기준 적용
협력기관
- 유관기관 : 금융위원회, 금융감독원, 은행연합회, 금융보안원, 핀테크지원센터
- 참가은행 : KDB산업은행, NH농협은행, 신한은행, 우리은행, SC젱리은행, IBK기업은행, KB국민은행, KEB하나은행, 씨티뱅크, 수협은행, 대구은행, BNK부산은행, 광주은행, 제주은행, 전북은행, BNK경남은행, 카카오뱅크, 케이뱅크
API
오픈뱅킹에서 이용기관은 6개의 서비스 API, 인증/관리 API를 이용할 수 있다.
- 서비스 API
- 잔액조회 API : 사용자가 이용기관이 제공하는 서비스를 통해 본인계좌에 대한 잔액 및 출금가능금액을 조회하는 기능을 제공한다.
- 거래내역조회 API : 사용자가 이용기관이 제공하는 서비스를 통해 본인계좌에 대한 잔액 및 거래내역을 조회하는 기능을 제공한다.
- 계좌실명조회 API : 이용기관이 자금을 수취할 수취인 또는 출금이체 신청을 한 사용자 계좌의 정상여부 및 실명을 실시간 조회하는 기능을 제공한다.
- 송금인 정보조회 API : 이용기관이 자금을 출금이체 신청을 한 사용자 계좌의 정상여부를 실시간 조회하는 기능을 제공한다.
- 입금이체 API : 이용기관의 지급계좌에서 자금을 인출하여 수취인 계좌로 실시간 입금하는 기능을 제공한다.
- 출금이체 API : 이용기관의 출금에 동의한 사용자 계좌에서 출금하여 이용기관의 수납계좌로 실시간 입금하는 기능을 제공한다.
- 인증/관리 API
- 사용자인증 API : 사용자인증 API는 6개의 서비스 API를 사용하기 위하여, 일반고객의 인증 및 동의를 얻고 계좌등록을 수행하는 기능을 제공한다. 이용기관은 계좌에 접근하기 위하여 먼저 이용기관이 응용프로그램과 사용자의 오픈뱅킹용 계좌를 연결해야 하며, 이때 사용자이용 API를 호출하여 사용자의 인증 여부를 물을 수 있다. 사용자는 오픈뱅킹에서 제공하는 연동페이지에서 인증하거나 이용기관이 자체적으로 제공하는 연동페이지에서 오픈팽킹 연동을 할 수 있다. 이러한 인증 절차는 대부분의 인터넷 서비스에서 실질적인 표준으로 작용하고 있는 오오스(OAuth) 인증절차를 준용하여 구현되었다.
- 관리 API : 오픈플랫폼은 금융 업무를 처리하기 위한 5개의 서비스 API 이외에도 이용기관의 서비스 관리를 도와주는 관리 API를 제공한다. 관리 API는 오픈플랫폼 운영 과정에서 이용기관의 요구를 반영하여 추가될 수 있으며, 현재는 참가은행의 서비스 상태를 조회하는 참가은행상태조회 API를 제공한다. 이용기관은 참가은행상태조회 API를 호출하여 16개 참가은행의 서비스 상태를 한번에 조회할 수 있다. 참가은행의 서비스 상태는 거래가능(Y), 장애(D), 종료처리(E)로 정의된다.
기대효과
한계
다양한 환경에서 서비스를 이용할 수 있게 만들겠다는 금융권의 시도는 좋았다. 각 은행들이 오픈뱅킹 서비스를 시작한 뒤 윈도우와 IE 환경이 아니어도 웹사이트에서 계좌 거래 등이 이뤄졌기 때문이다. 그러나 여기까지였다. 국내 기업이 선보이는 오픈뱅킹은 아직까지는 2% 부족한 서비스란 한계를 지니고 있다. 오픈뱅킹 서비스라 해도 윈도우와 IE 환경에서처럼 여전히 각종 보안 플러그인을 설치해야 하기 때문이다. 여기엔 까닭이 있다. 금융감독원은 지난 2010년 ‘전자금융거래시 공인인증서 사용의무 규제완화 방안’을 발표하면서, 금융기관 또는 전자금융업자는 공인인증서를 사용하지 않고도 다양한 전자금융 서비스를 제공할 수 있는 기회를 열었다. 문제는 이용자 인증, 서버 인증, 통신채널 암호화 요건 등 ‘공인인증서와 동등한 수준의 체제’를 요구하며 여타 방법을 인증하지 않은 데 있다.
그 결과 국내에서 인터넷뱅킹 서비스를 제공하려면 인터넷뱅킹 서버와 PC 사이의 통신을 암호화하는 플러그인, 공인인증서와 전자서명을 관리하고 생성하는 플러그인, 키보드 입력값은 암호화하는 플러그인, 악성 프로그램 탐지를 위한 백신과 방화벽을 제공하는 플러그인, 가상키보드 플러그인 등이 기본으로 탑재돼야 한다. 이들 플러그인을 설치하지 않으면 계좌조회나 자금이체 같은 금융거래가 제한된다. 오픈뱅킹을 선보이겠다고 나선 은행들은 IE에서만 쓸 수 있는 액티브X 기술이 아닌 다양한 웹브라우저에서 사용할 수 있는 자바 애플릿을 활용해 보안 플러그인을 구현했다. 오픈뱅킹이 아닌 플러그인 뱅킹 시대가 열린 셈이다.
해외 금융기관의 인터넷뱅킹 서비스는 OS나 웹브라우저에 따른 제약이 없다. PC와 태블릿PC, 스마트폰 등 웹브라우저가 설치된 그 어떤 기기에서 인터넷뱅킹 서비스를 이용할 수 있다. 웹브라우저가 제공하는 기능만 이용해 서비스를 제공하고 플러그인 형태의 프로그램을 적용하지 않기 때문이다. 오픈뱅킹이란 단어는 사실 특정 운영체제와 웹브라우저를 지지하는 국내에서 탄생한 특수한 용어인 셈이다. 사용자의 인증정보를 획득하기 위한 악성코드 등의 등장으로 미국과 영국 등 나라마다 플러그인 방식의 보안 프로그램 사용을 권고하는 곳도 있다. 그렇지만 이 역시 플러그인 형태의 자동 설치 방식이 아닌 독립 애플리케이션 형태로 배포돼 고객이 직접 설치할 수 있게끔 만들었다. 설치 몫을 고객 선택에 맡긴 것이다.
