NH농협은행 스마트금융부

농협의 NH핀테크 오픈플랫폼

相生을 위한 핀테크!

2

Ⅰ. 금융 오픈플랫폼의 필요성

Ⅱ. NH핀테크 오픈플랫폼 아키텍처

Ⅲ. NH핀테크 오픈플랫폼 정보보호

Ⅳ. NH핀테크 오픈플랫폼 추진일정

3

금융 오픈플랫폼 필요성

4

유치원 납부통지서

납부하기

삼성페이

네이버페이

토스

수금노트

자산관리

애플페이

카카오페이

뱅크노트 카드관리

금융을 실물 속으로 금융기관의 대응체제 ?

유치원 납부통지서

인터넷뱅킹

금융이 embedded 되는 것

핀테크의 본질은?

5

금융 오픈 플랫폼

카카오페이 네이버페이

한국은 은행이 결제를 담당하는 구조

고객은 이미 여러 개의 계좌 보유

핀테크기업 (7천5백 SW기업)

알리페이/페이팔

선택 2 선택 1 천송이 코트

은행 주도 핀테크

전략적 선택은?

6

은행 주도 핀테크 전략모델

B2C 핀테크 B2B 핀테크

지급결제

금융데이터분석

송금/전자화폐

P2P 대출/클라우드 펀딩

-------

비즈페이 / B2B결제

뱅크노트 / 자산관리

수금노트 / 청구수납

기업카드 / 글로벌 Cash Flow

--------

핀테크뱅킹(금융 오픈 플랫폼)

은행은 금융 플랫폼을 개방하고,

핀테크 기업들은 혁신적인 핀테크를 창조하여,

은행과 핀테크기업이 함께 핀테크 생태계를 만들어 가는 것

7

핀테크 기업들이 혁신적인 핀테크 서비스를 만들 수 있도록 지원하는 차세대 금융채널

인터넷뱅킹 핀테크뱅킹(금융 오픈 플랫폼)

은행 Legacy

인터넷뱅킹

고객

금융

채널

UI B2C 핀테크 B2B 핀테크 스마트뱅킹

금융 오픈플랫폼) 이란?

8

핀테크기업(광의)

핀테크기업 (지급결제)

금융을 실물에 embedded 시키는 모든 기업이 핀테크기업이다

핀테크기업 (금융업)

[참고]핀테크 기업에 대한 재정의

9

핀테크 기업

대기업 공공기관

은행 금융VAN사

(전용망)

고객 Account

부당인출 등 금융사고에 대한 고 위험이 존재하고, 전용망이라는 한계로 비즈니스 효율성이 낮으며, 고객의 Account가 외부에서 관리되는 정보보호의 이슈 발생

펌뱅킹

핀테크

[참고]펌뱅킹 기반의 핀테크 한계

10

인터넷뱅킹 펌뱅킹

인터넷뱅킹 고객 대기업, 공공기관

조회∙이체 금융상품 가입

수납업무 (자동이체)

비용 절감 수수료 수익

고객

인터넷뱅킹 (시스템)

고객(시스템)

펌뱅킹 (시스템)

금융오픈플랫폼뱅킹

핀테크기업&핀테크서비스 고객

간편결제, 간편송금, B2B핀테크

수익창출, 미래채널

금융오픈플랫폼

고객

핀테크 핀테크 핀테크 핀테크

[참고]인터넷뱅킹 vs 펌뱅킹 vs 금융오픈플랫폼뱅킹

11

NH핀테크 오픈플랫폼 아키텍처

12

엘로우 페이

B2C 핀테크

B2B 핀테크

Fin A/C

Auth

핀테크 서비스 Portal

핀테크 플랫폼

제휴 관리

제휴사 관리 제휴계약 관리 수수료 관리

서비스 관리

API 관리 서비스 모니터링 FIN-ACCOUNT

Portal 관리

회원정보 관리 스토어 관리

Platform 관리

사용자권한관리 콘텐츠 관리

security

Auth 관리 이상거래탐지

System 운영

프레임워크 장애관리 코드관리

출금이체

입금이체

ATM출금

거래내역조회

예금주 조회

잔액조회

가상계좌

·······

이용내역

한도조회

승인

외화계좌

환율조회

········

- APIs

- APIs

예금 APIs 신용카드 APIs 외환 APIs 보안 APIs

········

NH핀테크 오픈플랫폼 구조

13

NH핀테크 오픈플랫폼 구조

14

NH핀테크 오픈플랫폼 구조

15

서비스 Portal

핀테크 기업이 금융 OPEN API 서비스를 신청

API 스토어, 개발가이드, Auth(인증) 기능 제공

회원 가입

My 서비스

Store

사용자 보안

API 서비스 약정관리

핀테크서비스 Auth

[주요 기능] 서비스 Center

B2C

B2B • 수금관리

• 경비지출관리

• 간편장부

• 빌링/정상

• etc.

