Upload
hyeseon-yoon
View
2.197
Download
1
Embed Size (px)
Citation preview
4
유치원 납부통지서
납부하기
삼성페이
네이버페이
토스
수금노트
자산관리
애플페이
카카오페이
뱅크노트 카드관리
금융을 실물 속으로 금융기관의 대응체제 ?
유치원 납부통지서
인터넷뱅킹
금융이 embedded 되는 것
핀테크의 본질은?
5
금융 오픈 플랫폼
카카오페이 네이버페이
한국은 은행이 결제를 담당하는 구조
고객은 이미 여러 개의 계좌 보유
핀테크기업 (7천5백 SW기업)
알리페이/페이팔
선택 2 선택 1 천송이 코트
은행 주도 핀테크
전략적 선택은?
6
은행 주도 핀테크 전략모델
B2C 핀테크 B2B 핀테크
지급결제
금융데이터분석
송금/전자화폐
P2P 대출/클라우드 펀딩
-------
비즈페이 / B2B결제
뱅크노트 / 자산관리
수금노트 / 청구수납
기업카드 / 글로벌 Cash Flow
--------
핀테크뱅킹(금융 오픈 플랫폼)
은행은 금융 플랫폼을 개방하고,
핀테크 기업들은 혁신적인 핀테크를 창조하여,
은행과 핀테크기업이 함께 핀테크 생태계를 만들어 가는 것
7
핀테크 기업들이 혁신적인 핀테크 서비스를 만들 수 있도록 지원하는 차세대 금융채널
인터넷뱅킹 핀테크뱅킹(금융 오픈 플랫폼)
은행 Legacy
인터넷뱅킹
고객
금융
채널
UI B2C 핀테크 B2B 핀테크 스마트뱅킹
금융 오픈플랫폼) 이란?
9
핀테크 기업
대기업 공공기관
은행 금융VAN사
(전용망)
고객 Account
부당인출 등 금융사고에 대한 고 위험이 존재하고, 전용망이라는 한계로 비즈니스 효율성이 낮으며, 고객의 Account가 외부에서 관리되는 정보보호의 이슈 발생
펌뱅킹
핀테크
[참고]펌뱅킹 기반의 핀테크 한계
10
인터넷뱅킹 펌뱅킹
인터넷뱅킹 고객 대기업, 공공기관
조회∙이체 금융상품 가입
수납업무 (자동이체)
비용 절감 수수료 수익
고객
인터넷뱅킹 (시스템)
고객(시스템)
펌뱅킹 (시스템)
금융오픈플랫폼뱅킹
핀테크기업&핀테크서비스 고객
간편결제, 간편송금, B2B핀테크
수익창출, 미래채널
금융오픈플랫폼
고객
핀테크 핀테크 핀테크 핀테크
[참고]인터넷뱅킹 vs 펌뱅킹 vs 금융오픈플랫폼뱅킹
12
엘로우 페이
B2C 핀테크
B2B 핀테크
Fin A/C
Auth
핀테크 서비스 Portal
핀테크 플랫폼
제휴 관리
제휴사 관리 제휴계약 관리 수수료 관리
서비스 관리
API 관리 서비스 모니터링 FIN-ACCOUNT
Portal 관리
회원정보 관리 스토어 관리
Platform 관리
사용자권한관리 콘텐츠 관리
security
Auth 관리 이상거래탐지
System 운영
프레임워크 장애관리 코드관리
출금이체
입금이체
ATM출금
거래내역조회
예금주 조회
잔액조회
가상계좌
·······
이용내역
한도조회
승인
외화계좌
환율조회
········
- APIs
- APIs
예금 APIs 신용카드 APIs 외환 APIs 보안 APIs
········
NH핀테크 오픈플랫폼 구조
15
서비스 Portal
핀테크 기업이 금융 OPEN API 서비스를 신청
API 스토어, 개발가이드, Auth(인증) 기능 제공
회원 가입
My 서비스
Store
사용자 보안
API 서비스 약정관리
핀테크서비스 Auth
[주요 기능] 서비스 Center
B2C
B2B • 수금관리
• 경비지출관리
• 간편장부
• 빌링/정상
• etc.
• 간편결제
• 간편송금
• 전자지갑
• 자산관리
• 가계부
• etc.
사용자 인증 (AUTHentication)
서비스 허가 (AUTHorization)
AUTH
서비스 사용
예금주성명조회
계좌조회
법인카드조회
출금이체
입금이체
Etc.
Open APIs
보안 Center
Auth
관리
N/W
보안
서비스 및
Open API 보안
핀테크 서비스 Portal
17
핀테크 기업별 / 서비스별 금융 연계 개발 이슈를 금융 API 설치로 해결
현재의 핀테크 연계 오픈플랫폼 연계
은
행
시
스
템
a1
a2
a3
a1 A기업
a2 B기업
a3 C기업
핀테크 기업별 개발/연계 이슈
은
행
시
스
템
금융 API (a)
a A기업
a B기업
a C기업
핀테크 기업이 필요한 API 설치
오픈 API란?
19
금융 오픈API 샘플
금융API
금융API는 핀테크기업이 은행의 금융업무 프로세스를 이용할 수 있도록 지원하는 API로서 공인인증서 제출, 전자서명 절차 없이 핀테크기업이 간편하게 저렴한 비용으로 사용할 수 있습니다.
※ 지속적 추가예정
20
금융 오픈API 샘플
서비스관리API
서비스관리 API는 핀테크기업이 은행에서 제공하는 금융API를 사용하는데 필요한 관리적인 부문을 지원하는 API입니다.