게다가 해외에는 공인인증서처럼 국가가 정해놓은 인증서가 없다. 대신 안전한 금융결제를 위해 일회용 비밀번호를 적용하고 있다. 그 결과 해외는 페이팔, 스퀘어 같은 다양한 결제수단을 활용해 금융거래 서비스를 누리고 있다. 데스크톱PC 기반의 금융거래 환경을 스마트폰이나 태블릿PC환경에서 접해도 아무런 문제가 없다. 특정 환경에 종속되지 않은 결제 환경이기에 가능한 일이다. 그 결과 페이팔은 PC를 비롯한 다양한 환경에서 사용자 아이디와 비밀번호만 입력해 결제하는 편리성을 갖추고 있다. IE 기반의 액티브X에 종속된 보안수단이나 인증수단에저 자유롭기 때문이다. 스마트폰에 신용카드 리더를 탑재해 결제를 돕는 스퀘어도 마찬가지다.
정부는 2007년 장애인차별금지법을 제정하며 웹접근성 준수를 법으로 의무화했다. 이에 따라 개인 웹사이트를 뺀 모든 웹사이트는 웹브라우저와 OS에 관계없이 웹사이트 주요 콘텐츠와 서비스에 접근할 수 있도록 보장해야 한다. 정부도 ‘차세대 웹표준 HTML5 확산 추진계획’을 발표했다. 웹브라우저로 공인인증서를 직접 불러 사용할 수 있도록 표준화를 추진한다는 계획이다. 웹사이트를 이용할 때 별도 플러그인을 설치할 필요 없이 웹표준 기술 기반으로 다양한 OS와 플랫폼, 기기에서 콘텐츠를 이용할 수 있게 만들겠다는 얘기다. 여기까지 들어보면 방송통신위원회가 사용자를 위해 합리적인 선택을 내렸다고 생각할 수 있다.
문제는 방송통신위원회가 ‘웹 기반 전자서명 기능’과 ‘인증서 관리 기술’에 대한 개발과 표준화 작업을 하겠다며 한 발 더 나아갔다는 점이다. 그러면서 액티브X 등 별도 프로그램이 필요없는 전자결제 서비스 지원을 위해 국내 민간 주도로 표준안을 제안했다. 이를 위해 월드와이드웹컨소시엄 웹 크립토(W3C Web Crypto) API 워킹그룹을 결성하고, 국내 웹 환경과의 적합성을 사전 테스트한 뒤 복수의 웹브라우저에서 공인인증서 내 전자서명 기술 타당성 검증에 나서겠다고 덧붙였다.
이에 대해 업계는 “정부가 나서서 오픈뱅킹을 주도할 것이라 아니라 시장 흐름에 오픈뱅킹을 맡겨야 한다”라고 맞서는 중이다. 국내에서 열린 인터넷 환경을 위한 운동을 진행중인 ‘오픈넷’은 “인터넷뱅킹 서비스의 호환성을 개선하기 위해서는 보안 플러그인 프로그램뿐만 아니라 기타 기능을 제공하는 플러그인이 같이 제거돼야 한다”라고 주장한다. 가장 널리 이용되는 플래시 플러그인도 호환성을 저해할 요인이 될 수 있으므로 HTML5나 CSS3 등 최신 웹표준 기술을 적용해 서비스를 구성하고 플러그인 기술을 최소화해야 한다는 게 이들 입장이다.
정책 동향
해외
영국, 일본, 호주 등 주요국에서는 관련 법 개정 및 마련 등을 통해 은행 등 금융회사가 핀테크기업에 고객 금융데이터를 API로 제공하도록 하는 정책을 시행 또는 준비 중이다. 개별 국가별로 접근 가능한 데이터의 종류, 참여금융기관이나 참여 조건 등은 다양하다. 그러나 ⓛ ‘정보 주체’인 고객의 동의 하에 ② ‘정보보유기관’인 은행 등 금융기관이 고객 정보를 제공하고, ‘정보수취기관’인 핀테크기업 등 제3자가 이를 활용하도록 하고, ③ 주요 방법으로 오픈 API를 의무화하는 방향을 추구하는 공통점이 있다. 유럽연합(EU)의 경우 지급결제 서비스 지침을 준비∙개정하여 결제사업자의 성장과 확대를 꾀하고 있으며, 영국은 오픈뱅킹 정책으로 기존 금융기관의 오픈 API 도입을 의무화하고 있다. 아시아태평양 지역에서는 싱가포르가 최초로 오픈뱅킹 가이드라인을 제시하였고, 일본이 2017년 은행법 개정으로 은행의 API 구축 노력을 명시화하였다. 호주와 홍콩 또한 오픈뱅킹 관련 정책을 확정∙시행할 예정이다. 다만, 미국의 경우 고객 금융데이터의 자기 결정권을 강화하되 오픈뱅킹 정책을 의무화하지 않고 있으며, 시장 참가자가 자발적으로 이에 대응하고 있다. 한국의 경우 이러한 국제적 추세를 반영하여 2016년 세계 최초로 은행권 공동 오픈플랫폼을 구축하였다.
