타사 API를 활용하면 고객과 금융 기관의 상호작용 방식이 혁신되고 있습니다.
하지만 생성된 API 호출의 양이 엄청나게 많으면 보안 문제가 발생할 수 있으며, 기존 환경에서는 비용이 증가할 수도 있습니다. 게다가 전자 지불 서비스에 대한 유럽 PSD2(지불 서비스 지침 2) 지침과 같은 엄격한 규정을 준수하는 일은 날이 갈수록 더욱 어려워지고 있습니다.
글로벌 오픈 뱅킹 성장 기회 수용
오픈 뱅킹은 API 혁신의 기회가 될 것입니다. 성공을 위한 8가지 필수 조건을 알아보세요.
높은 보안 효율성이 갖춰지지 않고서는 오픈 뱅킹을 할 수 없다는 것은 의심의 여지가 없지만, 많은 은행과 금융 서비스 기관에서는 현재 보안 솔루션이 오픈 뱅킹과 관련된 증가하는 위험에 대비되었는지 궁금해하고 있습니다. 이러한 우려는 2020년 BFSI 회사 임원을 대상으로 실시한 설문 조사에서 강조되었습니다. API와 통합하기 전에 고려해야 할 가장 중요한 네 가지 요소를 순위를 매겨달라는 질문에 보안(71.0%)이 최상위에 올랐습니다.2
API 공격의 증가와 오픈 뱅킹 보안에 미치는 영향
금융 서비스 데이터는 사이버 공격자가 가장 원하는 데이터 유형 중 하나입니다. 가트너는 2022년까지 API 남용이 기업 웹 애플리케이션에 대한 가장 빈번한 공격 벡터가 될 것이며, 이로 인해 데이터 침해가 발생할 것으로 예측했습니다. 그렇기 때문에 혁신을 저해하지 않으면서도 API를 보호하고 애플리케이션과 그 안의 데이터를 보호하는 것이 그 어느 때보다 중요합니다.
API를 적절하게 보호하려면 어떻게 해야 하나요?
F5 연구소에서 실시한 연구에 따르면 API는 사이버 공격에 매우 취약한 것으로 나타났습니다. OWASP는 API에 대한 상위 10개 취약점 목록도 가지고 있는데, 그 이유는 "안전한 API가 없다면 빠른 혁신은 불가능할 것"이라고 말하기 때문입니다. 가장 흔한 문제는 API 엔드포인트 앞에서 인증이 전혀 이루어지지 않는 것이고, 그 다음으로는 인증 및 권한 부여가 손상된 것입니다.
O’Reilly Media 웹 애플리케이션 보안 전자책
F5에서 무료로 제공되는 이 O'Reilly Media 전자책에는 데이터 침해로부터 회사를 수백만 달러 절약할 수 있는 실용적인 보안 팁과 개발 및 보안 팀이 바로 사용할 수 있는 조언이 담겨 있습니다.
보안에 기반한 오픈 뱅킹 규제 과제
미국은 아직 오픈 뱅킹 분야에서 규제 개입을 경험하지 못했지만, 세계 다른 지역에서는 이미 이러한 이니셔티브를 시행했습니다. 유럽에서 EU는 제2차 지불 서비스 지침(PSD2)을 제정했는데, 이 지침에 따라 은행은 고객의 동의를 얻어 제3자 공급자에게 빠르고 안전하며 신뢰할 수 있는 방식으로 데이터를 제공하는 메커니즘(대부분 API)을 생성해야 합니다. 영국, 캐나다, 홍콩, 일본, 멕시코, 호주 등 다른 국가들도 오픈 뱅킹 표준을 추진하고 있습니다. 규제 준수를 위해서는 규정 준수 위험을 완화하기 위한 투자가 필요하며, 이는 비용이 많이 드는 벌금으로 이어질 수 있습니다.
Twimbit의 오픈 뱅킹 성숙도 매트릭스는 규제 이니셔티브와 시장 이니셔티브라는 두 가지 뚜렷한 기준에 따라 22개 주요 국가의 상대적 위치를 매핑합니다.
