들어가기 전에
이번 포스팅에서는 마이데이터 서비스를 정보제공자로 구축시 알아야 하는 부분에 대해 정리해보고자 합니다. 하기 포스팅은 koscom을 중계기관으로 하여 정보제공자로써 세팅한 내용 위주로 포스팅되었습니다.
마이데이터 생태계
마이데이터 생태계는 아래 그림과 같이 표현할 수 있습니다.
- 고객은 정보제공자의 금융서비스에 있는 본인의 개인신용정보를 본인 동의를 통해 마이데이터 사업자가 수집할 수 있도록 합니다.
- 정보제공자는 기존에 개인신용정보를 보유하고 있는 금융기관 등이며 마이데이터 3법을 통해 신용정보를 전송할 의무가 있습니다.
- 마이데이터 사업자는 금융위원회를 통해 허가 받은 이들이며, 고객 동의하에 고객의 개인신용정보를 수집할 수 있습니다.
- 정보 제공 시의 데이터 흐름은 금융보안원에서 정의한 마이데이터 기술 가이드라인의 표준 API 규격을 준수하여 수행되어야 합니다.
- 마이데이터 사업자와 정보제공자 간에 데이터를 직접 전송하기 위한 인프라 구축의 비용이 금융회사의 규모, 금융거리 등 상거래 빈도에 비해 클 경우 중계기관을 통해 개인신용정보를 마이데이터 사업자에 전송할 수 있습니다.
중계기관(koscom)을 통해 개인신용정보를 전송하는 정보제공자 구축
필자의 경우, 마이데이터 사업자와 바로 정보 송/수신을 진행하지 않고 아래와 같이 koscom이라는 중계기관을 사이에 두고 정보제공자의 역할을 구축하였습니다. 해당 구조는 아래 사진과 같습니다.
- koscom 외에도 한국신용정보원, 금융결제원, 중앙회, 행정안전부 등을 중계기관으로 지정하여 운영중입니다.
koscom(중계기관)에서 제공하는 가이드 문서를 보면, 중계기관과 통신은 두가지 방법 중 하나로 진행할 수 있습니다.
- 기존에 VPN을 이용하고 있거나, 정보 제공자의 역할 빈도수가 많다면 VPN을 이용하는 것이 좋지만, 정보 제공 빈도가 낮다면 mTLS 통신을 통해 중계기관과 연결하여 비용 절감을 할 수 있습니다.
mutual TLS 통신
[ mutual TLS 통신의 필요성 및 장단점 ]
- mutual TLS 통신은, client가 server의 인증서를 검증하는 것뿐만 아니라 server가 client의 인증서를 검증할 수 있어야 합니다. 이로 인해, 상호인증을 위한 별도의 인증서 관리가 필요합니다.
[ mutual TLS 통신을 위한 SSL 인증서 규격 ]
[ 중계기관(koscom) TLS 인증서 ]
- mutual TLS 설정을 통해 중계기관과 통신하기 위해서는 server 내 client 인증서로 중계기관 TLS 인증서를 넣어주어야 합니다.
- 중계기관 TLS 인증서 만료가 30일 이내로 남으면 갱신인증서에 접근하여 신규 인증서로 갱신해야 합니다.
- 이때, 중계기관(koscom)은 TLS 인증서를 만료 10일 전 ~ 만료 1일 전 사이에 교체를 진행하기 때문에, 그 사이 동안에는 server에서는 중계기관의 현재 인증서 및 갱신 인증서 모두를 보관하고 있어야 합니다.
[ 중계기관(koscom)과 정보제공자 사이 TLS 인증서 관리 ]
- mutual TLS를 위해 server에 client 인증서를 가지고 있어야 할 뿐 아니라, 중계기관에서도 server의 TLS 인증서를 가지고 있어야 합니다.
- server의 TLS 인증서 만료 최소 한 달 전 고지하여 중계기관에서 server 인증서를 갱신할 수 있도록 해야 합니다.
[ 정보제공자 mutual TLS 설정 예시(NGINX) ]
- NGINX를 통한 mutual TLS 설정 예시와 같이,
ssl_protocols은TLSv1.3을 설정해야 하며ssl_client_certificate에 중계기관(koscom) 인증서 정보를 넣어주어야 합니다. - 이때,
ssl_verify_client를optional으로 넣게 되면,ssl_verify_client가 필수가 아니게 되어 중계기관과 정보 제공 테스트 시 실패하게 됩니다. 따라서, 운영서버에서는 반드시ssl_verify_client를on으로 켜주어야 합니다.
참고 자료
'IT Knowledge' 카테고리의 다른 글
| [IT Knowledge] hELLO 스킨 자동목차에 제목3 포함하기 (1) | 2024.06.22 |
|---|---|
| [IT Knowledge] mutual TLS(mTLS) (0) | 2022.02.20 |