유럽연합
유럽은행감독청(European Banking Authority, EBA)은 지급결제 서비스 및 서비스 업체 관련 규제인 PSD(Payment Services Directive)에 이어 이를 개정한 PSD2를 2015년 12월 공식발표하고 2018년 1월부터 시행 중이다. 또한 2018년 5월부터 시행중인 EU의 일반개인정보보호법(General Data Protection Regulation, GDPR)에서는 ‘개인정보이동권’을 새롭게 도입하여 정보 주체인 개인이 은행 등에 자신의 정보를 다른 회사에 제공하도록 요구할 수 있도록 하여 고객의 자기결정권을 확보한다. 기존 PSD는 EU의 단일 지급시장의 형성과 지급 관련 소비자 보호, 비금융회사의 지급결제 시장 진출 지원을 위해 2007년 제정되었다. PSD에서는 지급서비스(payment service)와 지급기관(payment institution)을 정의하고, 지급서비스는 은행 외 비은행기관도 참여할 수 있다고 명시하였다. 이어 PSD2에서는 지급시장의 통합을 통해 효율성을 제고하고 공정한 경쟁 구도를 조성하기 위해 지급서비스 범위에 지급개시서비스(payment initiation service)와 계좌정보서비스(account information services)를 추가하여 제3자 서비스 제공기관(비금융회사)의 금융회사 계좌접근권을 명시하였다. PSD2의 핵심은 제3자 지급서비스 제공자를 크게 계좌정보 서비스제공업자(Account Information Service Provider, ASIP)와 지급지시 전달업자(Payment Initiation Service Provider, PSIP)로 정의하여 책임과 의무를 부과하였다는 점이다.
금융사는 고객 동의시 AISP에 고객 계좌정보를 API를 통해 제공하여야 한다. 기존 핀테크기업이 개별 은행으로부터 제휴를 통해 고객 정보를 각각 취합해야 했으나, 이제는 고객이 보유하고 있는 모든 은행의 다수의 계좌에 집합된 고객 정보를 일괄적으로 접근하여 활용할 수 있다. PISP는 고객이 지급 결제를 요청할 때, 고객 은행 계좌에서 직접 자금이체 및 결제대행을 수행할 수 있는 사업자로서 계좌이체 대행 권한을 가진다. PISP는 개별 은행과 일일이 계약을 맺을 필요 없이 고객을 대신하여 계좌이체를 대행하여 실행할 수 있다. 은행이 제3자에게 수취하는 API 이용 건당 수수료도 제한되어, 고객 입장에서 직불방식의 지급결제 서비스를 핀테크기업을 통해 이용할 수 있게 되며, 판매자 입장에서도 신용카드 거래 비용을 지불하지 않아도 된다. 은행이 제공하는 오픈 API를 통해 핀테크기업이 손쉽게 지급결제 서비스를 구현할 수 있는 시스템이 구축된 것을 의미한다.
한편 API 공개를 통해 데이터 보안 위반 가능성이 커지므로 이에 대해서는 GDPR을 적용하여 정보보안과 고객인증과 관련된 개인정보 보호를 강화하였다. 금융 보안과 관련하여 모든 지급서비스 제공기업은 온라인 지급서비스 제공을 위한 충분한 보안 수준을 유지하고 있음을 연단위로 증빙해야 하며, 개인정보 처리 원칙이나 동의요건 등 GDPR의 요건을 심각히 위반하여 적발되면 연간 매출의 4%, 또는 2,000만 유로의 과징금이 부과된다. 또한 거래 승인시 지식기반, 소유기반, 생체기반 인증 방식 중 두 가지 이상을 활용하여 고객이 인증을 해야 한다. PSD2의 후속조치 중 하나인 규제기술표준안(The Regulatory Technical Standard, RTS)이 2019년 9월부터 시행될 예정으로, RTS에서는 보안에 대한 우려를 불식시키기 위해 API에 관한 구체적 내용을 규정하고 있다. RTS에서는 은행이 제공하는 API는 시장 자율에 맡기는 반면, 은행과 제3자 간 API에 관한 최소한의 요구사항을 정하여 계좌정보에 접근하도록 하고, 제3자가 은행의 API를 이용할 수 없는 경우 은행들은 고객 데이터에 접근할 수 있는 다른 방법을 허용하도록 요구할 수 있다.
2019년 4월말 기준 EBA Payment Institutions Register에 따르면 미국 지급결제업체인 Token이 2018년 6월 EU에서 최초로 PISP 라이선스를 취득한 데 이어 Access Systems (UK) Ltd, American Express Payment Services, Asto Digital Limited, Bud, Lunar 등 41개사가 PSI로 인가를 받았다. Bud, Lunar 등은 AIS로도 라이선스를 받은 가운데 총 36개사가 AIS로 라이선스를 받아 업무를 시작하고 있다.
영국
영국의 경쟁 및 시장 당국(Competition and Markets Authority, CMA)은 EU의 PSD2 시행에 대응하고자 데이터 보호를 강화한 자체 오픈뱅킹 정책을 의무화하였다. 영국은 오픈뱅킹을 통해 고객 동의 하에 고객의 정보를 공유하고, 비금융기관이 금융산업 내 진입하도록 하여 소수의 대형은행이 지배하는 자국의 금융시장에서 과점화된 리테일 은행 시장 구조를 개편하고 경쟁을 촉진하며, 핀테크 서비스의 발전을 도모할 목적임을 분명히 했다. 영국의 오픈뱅킹 정책은 9개 주요 은행(AIB, Bank of Ireland, Barclays, HSBC, Lloyds, NBS, Northern Bank, Danske Bank, Royal Bank of Scotland Group, Santander)은 공동 API 프레임워크(Common API Framework)를 채택하여 고객 동의시 API를 통해 잔액정보, 거래기록 정보 등 계좌정보를 제공해야 한다. 영국의 오픈뱅킹과 PSD2는 고객 동의시 계좌정보를 제공한다는 기조는 같으나, 1) 영국의 경우 9대 주요 은행 계좌에 적용되며 단일 API를 통해 데드라인에 맞추어 진행되며, 2) EU의 PSD2는 EU 내 모든 지급결제 계좌에 적용되며 시장 자율적 API를 통해 유예기간 18개월을 두고 진행된다는 점에서 차이점이 있다. 2018년 9월 영국 OBIE(Open Banking Implementation Entity)는 기술사양, 보안, 고객 지침, 적합성 및 인증 등에 관한 API 표준요건을 담은 ‘Open Banking Standard 3.0’을 발표했으며, 이에 따라 은행은 계좌 및 거래 내역, 자금 확인 등 조회형 API와 실행형 API 기준을 준수해야 한다.