• 간편결제

• 간편송금

• 전자지갑

• 자산관리

• 가계부

• etc.

사용자 인증 (AUTHentication)

서비스 허가 (AUTHorization)

AUTH

서비스 사용

예금주성명조회

계좌조회

법인카드조회

출금이체

입금이체

Etc.

Open APIs

보안 Center

Auth

관리

N/W

보안

서비스 및

Open API 보안

핀테크 서비스 Portal

16

기존 Legacy 시스템의 영향도를 최소화

플랫폼 기반 OPEN API 서비스 확장성 보장

핀테크 OPEN API 서비스 구조

17

핀테크 기업별 / 서비스별 금융 연계 개발 이슈를 금융 API 설치로 해결

현재의 핀테크 연계 오픈플랫폼 연계

은

행

시

스

템

a1

a2

a3

a1 A기업

a2 B기업

a3 C기업

핀테크 기업별 개발/연계 이슈

은

행

시

스

템

금융 API (a)

a A기업

a B기업

a C기업

핀테크 기업이 필요한 API 설치

오픈 API란?

18

출금이체 A │소액결제 출금이체 Premium │결제

핀테크 OPEN API 상품 예시

19

금융 오픈API 샘플

금융API

금융API는 핀테크기업이 은행의 금융업무 프로세스를 이용할 수 있도록 지원하는 API로서 공인인증서 제출, 전자서명 절차 없이 핀테크기업이 간편하게 저렴한 비용으로 사용할 수 있습니다.

※ 지속적 추가예정

20

금융 오픈API 샘플

서비스관리API

서비스관리 API는 핀테크기업이 은행에서 제공하는 금융API를 사용하는데 필요한 관리적인 부문을 지원하는 API입니다.

※ 지속적 추가예정

21

금융 오픈API 샘플

제휴API

NH핀테크 오픈플랫폼은 금융API뿐만 아니라 핀테크 서비스를 개발하는데 필요한 제휴API를 전문업체와 제휴하여 제공할 예정입니다.

※ 지속적 추가예정

22

금융 오픈API 이용기업

23

금융 오픈API 활용방안

B2C

24

금융 오픈API 활용방안

B2B

25

금융 오픈API 활용방안

G2C

26

금융 오픈API 활용방안

G2B

27

NH핀테크 오픈플랫폼 정보보호 [정보보호 및 보안인증]

28

수많은 핀테크 서비스의 보안성 확보를 위한 체계

전자금융 감독규정 및 관련 보안 가이드 준수

내 금융정보가

유출되지 않을까 ?

핀테크 기업의

보안 수준은 ?

사용자는 어떻게

보호하지 ?

[One Time Auth(인증) 체계 구축]

1회성 인증키 발행으로 유출피해 차단 ※오픈플랫폼은 은행에서 관리/인증

핀테크 기업 연계 보안

[위험거래탐지(FDS) 룰 적용]

은행 수준의 사용자 보안API 제공 핀테크기업에 사용자보호 가이드 제공

[실 계좌번호 미사용]

FIN-ACCOUNT(가칭)를 활용한 고객정보(계좌번호) 보호

사용자 보안

정보보호

이슈 및 대응 NH핀테크 오픈플랫폼 정보보호 특징

29

구분 인터넷뱅킹 펌뱅킹 핀테크뱅킹

[OPEN 플랫폼]

통신망 인터넷(공중망) 전용선 인터넷(공중망)

통신 암호화

SSL/TLS VPN SSL/TLS

인증 클라이언트(PC&스마트폰)

공인인증서 -

서버

보안인증(One Time Auth)

사고 예방

개인 PC 방화벽

키보드 보안(E2E)