Twimbit의 글로벌 오픈 뱅킹 인포그래픽 시리즈
Twimbit은 F5의 도움을 받아 오픈 뱅킹의 세계를 살펴보았습니다. 오픈 뱅킹의 작동 방식, 이용 가능한 기회, 글로벌 주요 참여자, 규제상의 과제 등에 대해 알아보았습니다.
오픈 뱅킹에 스트레스를 가하는 기타 공격 벡터 - OFX 및 스크린 스크래핑
표준 API는 오픈 뱅킹에서 긴급한 주의가 필요한 유일한 위협 표면이 아닙니다. 전통적으로 소비자 데이터에 대한 액세스가 필요한 제3자 및 금융 집계자는 두 가지 메커니즘을 활용했습니다.
- OFX(Open Financial eXchange)는 원래 소비자 금융 애플리케이션(예: MS Money, Intuit QuickBooks)을 사용자의 금융 기관에 연결하기 위해 구축되었습니다.
- 스크린 스크래핑은 소비자가 제3자에게 은행 자격 증명을 제공하고, 제3자가 금융 서비스 웹 채널에 로그인하여 해당 정보를 스크래핑하는 방식입니다.
OFX는 적대 세력이 대규모 신임장 정보 입력/계정 검증 및 인수를 수행하는 채널로 활용될 수 있으며, 이는 직접적으로 또는 금융 집계자를 통해 이루어질 수 있습니다.
금융 서비스 기관은 비밀번호 로그인 보안 사고 비중이 46%로 가장 높았습니다. 이를 분류하면, 5%는 모바일 앱용 API를 대상으로 보고되었고 , 4%는 OFX(Open Financial Exchange) 인터페이스를 대상으로 보고되었습니다 .3
핀테크 데이터 수집기관은 금융 서비스의 새롭고 흥미로운 전선에 참여하고 있습니다. 이는 소비자에게 전반적으로 더 나은 경험을 제공하고 기존 기업과 FinTech 기업 모두의 시너지 효과를 통해 가치 제안을 강화합니다.
하지만 FinServ에서 API 사용이 증가함에 따라 보안 취약점이 발생할 수도 있고, 이는 애플리케이션 성능에 부정적인 영향을 미칠 수 있습니다.
화면 스크래핑을 위해 제3자에게 자격 증명을 제공하면 해당 자격 증명이 제3자의 보안 태세에 노출됩니다. 이러한 메커니즘은 소비자에게 세부적인 동의와 제3자가 액세스할 수 있는 정보에 대한 통제권을 제공하지 않아 수십억 건의 거래가 위험에 처해 있으며 엄청난 비용이 드는 보안 침해로 이어질 가능성이 커집니다.
오픈 뱅킹에서 데이터를 보호하기 위한 FDX API 보안
2022년 FinTech 데이터 수집기가 금융 서비스에 영향을 미치는 주요 방법
이 전자책에서는 FinTech 데이터 수집자가 금융 서비스에 제공하는 가치가 점차 높아지는 현상과 이로 인해 발생하는 과제를 완화하는 방법을 살펴봅니다.
개방형 API를 통해 은행은 핀테크 기업 과 협력하여 새롭고 더 나은 디지털 경험을 구축할 수 있습니다.
이런 관행은 보안 문제를 발생시킵니다. 이 라이트보드 레슨에서는 올바른 솔루션이 오픈 뱅킹 이니셔티브에 보안과 효율성을 제공하는 방법을 알아봅니다.
비디오를 보세요
오픈뱅킹과 API 보안에 대한 설명
믿을 수 있는 최고의 오픈 뱅킹 보안 솔루션
API 게이트웨이 보안 자체만으로는 노출된 API에 대한 보안이 크게 부족합니다. 고성능 API 게이트웨이를 포함하는 F5의 전체적인 API 중심 보안 솔루션은 API 게이트웨이만으로는 제공할 수 없는 API 보안 효율성을 제공합니다. OpenAPI/Swagger 파일 수집을 지원하여 가장 정확한 API 보안 제어를 가능하게 하는 당사의 WAF 솔루션이 그 예입니다. 또한 F5 보안 솔루션은 EU의 PSD2에 따른 규정 준수 요건인 타사 공급자 트래픽을 인증하고, API 사기와 남용, OFX 및 스크린 스크래핑과 관련된 기타 불법적인 봇 트래픽을 완화합니다.