현재 영국의 일부 대형 은행에 오픈뱅킹이 도입되더라도 시장 전반에 확산되기까지는 상당한 시간이 필요할 것으로 예상된다. 오픈뱅킹 확산이 더딘 주요 원인은 개인 데이터 보안에 대한 신뢰성이 낮고 은행권의 노후화된 IT 시스템에 기인하는 것으로 분석된다. 그러나 오픈뱅킹에 참여하는 HSBC는 Open Banking API를 공개하고, 오픈뱅킹 애플리케이션(Connected Money)을 통해 타행계정조회, 가처분 소득 조회, 지출 분석 등의 기능을 제공하며, Lloyd Banking Group은 정책 대응을 위해 분석 기능을 강화한 인프라를 마련하고 일부 API를 공개하는 등 기존 데이터 공유가 활성화되지 않은 대형 은행들도 변화에 동참하고 있다. 2019년 3월 기준 영국 오픈뱅킹을 통한 호출 건수는 3,820만 건으로 2018년 말 기준 1,750만 건 대비 약 2배 정도 증가하였다. 2018년 3월말 기준 American Express Payment Services, CitiBank Europe, JP Morgan Chase Bank 등 기존 금융기관 외 Bud, Credit Kudos, DigitalMoney box 등의 핀테크기업 총 78개 기관이 제3자 기관으로 인가 받았다. 또한 ABN AMRO bank, AIB Group 외 Cynergay Bank, Mizuho, Revolut, Sainsbury’s Bank, Starling Bank, The Co-operative Bank, Ulster Bank 등 40 개 기관이 계좌제공업자로 인가 받아 총 118개 기관이 참여하고 있다. 무엇보다 오픈뱅킹 도입을 통해 예〮적금 등 자금 조달의 어려움을 겪고 상대적으로 고객기반이 취약한 Cynergay Bank, Revolut, Sainsbury’s Bank, Starling Bank 등 챌린저뱅크(Challenger Bank)가 계좌제공업자 인가를 받으며 업무 확장을 꾀하고, 관련 핀테크기업을 적극적으로 인수하는 모습을 보이고 있다.
미국
미국은 소비자 금융데이터의 이동권과 자기결정권을 규정하고 있는 가운데, 주요 금융관련 기구에서 은행과 핀테크기업 간의 협력을 강화하고 부정 행위감소를 위한 자발적인 시장 주도형 정보공유의 프레임을 제시하고 있다. 이는 유럽의 PSD2나 CMA 규정과는 달리 의무사항이 아니라는 점에서 차이가 있으며, 금융기관 자체적으로 검증된 제3자의 API 접근을 활용하고 있다. 고객이 금융거래 등 자신의 계좌정보를 활용할 수 있는 권한은 이미 2010년 발표된 도드 프랭크법(Dodd-Frank Act)에서 소비자가 개인의 금융데이터를 사용할 권한을 보장하고, 소비자에게 금융상품이나 서비스를 제공하는 개인 또는 단체는 소비자의 금융상품이나 서비스의 거래, 계좌, 수수료 등의 정보를 전자적 형태로 가공하여 소비자가 활용하도록 제공할 것을 규정하였다. 한편 , 미 국 오픈뱅킹에 대 한 규정은 도입하지 않 고 있으나, 미 국 소비자금융보호국(Consumer Financial Protection Bureau, CFPB)은 2016년 10월 ‘Project Catalyst Report: Promoting Consumer friendly innovation’을 통해 소비자의 금융정보접근권에 정보공유의 개념을 포함하여 제3자의 계좌정보접근을 허용하는 방식을 지지하겠다고 밝힌 바 있다. 이어 CFPB는 2017년 고객 정보를 수집에 있어 개략적인 원칙을 발표하였으며, 2018년 비영리 보안 단체인 금융서비스정보공유분석센터(NACHA)는 100여 개의 금융사와 함께 계좌 정보의 공유, 결제, 사기 방지 등을 위한 표준 API의 정의를 발표하였다.
호주
2018년 2월 호주 재무부는 오픈뱅킹 구현을 위한 권고안으로서 ‘Review into Open Banking in Australia’에 따라 오픈뱅킹을 추진하기로 발표하였다. 오픈뱅킹 권고안은 ① 고객중심주의, ② 시장경쟁유도, ③ 기회창출, ④ 효율성 및 공정성 확보라는 기본 원칙 하에 오픈뱅킹 체제로의 전환을 위한 규제체계 및 운영 방안을 담고 있다. 이에 따라 실질적인 법제화는 호주 경쟁당국(The Australian Competition and Consumer Commission, ACCC) 이 담당하여 소비자정보권의 개념상 대상 섹터를 결정하고 경쟁 및 소비자법(Competition and Consumer Act)이 개정되는 형태로 진행되었다. 다만, 개인정보보호 담당 부처인 OAIC(Office of the Australian Information Commissioner) 및 금융 당국이 지원하며 호주 중앙은행이 자문하게 된다. 연방종합연구소인 Commonwealth Scientific and Industrial Research Organization는 데이터 표준을 정립하고 호주정보위원회(The Australian Intelligence Community, AIC)는 오픈뱅킹이 개인 프라이버시에 미치는 영향을 검토한다.
호주 정부는 소비자정보권을 은행산업에 우선적용하기 위해 오픈뱅킹 정책을 추진하고 있으며 추후 에너지, 통신 분야로도 확대해 나갈 계획이다. 적용 범위는 4대 은행에 우선적으로 오픈뱅킹을 적용하고 이를 확대할 예정이며, 공유하는 데이터의 범위 역시 점진적으로 확대하는 방향이다. 하나 유의할 점은 호주의 경우 금융상품의 범위를 예금상품 및 대출상품 등으로 확대하고 있는 반면, 지급결제 등 실행형 API 공개를 의무화하지 않고 조회형 API만을 공개하도록 의무화하고 있다. 도입시기는 호주 4대 은행의 경우 2019년 7월(12개월의 기한까지) 신용∙직불카드 및 예금∙거래계좌부터 출발하여 2020년 2월까지 주택담보 대출로 확대할 예정이다. 또한 나머지 은행은 12개월 시차를 두고 점진적으로 확대하여 2022년 7월 전 은행권의 전 금융상품에 대한 API를 공개할 계획이다.
