2025년 오픈 파이낸스 확보: 금융 기관을 위한 필수 인사이트

API는 오픈 금융의 핵심입니다. 이를 통해 은행, 핀테크 기업, 타사 앱 간의 금융 데이터 공유가 용이해져 소비자가 혁신적인 서비스에 쉽게 접근할 수 있습니다. 하지만 API는 민감한 시스템의 "정문" 역할을 하기 때문에 공격자의 주요 타깃이 되기도 합니다.

주요 위협:

• API가 제대로 보호되지 않으면 공격자가 민감한 데이터를 가로채거나 훔칠 수 있습니다.
• 주입 공격, 손상된 객체 수준 권한 부여(BOLA) 또는 부적절한 인증과 같은 악용 사례로 인해 권한이 없는 당사자가 고객 계정이나 금융 시스템에 액세스할 수 있습니다.

JPMorganChase 웹사이트에 게시된 최근 기술 블로그의 제목은 '제3자 공급업체에게 보내는 공개 서한' 인데, 이 회사의 CISO는 "우리는 중대한 시점에 서 있습니다. 공급업체는 보안의 우선순위를 긴급히 재조정하여 신제품 출시와 동등하거나 그 이상으로 높여야 합니다." CISO가 말하는 이러한 제3자 공급자(TPP) 네트워크가 바로 오픈 파이낸스가 의존하는 것입니다. TPP와 금융 기관 간의 이러한 협업과 파트너십은 혁신을 촉진하지만, 동시에 공격자에게 추가적인 진입점을 만들어냅니다. 아무리 작은 것이라도 단일 파트너 시스템의 보안 취약점이 전체 생태계를 손상시킬 수 있습니다.

많은 금융 기관은 이제 자사 웹사이트에 소비자에게 TPP(예: 애그리게이터)와 관련하여 잠재적인 위험이 있으므로 주의하라는 경고 문구를 포함하고 있습니다. 이러한 경고는 소비자에게 자격 증명 공유가 계약 조건에 위배된다는 점과 금융 기관은 자격 증명 공유로 인해 발생하는 모든 피해에 대해 책임을 지지 않는다는 점을 상기시킵니다.

주요 위협:

• 적절한 심사를 거치지 않았거나 규정 준수 기준을 충족하지 못하는 공급업체는 시스템 내에서 사용자를 악용할 수 있는 취약점을 초래할 수 있습니다.
• 타사 개발자에게 과도하게 허가된 액세스 권한을 부여하면 민감한 재무 데이터나 기능이 노출될 수 있습니다.

금융 거래 내역, 계좌 잔액 등 민감한 소비자 정보를 여러 플랫폼에서 공유하는 것은 개방형 금융의 기본 요건입니다. 이러한 데이터 공유는 새로운 서비스의 기반이 되지만, 침해 및 오용과 같은 위협에 대한 노출도 증가시킵니다. 또한 소비자는 더 높은 수준의 데이터 개인정보 보호와 유럽연합의 일반 데이터 보호 규정(GDPR), 지불 서비스 지침 2(PSD2), 금융 데이터 교환(FDX) 과 같은 강력한 개방형 금융 관련 API 표준 등의 규정 준수를 기대합니다.

주요 위협:

• 암호화가 부족하거나 공유 관행이 부적절하여 데이터 침해가 발생합니다.
• 소비자 개인정보 보호에 실패하면 법적 피해와 명예 훼손이 발생합니다.

API는 오픈 파이낸스의 핵심이므로 이를 보호하는 것이 최우선 과제가 되어야 합니다. API 보안은 금융 서비스 기관, 제3자 및 최종 사용자 간의 연결 무결성을 보장합니다.

API 보안을 강화하기 위한 실행 가능한 단계는 다음과 같습니다.

• 엄격한 인증 정책: OAuth2.0, 상호 TLS 또는 기타 강력한 프로토콜과 같은 개방형 인증을 위한 산업 표준을 사용하여 API 사용자를 인증하고 무단 액세스를 방지합니다.
• 실시간 모니터링: 불규칙한 API 활동이나 잠재적인 남용이 확산되기 전에 이를 식별하는 솔루션을 활용하세요. 코드 기반 및 트래픽 기반 검색 및 검사, 외부 공격 표면 평가(도메인 스캐닝)를 포함하는 솔루션을 고려하세요.
• 거버넌스 간소화: 새로 발견한 API를 인벤토리에 쉽게 추가하는 등 API 인벤토리 관리에 도움이 되는 솔루션을 활용하세요. 또한 API 규정 준수 분석을 통합하고 자동 알림을 통해 규정 준수 태세 변화를 보다 효과적으로 추적합니다.
• 암호화 표준: 모든 API 트래픽은 TLS 1.3과 같은 프로토콜을 사용하여 암호화되어야 하며, 이를 통해 전송 중 데이터가 안전하게 보호되어야 합니다.
• 정기 테스트: API 아키텍처의 취약성을 식별하고 수정하기 위해 정기적인 침투 테스트를 수행합니다. 런타임 전에 API 테스트를 제공하는 솔루션을 고려하세요.

통찰력: API는 오픈 금융의 혁신을 촉진할 수 있지만, 동시에 가장 큰 활용 기회를 제공합니다. API를 중요한 디지털 제품과 마찬가지로 취급하세요. 지속적으로 모니터링하고, 보호하고, 최적화하세요. WAF, API 보호 규칙, 속도 제한, 데이터 보호 등 포괄적인 런타임 보호 기능을 통합한 솔루션을 고려하세요.

오픈 파이낸스의 제3자적 특성으로 인해 금융 기관은 자사의 시스템 및 데이터와 상호 작용하는 공급업체 및 개발자와 협력해야 합니다. 이러한 파트너십의 보안을 보장하는 것은 전반적인 위험을 줄이는 데 필수적입니다.

제3자 관계를 보호하기 위한 실행 가능한 단계는 다음과 같습니다.

• 엄격한 심사: FinTech 파트너나 제3자 공급업체를 온보딩하기 전에 포괄적인 실사를 수행합니다. 보안 프로토콜, 규정 준수 내역, 기술 인증을 평가합니다.
• 실시간 모니터링: API 생태계 내에서 타사 활동을 모니터링하고 승인되지 않은 작업이나 비정상적인 동작을 표시하는 도구를 채택하세요.
• 세분화된 액세스 제어: 제3자의 권한을 해당 기능에 필요한 "최소한의 필요" 데이터 및 접근 수준으로 제한하여 과도한 허가로 인한 위험을 줄입니다.
• 계약 보안 조항: 정기적인 감사, 위반에 대한 책임, 보안 기준 준수 등을 요구하는 명확한 계약적 합의를 통해 파트너십을 강화하세요.

통찰력: 오픈 금융 생태계의 보안은 가장 약한 부분, 즉 많은 경우 제3자 파트너의 보안 수준에 따라 결정됩니다. 모든 공급업체 관계에 "신뢰하지만 검증한다"는 프레임워크를 적용합니다.