F5 오픈 뱅킹 보안의 독특함은 무엇입니까?
인프라에 상관없이 오픈뱅킹 보안을 최우선으로
F5의 오픈 뱅킹 보안 솔루션은 아키텍처 선호도에 관계없이 API와 이를 호스팅하는 데 사용되는 인프라를 효과적으로 보호할 수 있습니다. 클라우드 호스팅이든 온프레미스 인프라이든 어떤 단일 환경의 제약에도 얽매이지 않습니다. 당사의 오픈 뱅킹 솔루션은 미래로 확장 가능하며, 모든 금융 요구 사항에 대해 안전하고 확장 가능한 API 서비스를 지원합니다.
오픈 뱅킹 방식은 안전한 환경에서 고객 가치를 더합니다.
아프리카은행은 계좌 소유자들에게 새로운 기회를 창출할 방법을 모색 하던 중 오픈 뱅킹을 고려했지만 보안과 항상 사용 가능한 인터페이스 제공 측면에서 문제에 직면했습니다. 마이크로서비스 유형 아키텍처를 구축하는 데 중점을 두어 고객이 원하는 것을 가장 잘 제공할 수 있었습니다. API 기반의 오픈 뱅킹 접근 방식으로 고객에게 추가 수익과 부가가치를 제공했습니다.
더 자세히 알아보세요
아프리카은행 고객사례
조직은 F5를 통해 오픈 뱅킹 규제 과제를 해결합니다.
유럽의 많은 기관과 마찬가지로 그리스의 한 기관도 새로운 PSD2 요구 사항에 직면했고, 이를 준수하지 않는 것으로 밝혀지면 엄청난 벌금을 물어야 했습니다. 그들은 해결책을 찾기 위해 F5에 의지했습니다. F5 BIG-IP APM(액세스 정책 관리자)을 사용하면 조직에서 OpenBank API에 액세스하기 전에 TPP(타사 공급자)를 인증하고 앱을 변경하지 않고도 추가 처리를 위해 QWAC(자격을 갖춘 웹사이트 인증 인증서)를 앱으로 전달할 수 있습니다.
F5의 APM 솔루션을 활용한 Pylones Hellas가 새로운 PSD2 지침에 대응합니다.
어떻게 작동하는지 보고 싶으신가요?
NGINX App Protect가 오픈 뱅킹 API를 보호하고 L7DoS 공격을 방지하는 데 어떻게 사용되는지 알아보세요.
[1] Allied Market Research, “ 글로벌 오픈 뱅킹 시장, 2026년까지 43,152백만 달러에 도달할 것으로 예상 ”
[2] Postman, “ 2020 API 보고서 현황 ”
[3] F5 Labs, “ 2021 애플리케이션 보호 보고서: 대속과 구원에 관하여
무료로 체험해보세요
데이터 센터, 클라우드 및 아키텍처 전반에 걸쳐 시장을 선도하는 보안으로 애플리케이션과 API를 어디에서 실행하든 보호하세요. 무료 체험판을 시작하는 방법에 대해 자세히 알아보려면 저희에게 문의하세요.
감사합니다
귀하의 요청이 접수되었습니다. 곧 연락드리겠습니다.
오픈뱅킹
오픈 뱅킹은 전 세계 사람들이 은행과 상호작용하는 방식에 혁명을 일으키고 있습니다. 하지만 이로 인해 금융 서비스가 새로운 보안 위협과 성능 문제에 직면하게 됩니다.
GRC 및 사기 관리
신뢰받는 온라인 존재가 되려면 애플리케이션을 보호하고 규정을 준수하는 것이 필수적입니다. 한 가지 과제는 금융 기관이 정교하고 조직화된 범죄 조직의 가장 수익성이 높은 표적 중 하나라는 것입니다.