싱가포르
싱가포르는 2016년 아시아태평양 지역에서 최초로 오픈뱅킹 지침을 발표하고 개방형 API를 통해 은행 데이터 제공을 위한 계획을 수립하였다. 싱가포르 통화청(Monetary Authority of Singapore, MAS)은 금융기관의 연결성을 강화하고 핀테크 혁신을 촉진할 수 있는 수단으로 금융데이터의 개방을 지속적으로 유도하였다. 이에 금융 API 안내서(API Playbook)를 발표하여 공통 API 보안 표준과 거버넌스 모델에 대한 지침을 수록하였으며, 금융산업 API 등록소(Financial Industry API Register)을 통해 핀테크기업이 개방된 API를 검색하여 활용할 수 있도록 하고 있다. 현재 싱가포르 내 Citi, OCBC, DBS등 은행을 비롯하여 지급결제업체 NETS, 감독당국이 API 등록소에 참여하여 거래내역, 고객정보, 금융상품 등과 관련된 약 313종의 API를 개방하고 있으며 금융소비자에 대한 편익을 창출하고 있다. 특징적으로 은행뿐만 아니라 MAS도 감독과 관련된 API를 개방하여 레그테크(Regtech) 부문의 발전을 도모하고 있다. 참여 은행 중 DBS와 OCBC가 각각 137개, 76개 항목에 대해 API를 개방하고 있다. 특히, DBS는 국가 등록소 외 자체적으로 200개 이상의 API를 개방하여 세계 최대 은행 API 개발 플랫폼을 구축하고, 50개 이상의 협업 성공 모델을 만들었다.
홍콩
2018년 7월 홍콩금융관리국은 은행이 API로 계좌 및 거래정보 등을 제3자에게 제공하도록 하는 ‘Open API Framework’를 마련했다. 홍콩의 오픈 API Framework는 크게 4단계로 나뉘어 도입될 계획이다. 예금, 대출, 기타 은행서비스, 투자, 보험에 적용되며 1단계는 은행상품 및 서비스 정보, 2단계는 고객의 취득 및 신규 신청, 3단계는 계좌 정보, 4단계는 거래처리로 구분하여 단계적인 오픈 API에 대한 접근 방식을 취하고 있다. 금융당국은 Open API Framework를 통해 은행과 핀테크기업 등 제3자가 고객 경험을 개선하는 혁신적이고 통합된 은행 서비스를 개발하도록 유도하고 홍콩 은행업의 경쟁력을 높이는 것이 주요 목표임을 밝히며, 대형 소매은행을 주요 대상으로 도입할 계획이다. PSD2에서 표준 API를 설정하지 않은 것과 달리 홍콩은 표준 API의 공개와 기술적 프로토콜에 대한 사항을 권고하고 있다. 시행 일정은 미정이나, 시행일 기준 각각 6개월과 12개월 후 1단계와 2단계를 시행하고, 3단계 및 4단계의 일정은 감독당국과 은행 간 조율할 예정이다.
일본
일본은 개정 개인정보보호법을 통해 익명가공정보라는 개념을 도입해 데이터 유통의 기본 틀을 구축한 뒤, 2017년 5월 은행법 개정을 시작으로 오픈뱅킹을 본격적으로 추진하고 있다. 2017년 6월 공포된 개정 은행법에서는 은행 등이 2018년 3월까지 API 이용업체 간 제휴 및 협력에 관한 방침을 결정하고 공시해야 한다고 규정하였다. 또한 법 시행 후 2년 내에 은행은 API 구축을 위해 노력해야 한다고 명시하여 EU의 의무 부과 방식과 달리 API의 공개를 위한 노력을 의무화한다는 차이가 있다. 더불어 일본 은행은 고객보호를 위해 은행과 API 이용업체 간 은행법이 정한 내용(배상의 책임, 개인정보 취급 등)을 약정해야 한다. 일본 당국은 2020년까지 110개 은행이 API 공개를 완료할 것으로 예상하고 있다.
국내
한국에서도 글로벌 핀테크 트렌드에 맞춰 오픈뱅킹 도입 및 확대 움직임이 지속적으로 보이고 있다. 국내에서는 이미 2016년부터 금융권 공동 오픈플랫폼을 구축하여 서비스를 운영 중이다. 이어 고객 정보의 공유를 포함하여 보다 적극적인 핀테크기업 육성을 위하여 금융결제망의 혁신적 개방까지 계획하고 있다. 해외 금융권의 경우 보다 적극적이고 전면적인 API 개방정책을 실시하고 있다.
- 2016년 세계 최초로 은행권·증권사 공동 오픈플랫폼 구축
- 전세계적으로 IT와 금융의 융합(핀테크) 트렌드가 확산되어 소비자 경험, 금융산업의 거래 방식과 경쟁구도가 변모된 점을 고려하여 국내에서도 금융거래 및 규제 환경의 종합적 개선을 통해 글로벌 경쟁력을 갖춘 혁신적 핀테크 산업을 육성하는 기조로 입법화가 추진되고 있다. 금융위원회는 2015년 1월 27일 ‘IT∙금융 융합 지원방안‘을 발표한 이후 공인인증서 사용의무 폐지(2015년 3월), 실물카드 없는 모바일카드 단독 발급 허용(2015년 4월), 다양한 비대면확인 방식 국내 허용(2015년 5월), 신규 전자금융업무에 대한 보안성심의 제도 폐지(2015년 6월) 등 다양한 제도를 개선하였다.
- 하지만 여전히 많은 핀테크기업들이 기존 금융기관에 의존하여 사업을 펼쳐야 하는 상황이다. 이에 금융결제원과 16개 은행 및 18개 증권사는 실무협의회를 거쳐 금융회사 내부의 금융 서비스를 표준화된 API 형태로 제공하는 오픈 API와, 개발된 핀테크 서비스가 금융전산망에서 작동하는지 시험해볼 수 있는 인프라인 테스트베드(Test-bed)를 더한 금융권 공동 핀테크 오픈플랫폼 구축을 추진하여 2016년 8월 30일 개통하였다.
