- 금융기업이 Open API를 개발하여 타기업들에게 API를 재공하여 운영하는 기업으로 비즈니스를 확장하는 경우가 점차 늘고 있다.
- Open API는 이용기관과 운영기관으로 나눠지는데, 금감원은 이용기관과 운영기관에게 자체보안성심의시 고려해야 하는 체크리스트를 제공하고 있다.
- 이용기관 자체 보안성심의 체크리스트와 달리, 운영기관 자체 보안성심의 체크리스트는 기존의 보안성심의 체크리스트의 틀을 기반으로 “가. 거래 당사자 인증”부터 “아. 시스템 설치장소에 대한 물리적 접근통제”까지 39개의 요구사항으로 구성되어 있다.
- “API를 통한 압축파일 전송 기능이 존재할 경우, 압축파일이 오픈API시스템에서 활성화되기 전 악성코드 포함 여부를 미리 검사”와 같은 요구사항은 급여자동이체와 같은 대량의 건수를 하나의 압축파일로 처리하는 API를 제작하게 되기 때문에 악성코드 점검기능이 구현되어야 한다.
- 이외에도 운영기관이 Open API용 SDK 개발시 설계단계부터 고려해야할 요소들이 생각보다 많이 있다.

* 다운로드: 금융권 Open API 운영기관 자체보안성심의 체크리스트