본 문서는 의견을 요청하는(RFC) 초안(Draft)입니다. 취지에 찬성하시면 참여 해주시고 언제든지 좋은 의견 부탁드립니다.

어떻게 오픈 뱅킹을 해야 하나?

대안 방식 서비스 규격

국내 인터넷 뱅킹은 특정 OS 및 웹 브라우저 기반하에서만 제공될 뿐만 아니라 이들에 종속적인 플러그인(Plug-in)기술을 이용하여 공인 인증 및 보안 소프트웨어를 강하게 결합하여 서비스 하고 있습니다. 이로 인해 사용자의 운영 체제 및 웹 브라우저 선택권을 침해 받고 있습니다.

최근 모바일을 중심으로 공인 인증을 사용할 수 없는 환경에 대한 배려가 늘고 있습니다. 특히 모바일 VM뱅킹은 공인 인증 없는 은행 거래가 가능하며 (모바일 VM뱅킹 이용자 급성장, 하나은행 등) 모바일 OTP는 해킹을 대비한 오프라인 기기로 모든 은행의 고액 이체 시 이용되고 있습니다. (인터넷 뱅킹, 모바일 OTP가 해답). 뿐만 아니라 오픈 페이라는 웹 호환성 기반 카드 결제 서비스 도 제공 되고 있습니다. (페이게이트, 브라우저 종속 탈피 솔루션 동종 업계 채택)

이들 모두 금융감독원의 심사를 통과한 사례이며 은행 및 증권사, 쇼핑몰의 의지만 있다면 근거에 의해 국내 최고의 금융 서비스 개발사 및 보안 업체들이 오픈 뱅크를 지원할 수 있습니다. 즉, 아래 제안은 현행 법령 하에서 적법하게 이루어질 수 있습니다.

공인인증 서비스는 거래 당사자(은행, 고객)와는 독립적, 제3자적 지위에 있는 공인인증기관이 제공해야 합니다. 하지만, 공인인증기관이 소프트웨어를 제공하지 않는 환경(데스크 톱에서, 비 MS IE 웹브라우저, 그리고 모바일 디바이스, 셋톱 박스 등)에서는 공인인증서를 사용할 수 없는 환경이므로 대안 금융 서비스를 제공할 수 있습니다.

일반 사용자

공통 요건

  1. 오픈 뱅킹에 대한 약관을 읽고 서명 후, 뱅킹용 아이디 및 암호를 발급 받는다. (기존 가입자는 재사용 가능)
    • 이 때, 금융기관이 정한 제한된 환경(웹 브라우저 혹은 운영 체제 사용자)인지 여부를 확인 할 수 있다.
  2. 인터넷 뱅킹 용 보안 카드 및 원타임패스워드기기(OTP)를 구매한다. OTP 기기는 현재 일부 은행이 무료로 제공 중이고 타 은행의 OTP기기도 공동 이용 가능하다. (OTP기기는 약 5천원~1만원선이며 계좌 예탁이 50억이 넘을 경우 무료 제공 추진)
  3. 개인 PC에 대한 보안 권고 사항에 대한 약관을 읽은 후 서명 제출한다. (단, 보증사항으로 정품 OS 및 백신 구매증서 사본 이나 KISA가 제공하는 무료 정품 중 등록 사본 첨부)

보안 요건

  1. 금융 기관이 제공하는 개인 보안 가이드를 자세히 읽고 필요시 제공하는 보안 프로그램을 설치 한다.
  2. 윈도우 사용자의 경우, 관리자 계정으로 정품 백신 SW를 설치하고 주기적으로 업데이트를 권장 한다.
  3. 개인 PC를 관리자 계정이 아닌 일반 사용자 계정으로 전환하셔 사용하길 권장 한다.
  4. 피싱 및 기타 공격에 대비해 개인 PC 보안 수칙을 준수하여 자신의 PC 보안에 유의하도록 권장 한다.

참여 은행

서버 규격

  1. 오픈 뱅킹용 서버는 표준 SSL(Secure Socket Layer) 방식으로 서비스 하며, EV Cert 인증서를 통해 서비스 한다.
  2. 모든 웹 페이지는 전 세계 기준 1% 이상 점유율을 가진 웹 브라우저 호환성을 유지한다.
  3. 모든 웹 페이지는 가급적 일체의 플러그인(Plug-in)을 제공하지 않는다. (Flash 등)

제공 서비스 규격

인증 및 부인 방지
  1. 로그인 기능: 표준 SSL 통신 아래 뱅킹 아이디 및 암호, OTP 암호로 로그인 한다.
  2. 계좌 조회: OTP 암호를 이용한다.
  3. 계좌 이체: 1차 보안 카드 번호 입력 -> 이체할 계좌 및 금액 입금 -> 이체 비밀번호 + OTP 번호 입력 -> 계좌 이체 정보 확인 후 사용자가 후 거래 인증
    • 실시간이 아닌 거래 후 사용자 거래 인증이 필요하다.
  4. TBD (현 인터넷 뱅킹 서비스 중 우선 순위)
카드 서비스 (제휴사가 카드 서비스가 있는 경우)
  • 카드 신청: OTP 암호를 이용한다.
  • 카드 명세서 조회: OTP 암호를 이용한다.
  • TBD (현 인터넷 뱅킹 서비스 중 우선 순위)

보안 규격

  1. 1일 및 1회 계좌 이체 한도는 각각 300만원, 100만원으로 한정한다. (본 한도는 사용자와 협의하에 은행이 자율로 결정할 수 있다.)
  2. 사용자 암호는 은행이 정하는 복잡성 요구사항을 기준으로 하며, 3개월에 한번씩 변경한다.
  3. 사용자 암호가 3회 이상 틀릴 경우, 계정을 잠정 중지 하고 창구에서 다시 활성화 한다.
  4. 공급하는 일회용 암호기기는 OTP 통합 인증 센터를 이용해야 한다.
  5. 모든 사용자 입력은 "스크린 입력기 인터페이스"를 이용한다.
  6. 키보드 해킹 방지 및 안티 바이러스 프로그램의 경우, 사용자가 설치를 원하지 않는 경우 제공하지 않는다. 단, 윈도우 사용자에 한해 이용자가 원할 수 Standalone 방식으로 구동할 수 있는 버전을 제공한다.

개발 및 보안성 심사

  • 참여 은행은 위의 열거한 방식을 기반으로 개발된 솔루션을 기반으로 보안성 심사를 득해야 한다.
  • 보안성 심사가 완료되고 개발 계획이 수립되면 오픈 뱅크 사용자와 약관에 대한 가계약을 진행한다.

참여 증권사

서버 규격

기본적으로 은행과 동일 하다.

제공 서비스 규격

  • 로그인 기능: 표준 SSL 통신 아래 뱅킹 아이디 및 암호, OTP 암호로 로그인 한다.
  • 증권 계좌 조회: OTP 암호를 이용한다.
  • 증권 계좌 이체: 1차 보안 카드 번호 입력 -> 이체할 계좌 및 금액 입금 -> OTP 번호 입력 -> 계좌 이체 완료
  • TBD

참여 쇼핑몰

서버 규격

기본적으로 은행과 동일 하며 결제 페이지에만 한정한다.

제공 서비스 규격

  • 오픈 페이에 준하는 카드 결제 서비스를 제공한다.
  • TBD