- 은행권 공동 오픈플랫폼의 구성 주체는 은행, 오픈플랫폼센터, 이용기관, 일반고객이다. 은행은 오픈플랫폼에 참여하여 자금이체, 조회 등의 서비스를 제공하며, 오픈플랫폼센터(금융결제원)는 은행권 공동으로 오픈플랫폼 시스템을 구축하고 운영한다. 금융결제원과 오픈플랫폼 이용 계약을 체결하고 이용 승인을 받은 핀테크기업은 오픈 API를 통해 기존 은행의 다양한 데이터에 접근할 수 있다. 아울러 일반고객은 오픈플랫폼 서비스 이용 신청을 통해 이용기관이 오픈플랫폼을 기반으로 제공하는 서비스를 사용할 수 있다.
- 현재 KDB산업은행, NH농협은행, 신한은행 등 16개 은행이 참가하고 있으며, 조회형 API 4종과 실행형 API 2종 등을 제공하고 있다. 은행권 공동 오픈플랫폼을 이용하기 위 한 핀테크기업은 「 중소기업기본법 」 상 중소기업이어야 하며, 금융위원회 핀테크 산업 분류업종 업체, 전자금융업자, 전자금융보조업자, 기타 핀테크지원센터 인정 업체여야 한다. 이와 같은 조건을 만족하는 핀테크기업은 오픈 API와 테스트베드를 활용하여 다양한 핀테크 서비스를 출시하고 있다.
- 오픈뱅킹 법제화와 중장기적 핀테크기업에 금융결제망 직접 개방을 추진
- 금융결제원 주도로 은행권 공동 오픈플랫폼이 2016년부터 운영 중이지만, 이 용 기관이 중소기업에 해당하는 핀테크기업으로 규정되어 인터넷전문은행이 제외되어 있는 등 플랫폼 참여 기관이 한정되어 있다. 뿐만 아니라 이체 API의 경우 이용료가 건당 400~500원으로 높은 수준이고, 개별 은행에 따라 오픈 API 제공 여부와 그 범위가 상이하다는 문제가 지적되어 금융위원회는 금융권의 지급결제망 API를 확대∙개편하기로 했다.
- 오픈뱅킹 구축은 2019년 2월 25일 금융위원회가 발표한 ‘금융결제 인프라 혁신 방안’의 3대 추진전략 및 9대 추진과제 중 금융결제 시스템 혁신적 개방 전략에 속한 추진과제이다. 금융위원회는 다양한 결제 서비스가 공정하게 경쟁할 수 있는 생태계를 조성하기 위해 핀테크기업에 금융결제망을 단계적으로 개방하고 이용 비용을 합리화하는 등 금융결제 인프라를 폐쇄형에서 개방형으로 개편하겠다고 동 추진전략의 목적을 밝혔다.
- 금융위원회는 2019년부터 금융결제망을 (1) 공동 결제시스템(오픈뱅킹) 구축, (2) 오픈뱅킹 법제도화, (3) 핀테크기업에 금융결제망 직접 개방 등 3단계로 나누어 개방하고자 한다. 1단계는 모든 핀테크 결제사업자가 합리적 비용으로 편리하게 은행결제망을 이용할 수 있도록 공동 오픈 API를 전면 개편하고 금융결제원 규약을 개정하여 오픈뱅킹을 구축하는 단계이다. 국내 모든 시중은행의 계좌조회 및 이체 관련 API를 오픈플랫폼으로 일원화하여 상호간 정보를 공유할 수 있다.
- 2019년 4월 현재 9차례의 참여기관 실무협의회 회의를 거쳐 16개 은행을 비롯하여 인터넷전문은행인 케이뱅크와 카카오뱅크, 그리고 모든 핀테크 결제사업자가 전산테스트를 거쳐 2019년 9월부터 참가할 예정이다. 무엇보다 기 존 핀테크기업은 종전 펌뱅킹 수수료대비 90% 이상 낮은 기본 비용(40~50원)을 적용 받고 영세 스타트업에는 수수료를 추가 할인(약 20~30원대의 비용으로 확정)하여 기존 대비 낮은 비용으로 은행 결제망을 이용할 수 있다.
- 또한 오픈뱅킹을 운영하는 기관인 금융결제원은 오픈뱅킹 이용 확대에 따른 전산시스템을 증설하기로 했으며, 정부는 금융결제원 외 추가 운영기관과 24시간 실시간 장애대응 체계도 검토할 계획이다. 이슈가 되었던 부당인출 등 보안사고 방지를 위한 충당금과 관련하여 현행 하루 거래량의 300%까지 의무화된 보증은 중소형 사업자의 경우 현행 보증제도를 유지한다. 다만, 대형 사업자는 출금은행이 여러 리스크를 고려하여 보증금액에 대해 자율적으로 합의하는 형태를 적용하기로 하였다.
- 2019년 내 오픈뱅킹 구축을 완료한 이후 2단계로는 오픈뱅킹 관련 법제도화를 추진할 예정이다. 오픈뱅킹은 명확한 법적 근거가 없어 은행권의 참여, 이용료 책정 등에 있어 제도의 안정성과 항구성을 보장하기 어렵다는 한계가 있다. 이에 따라 전자금융거래법 개정 등을 통해 차별 없이 은행결제망을 이용할 수 있도록 명확한 법적 근거를 마련할 계획이다. 예를 들어, 모든 은행이 결제사업자에게 자금이체 기능을 표준화하여 제공하도록 의무 규정을 마련하고 결제사업자에 대해 이체처리 순서, 처리 시간, 비용 등에서의 차별행위를 금지하는 것 등이다. 이미 EU에서 PSD2 도입(2018년 1월)을 통해 은행 API를 핀테크기업에 수수료 등 차별 없이 제공하도록 한 바 있다.