※ 지속적 추가예정
21
금융 오픈API 샘플
제휴API
NH핀테크 오픈플랫폼은 금융API뿐만 아니라 핀테크 서비스를 개발하는데 필요한 제휴API를 전문업체와 제휴하여 제공할 예정입니다.
※ 지속적 추가예정
28
수많은 핀테크 서비스의 보안성 확보를 위한 체계
전자금융 감독규정 및 관련 보안 가이드 준수
내 금융정보가
유출되지 않을까 ?
핀테크 기업의
보안 수준은 ?
사용자는 어떻게
보호하지 ?
[One Time Auth(인증) 체계 구축]
1회성 인증키 발행으로 유출피해 차단 ※오픈플랫폼은 은행에서 관리/인증
핀테크 기업 연계 보안
[위험거래탐지(FDS) 룰 적용]
은행 수준의 사용자 보안API 제공 핀테크기업에 사용자보호 가이드 제공
[실 계좌번호 미사용]
FIN-ACCOUNT(가칭)를 활용한 고객정보(계좌번호) 보호
사용자 보안
정보보호
이슈 및 대응 NH핀테크 오픈플랫폼 정보보호 특징
29
구분 인터넷뱅킹 펌뱅킹 핀테크뱅킹
[OPEN 플랫폼]
통신망 인터넷(공중망) 전용선 인터넷(공중망)
통신 암호화
SSL/TLS VPN SSL/TLS
인증 클라이언트(PC&스마트폰)
공인인증서 -
서버
보안인증(One Time Auth)
사고 예방
개인 PC 방화벽
키보드 보안(E2E)
이상거래탐지(FDS)
-
FIN-ACCOUNT
이상거래탐지(FDS)
보안가이드 적용 사전검수
사후 관리
- 제휴 VAN사 보안 점검 핀테크기업 보안 점검
기존 뱅킹서비스와 정보보호 비교
30
전자금융감독규정 및 시행세칙, 은행 보안규정을 기준 원칙으로 핀테크 OPEN 플랫폼 보안 정책을 수립
구분 주요 보안 정책 및 기준 비고
정보보호
ㅇ 보안 통신 프로토콜(SSL/TLS)을 통한 암호화 통신 ㅇ 주요 개인정보 암호화 처리 ㅇ FIN-ACCOUNT(가칭)를 통한 실 계좌번호 미사용 (주요 금융정보 외부 유출 원천 차단)
전자금융감독규정 및 관련 보안가이드 준수
핀테크 기업 연계 보안
ㅇ 은행에서 발급하는 인증 키와 거래기반 정보를 결합한 One Time Auth(인증) 체계 구축 (OPEN API 인증 표준 기술을 기반으로 개발 예정)
시스템보안 ㅇ 은행 시스템 보안규정 및 정책에 따름
(플랫폼 시스템은 은행 內 구축)
사용자보안
ㅇ 핀테크 기업에 대한 사용자보호 가이드 제공 (가이드 미 준수 시 오픈 API 이용 승인 불가) ㅇ 위험거래탐지(FDS) 룰 적용 ㅇ 현 운영 중 FDS 시스템 연계 지원
플랫폼 권한관리
ㅇ 업무 및 직무 별 권한관리 체계 구축 ㅇ 권한관리 체계는 은행 내부 정책 반영 구축
어플리케이션 보안 ㅇ 시큐어코딩 가이드 준수(안전행정부 Java 시큐어코딩 가이드) ㅇ 웹 취약성 점검(SQL injection, XSS, Buffer overflow 등)
보안 정책 방향
31
OPEN API 표준 인증 프로세스 기반 OTA(One Time Auth) 개발
핀테크기업 서버에 보안모듈 설치 없는 인증방식 구현
1. OPEN API 서비스 이용신청
2. 인증키 발급 3. 로그인 / 서비스 요청
4. 인증 요청( 인증키 )
5. 인증키 검증 6. Access 토큰 생성 7. Access 토큰 발급
8. 요청 API 구성 9. OTP 생성(Access 토큰)
10. Data 암호화(OTP) 11. 요청 Data 전송
12. Data 복호화 13. 업무처리
14. 결과 API 구성 15. Data 암호화(OTP)
16. 결과 Data 전송 17. 결과 Data 전송
사용자 핀테크 기업 AP 서버 핀테크 플랫폼
핀테크서비스 보안인증 방안
32
9 9 9
FIN-ACCOUNT 체계(안)
*FINTECH APP코드 FiNTECH 기관코드(5) + APP seq(3) EX) 웹케시 BIZPAY : “00001001” 네이버 PAY : “00002001” 삼성 PAY : “00003001”
2 8
국가 코드 “082”
0
은행계좌연결FIN번호 : 플랫폼에서 부여 EX) 휴대전화번호 앞 2자리 제외 휴대전화번호 : 010-1234-5678 연결 FIN 번호 : 0 1234 5678
FIN ACCOUNT SEQ
정당성CHECK Number
은행고유코드 “010”
5 1 2 4 3 2 4 5 6 3 2 1 7 8 9 3 9
APP 기관코드 , 개인식별번호, 계좌번호 은행 FIN –ACCOUNT 부여
0 1 1 2 3
금융 OPEN 플랫폼은 계좌번호 대신 FIN-ACCOUNT로 거래
핀테크 기업은 고객의 계좌번호를 수집, 보관할 수 없음
정보보호 방안 _ FIN-ACCOUNT