이상거래탐지(FDS)

-

FIN-ACCOUNT

이상거래탐지(FDS)

보안가이드 적용 사전검수

사후 관리

- 제휴 VAN사 보안 점검 핀테크기업 보안 점검

기존 뱅킹서비스와 정보보호 비교

30

전자금융감독규정 및 시행세칙, 은행 보안규정을 기준 원칙으로 핀테크 OPEN 플랫폼 보안 정책을 수립

구분 주요 보안 정책 및 기준 비고

정보보호

ㅇ 보안 통신 프로토콜(SSL/TLS)을 통한 암호화 통신 ㅇ 주요 개인정보 암호화 처리 ㅇ FIN-ACCOUNT(가칭)를 통한 실 계좌번호 미사용 (주요 금융정보 외부 유출 원천 차단)

전자금융감독규정 및 관련 보안가이드 준수

핀테크 기업 연계 보안

ㅇ 은행에서 발급하는 인증 키와 거래기반 정보를 결합한 One Time Auth(인증) 체계 구축 (OPEN API 인증 표준 기술을 기반으로 개발 예정)

시스템보안 ㅇ 은행 시스템 보안규정 및 정책에 따름

(플랫폼 시스템은 은행 內 구축)

사용자보안

ㅇ 핀테크 기업에 대한 사용자보호 가이드 제공 (가이드 미 준수 시 오픈 API 이용 승인 불가) ㅇ 위험거래탐지(FDS) 룰 적용 ㅇ 현 운영 중 FDS 시스템 연계 지원

플랫폼 권한관리

ㅇ 업무 및 직무 별 권한관리 체계 구축 ㅇ 권한관리 체계는 은행 내부 정책 반영 구축

어플리케이션 보안 ㅇ 시큐어코딩 가이드 준수(안전행정부 Java 시큐어코딩 가이드) ㅇ 웹 취약성 점검(SQL injection, XSS, Buffer overflow 등)

보안 정책 방향

31

OPEN API 표준 인증 프로세스 기반 OTA(One Time Auth) 개발

핀테크기업 서버에 보안모듈 설치 없는 인증방식 구현

1. OPEN API 서비스 이용신청

2. 인증키 발급 3. 로그인 / 서비스 요청

4. 인증 요청( 인증키 )

5. 인증키 검증 6. Access 토큰 생성 7. Access 토큰 발급

8. 요청 API 구성 9. OTP 생성(Access 토큰)

10. Data 암호화(OTP) 11. 요청 Data 전송

12. Data 복호화 13. 업무처리

14. 결과 API 구성 15. Data 암호화(OTP)

16. 결과 Data 전송 17. 결과 Data 전송

사용자 핀테크 기업 AP 서버 핀테크 플랫폼

핀테크서비스 보안인증 방안

32

9 9 9

FIN-ACCOUNT 체계(안)

*FINTECH APP코드 FiNTECH 기관코드(5) + APP seq(3) EX) 웹케시 BIZPAY : “00001001” 네이버 PAY : “00002001” 삼성 PAY : “00003001”

2 8

국가 코드 “082”

0

은행계좌연결FIN번호 : 플랫폼에서 부여 EX) 휴대전화번호 앞 2자리 제외 휴대전화번호 : 010-1234-5678 연결 FIN 번호 : 0 1234 5678

FIN ACCOUNT SEQ

정당성CHECK Number

은행고유코드 “010”

5 1 2 4 3 2 4 5 6 3 2 1 7 8 9 3 9

APP 기관코드 , 개인식별번호, 계좌번호 은행 FIN –ACCOUNT 부여

0 1 1 2 3

금융 OPEN 플랫폼은 계좌번호 대신 FIN-ACCOUNT로 거래

핀테크 기업은 고객의 계좌번호를 수집, 보관할 수 없음

정보보호 방안 _ FIN-ACCOUNT

33

NH핀테크 오픈플랫폼 추진일정

34

추진일정

시범기업 핀테크 對 고객 오픈 로드맵

2015년 12월 NH핀테크 오픈플랫폼과 시범기업 핀테크가 동시에 서비스 개시

35

NH핀테크 오픈플랫폼 홈페이지

https://nhfintech.nonghyup.com

36

감사합니다 세상을 보는 다른 시각