- 중∙장기적으로는 핀테크 결제사업자가 금융소비자에게 결제서비스를 제공하기 위해 은행에 의존이 불가피한 상황을 개선하고자 3단계에서는 핀테크기업에 금융결제망을 직접 개방하여 독자적인 금융서비스를 허용하도록 할 방침이다. 충분한 건전성 및 전산 역량을 보유하는 등 일정한 자격을 갖춘 핀테크 결제사업자에 대하여 ‘종합지급결제업’ 등을 도입하여 지급결제 계좌 발급∙관리 업무를 허용할 방침이다. 이를 위해서는 독자적인 자금이체가 가능하도록 한국은행규정을 개정하는 작업 역시 병행될 예정이다.
활용 사례
국내은행
- 은행권 공동
- 2016년 출시된 은행권 공동 오픈뱅킹과 더불어 국내 은행들은 자체 오픈 API 구축을 추진하고 있다. 금융위원회는 2015년 7월 15일 참가은행과 핀테크기업이 서비스 개발 과정에서 서로 소통할 수 있는 통로인 「금융권 공동 핀테크 오픈 플랫폼 구축방안」을 발표했다. 오픈플랫폼은 표준화된 형태로 제공되는 오픈 API(5개의 서비스 API와 인증/관리 API로 구성)와 테스트베드로 구성된다. 사용자는 SMS, ARS 등을 통한 본인확인 후 오픈플랫폼 서비스를 이용할 수 있다. 이용기관은 오픈 API를 통해 서비스를 제공하려는 핀테크기업이며 개발자사이트 간편가입 후 사전테스트가 가능하다.
- NH농협은행
- NH농협은행은 2015년 4월 ‘NH 핀테크 오픈 플랫폼’ 도입을 발표, 12월 금융권 최초로 구축하고 2016년 4월 오픈 API를 출시했다. 2018년 5월 기준 NH농협은행은 금융 API 89개, 서비스관리 API 36개 등 총 125개의 서비스를 제공하고 40여개 핀테크 스타트업과 협업 중이다. 오픈 API 서비스 예시로, 가상계좌 API는 기업의 목적에 따라 고객별로 가상계좌를 부여하여 개별 고객의 입금 내역 정보를 실시간으로 관리하는 것이다. 또 다른 서비스는 신용카드 결제 API이다. 이는 VAN사 없는 신용카드 온랑니 승인/결제 API로 가맹점에 신용카드 온라인 결제를 직접 제공한다.
- 신한금융그룹
- 신한금융그룹은 2018년 초 오픈플랫폼 구축에 착수해 ‘오픈 API 표준 플랫폼 구축 컨설팅’ 입찰을 통해 사업자를 선정하고 관련 컨설팅에 돌입하여, 2018년 7월 신한금융그룹 오픈 API 마켓을 개방했다. 오픈 플랫폼의 초기 단계로 현재 총 16개 API(환전, 크라우드펀딩, 계좌, 보험, 대출, 리포트, 분석정보, 빅데이터, 조회정보, 시스템 제작 등)를 제공하고 있다.
- KEB하나은행
- KEB하나은행은 2018년 2월 오픈 플랫폼을 구축했다. 오픈 플랫폼을 통해 60여개 API를 공개하고 서비스 패키지를 제공 중이다. 10여개 제휴업체와 연계, 비즈니스 발굴을 위한 협의 중이며 서비스 영역을 확대하여 핀테크와의 협업 비즈니스를 지속적으로 늘려갈 계획이다. API 활용 사레로 KEB하나은행은 차이나페이에 API를 제공하여 보다 편리한 위안화 납부서비스를 개발했다. 이는 중국인 유학생이 중국 현지에서 등록금 납부가 가능하도록 하는 서비스를 보다 용이하게 하였다. 기존에는 중국에서 위안화를 달러로 환전하여 한국으로 송금하면 한국에서 달러를 다시 원화로 재환전하여 등록금을 납부해야 했다.
- IBK 기업은행
- IBK 기업은행은 2018년 5월 중소기업 경영지원 플랫폼인 ‘IBK박스(BOX)’ 구축에 착수했다. IBK 박스는 클라우드 기반의 시스템으로, 중소기업의 애로사항 해결을 위한 디지털 솔루션 제공을 목적으로 하며 API, 블록체인 등의 기술을 접목, 외부사업자가 쉽게 플랫폼을 사용할 수 있도록 구현할 계획이다. IBK 박스는 ‘개별박스’와 ‘금융 API 게이트웨이’ 등으로 구성된다. 개발자들에게 제공되는 API에는 계좌내역, 잔액조회, 간편이체 등의 기능을 탑재할 에정이다. 고객은 대출, 정책자금, 판로개척, 온라인 셀러, 세금계산 등의 박스를 구매하여 솔루션별 정보를 제공받을 수 있다.
해외은행
- 빌바오 비스카야 아르헨타리아 은행(BBVA)
- 빌바오 비스카야 아르헨타리아 은행은 개발자, 제휴사와 1년여의 준비기간을 거쳐 2017년 5월 API 마켓을 시장에 공개, 8종(사용자정보, 계좌, 카드, 지급, 대출, 알림 등)의 API를 출시했다. 빌바오 비스카야 아르헨타리아 은행 API 마켓은 현재 스페인, 미국, 멕시코 3개국에 서비스 중이며 실제 데이터에 대한 접근권한 수준에 따라 테스트 버전과 풀 버전 두 가지를 제공하고 있다. 특징적인 것은 API 이용자는 고객의 사회·경제 관련 정보(예상 가구 소득, 대출 한계 등)를 제공받아 맞춤형 서비스 개발이 가능하다는 것이다.
- 빌바오 비스카야 아르헨타리아 은행 카드와 빌바오 비스카야 아르헨타리아 은행 포스 단말기 거래내역으로 익명 수집된 통계데이터와 이를 토대로 소비 패턴, 인구 통계 등을 분석하여 가상지도를 제공하고 있다. 2017년 6월부터 빌바오 비스카야 아르헨타리아 은행는 알리페이의 자회사인 앤트파이낸셜(Ant Financial)과 제휴를 맺어 중국관광객이 스페인 내에서 알리페이를 자유롭게 사용할 수 있도록 서비스를 제공하고 있다.
- 피도르은행(Fidor Bank)
- 피도르은행은 2009년 독일에서 설립된 인터넷전문은행으로 고객이 참여하여 빠른 은행업무 및 지급서비스가 이뤄질 수 있는 자체플랫폼 피도르OS(Fidor OS)를 설계하고 전체 프로세스를 통합·제어할 수 있는 시스템을 구축했다.
- 씨티그룹(Citigroup)
- 씨티그룹은 2016년 11월 시티 개발자 포털(Citi developer portal)을 개설하여 계좌관리, 지급, 송금, 인증 등의 기능을 제공하고 있으며, 금융 및 핀테크사와 제휴해왔다. 씨티API는 샌드박스 및 테스트용 데이터가 제공되며 실제 서비스 출시를 원하는 이용자는 테스트 완료 후에 시티에 서비스제휴 제안이 가능하다.
- 씨티그룹은 호주 항공사인 콴타스 에어라인(Qantas Airline)과 제휴하여 신용카드를 출시하고, 계좌, 카드, 인증, 이체 등 70여개 API를 활용한 콴타스머니 애플리케이션을 제공하고 있다. 회게, 자산관리 등 금융전문 소프트웨어 개발사인 인튜이트(Intuit)는 고객에게 금융관련 데이터 제공방식을 개선하기 위해 씨티뱅크의 인증 API, 계좌조회 API를 활용하고 있다. 그 밖에 홍콩 시티은행은 2018년 5월 홍콩의 6개 기업과 제휴를 맺어 API를 통해 서비스를 제공할 것을 발표했다.
- 예스은행(Yes Bank)
- 2004년 설립된 인도의 예스은행은 은행의 역할을 고객의 금융관련 니즈를 충족하는 전략적 지원자로 설정하고, 금융서비스에 새로운 기술의 접목을 시도해왔다. 특히 인도계 은행 최초로 은행시스템과 고객사의 ERP시스템을 직접 연결하여 금융서비스를 제공하고 있다. 한편 2017년 1월에는 핀테크 엑셀러레이터인 예스핀테크(Yes Fintech)를 설치하여 핀테크사를 대상으로 혁신 금융서비스를 모집하였고, 우수기업을 지원하고 있다.
- 예스은행은 온라인 여행사 아크바(Akbar)의 ERP와 연계하여 거래내역 추적, 자동인증 등의 기능을 제공하고 있다. 대형금융사의 담보대출서비스에 예스은행 API를 접목하여 결제, 승인, 알림 등의 기능을 개발했으며, 대출금 지급 서비스도 개선하였다. 온라인쇼핑몰의 느린 환불 처리과정을 해결하기 위해 환불계정과 환불신청프로세스를 연결하고, API 호출을 통해 환불 신청 및 승인, 실시간으로 지급 처리하기도 한다.
- 미즈호은행(Mizuho Bank)
- 일본의 대형 금융사인 미즈호그룹(Mizuho Financial Group)은 디지털 환경 변화에 대응하기 위해 디지털 전환을 추진하고 있다. 미즈호 은행은 고객중심주의를 바탕으로 핀테크와 공동으로 서비스를 제공하는 모델을 추구한다. 2017년 6월 IBM API와 연계하여 IBM 클라우드 및 데이터파워게이트웨이(data power gateway)를 활용한 사물인터넷 결제 서비스 계획을 발표하였다.
평가
국내외 사례를 통해 보면, 은행에서 API를 구현하는 유형으로는 크게 내부연계형과 외부연계형으로 구분할 수 있다. 내부연계형의 경우 국내에서는 시한금융그룹의 ‘신나는 한판’, KB금융그룹의 ‘리브(Live)’ 등 관계회사 금융서비스를 그룹 통합 모바일 플랫폼에서 제공하기 위해 API를 활용하는 사례를 들 수 있다. 한편 최근 외부파트너와의 협력을 위한 생태계의 일부로서 외부연계형 API를 사용하는 케이스가 늘어나고 있다. 그러나 불특정 다수를 대상으로 앱 개발 플랫폼을 전면 개방하는 퍼블릭 API 모델은 국내 은행권에는 아직 없는 것으로 판단된다.
이에 따라 향후 국내은행은 오픈뱅킹 관련 전략을 수립·집행함에 있어 몇가지 점들을 고려하여 추진할 필요가 있다. 첫째, 국내에 마이데이터산업 도입 시 고객정보 제공을 위한 API의 구축이 요망되므로, 이와 관련된 API를 우선적으로 구축해야 할 것이다. 둘째, 이러한 규제적 동기 이외에도 자체 혁신을 위해서도 오픈뱅킹 활용은 유용하므로, 차제에 각행은 오픈 플랫폼 구축을 위한 장단기 로드맵을 수립할 필요가 있다. 셋째, API 개방을 확대해나감에 따라 예상되는 내부적 부작용을 최소화할 수 있도록 방안을 미리 마련할 필요가 있다. 넷째, 오픈뱅킹 전략의 성공은 결국 비즈니스 모델에 의해 판가름 나기 때문에 참신한 아이디어들이 지속적으로 제시될 수 있는 호나경을 조성하는 것이 중요하다. 마지막으로 외부에서 API를 활용하는 데 제약이 없도록 감독 당국과의 협의를 통해 규제 측면의 불확실성을 사전에 제거해 나가야 한다.
요컨데, 국내외 규제환경 변화 등을 감안할 때, 국내 은행사업이 오픈 이노베이션 환경 변화에 적절히 대응하지 못한다면 고객과의 접점을 잃고 계좌관리나 금융상품 제조자의 역할에 머물 수 밖에 없을 것이다. 따라서 국내은행은 오픈뱅킹 등 인프라 투자와 이를 적극 활용할 수 있는 인적 투자를 통해 외부의 혁신 모멘텀을 지속적으로 흡수할 수 있도록 해야 할 것이다.
각주
참고자료
같이 보기