[보안토큰 핀테크]API를 통하여 당행과 ㈜레이니스트(뱅크샐러드 앱 및 스크래핑 기술을 이용하여 자산관리서비스 제공 및 금융상품 소개 등을 하고 있는 핀테크 업체로서 추후 본인신용정보관리업 허가를 목표로 하는 업체) 사이에 금융거래정보를 송수신함에 있어, 은행이 ㈜레이니스트의 고객에 부여하는 보안토큰이 접근매체인지 여부

[보안토큰 핀테크]API를 통하여 당행과 ㈜레이니스트(뱅크샐러드 앱 및 스크래핑 기술을 이용하여 자산관리서비스 제공 및 금융상품 소개 등을 하고 있는 핀테크 업체로서 추후 본인신용정보관리업 허가를 목표로 하는 업체) 사이에 금융거래정보를 송수신함에 있어, 은행이 ㈜레이니스트의 고객에 부여하는 보안토큰이 접근매체인지 여부

질의요지

API를 통하여 당행과 ㈜레이니스트(뱅크샐러드 앱 및 스크래핑 기술을 이용하여 자산

관리서비스 제공 및 금융상품 소개 등을 하고 있는 핀테크 업체로서 추후 본인신용정

보관리업 허가를 목표로 하는 업체) 사이에 금융거래정보를 송수신함에 있어, 은행이

㈜레이니스트의 고객에 부여하는 보안토큰이 접근매체인지 여부

상기 보안토큰의 작동 방법과 순서는 다음과 같이 구상되고 있습니다.

① ㈜레이니스트의 고객이 ㈜레이니스트의 앱인 뱅크샐러드를 통해 은행에 있는 자기

정보를 제공받고자 하는 경우, 뱅크샐러드 앱이 은행 API를 호출하며, 은행이 휴대

폰 본인확인과 계좌번호 및 계좌비밀번호 확인 등의 절차를 통해 고객 본인확인을

거친 후 고객으로부터 제3자 정보제공 동의를 획득하고, 고객에게 보안토큰을 발급

할 수 있도록 합니다.

② 발급되는 보안토큰은 ㈜레이니스트의 뱅크샐러드 서버에 보관되며, 고객은 보안토

큰을 발급받으면서, 보안토큰의 역할과 유효기간(3개월 이내) 및 제3자에게 제공할

경우의 위험성 등을 고지 받습니다.

③ 고객이 뱅크샐러드 앱에서 은행에 보관된 자기정보를 요청하였을 시점에 보안토큰

이 은행에 전자적 방법으로 함께 전송되며, 은행은 보안토큰의 유효성 등을 확인하

고 ㈜레이니스트에 해당 고객의 금융거래정보를 제공합니다.

- 상술한 보안토큰의 구현 방식이 은행의 은행 고객에 대한 접근매체 발급행위가 아니

라는 점에 관하여 법령해석 또는 비조치의견을 요청

회답

□ 질의하신 내용으로만 판단하였을 때, 귀사는 고객의 요구에 따라 ㈜레이니스트에

오픈 API(Application Program Interface)를 통해 비대면으로 금융거래정보를 안전하

게 제공하기 위한 수단으로 보안토큰을 발급하면서,

ㅇ 귀사가 발급하려는 보안토큰은 정보주체의 금융거래정보를 ㈜레이니스트 등 제3자에

게 API를 통해 비대면으로 제공하기 위한 기술적 수단의 하나로서, 제3자가 귀사

의 API를 이용할 수 있는 자인지를 검증하고, 귀사가 보유한 금융거래정보 등에 접

근하기 위한 용도로만 사용하는 경우로만 이용되는 것으로 판단됩니다.

ㅇ 따라서, 귀사가 ㈜레이니스트의 고객에게 발급(다만, ㈜레이니스트의 서버에 보관

하여 관리)하는 보안토큰이 귀사와 고객 간, 귀사와 ㈜레이니스트간 전자금융거래를

위한 것이 아닌 귀사가 보유한 고객의 금융거래정보를 ㈜레이니스트에 단순 제공하

기 위해 ㈜레이니스트에 보관·관리되는 것이라면, 특별한 사정이 없는 한 해당 보안

토큰은 전자금융거래를 위해 사용되는 접근매체로 보기 어렵습니다.

□ 다만, 귀사가 보안토큰을 API를 이용하는 ㈜레이니스트에 대해 검증 등의 목적으

로 발급하는 것이 아니라 그 보안토큰을 고객에게 직접 발급하고, 고객이 귀사가

보유하고 있는 금융거래정보를 요청할 때 고객으로부터 보안토큰을 제공받아 검증하

는 경우에는 고객이 보안토큰을 지배적으로 관리하며 보안토큰을 통해 이용자 및 거

래내용의 진실성과 정확성을 확보하는 것으로 해석되어 접근매체에 해당할 수 있습

니다.

이유

□ 질의하신 내용으로만 판단하였을 때, 귀사는 고객의 요구에 따라 ㈜레이니스트에

API를 통해 비대면으로 금융거래정보를 안전하게 제공하기 위한 수단으로 보안토

큰을 발급하는 것으로 보입니다.

ㅇ 귀사가 발급하려는 보안토큰은 정보주체의 금융거래정보를 ㈜레이니스트 등 제3

자에게 API를 통해 비대면으로 제공하기 위한 기술적 수단의 하나로서, 제3자가 귀사

의 API를 이용할 수 있는 자인지를 검증하고, 귀사가 보유한 금융거래정보 등에

접근하기 위한 용도로만 사용하는 경우로만 이용되는 것으로 판단됩니다.

□ ｢전자금융거래법｣ 제2조제10호에 따라 “접근매체”란 ‘전자금융거래’*에 있어서

거래지시를 하거나 이용자 및 거래내용의 진실성과 정확성을 확보하기 위하여 사

용되는 수단 또는 정보를 말합니다.

* 금융회사 또는 전자금융업자가 전자적 장치를 통하여 금융상품 및 서비스를 제공하고,

이용자가 금융회사 또는 전자금융업자의 종사자와 직접 대면하거나 의사소통을 하지 아

니하고 자동화된 방식으로 이를 이용하는 거래(｢전자금융거래법｣ 제2조제1호)

ㅇ 따라서, 귀사가 발행하는 보안토큰이 귀사와 고객 간, 귀사와 ㈜레이니스트간 전

자금융거래를 위한 것이 아닌 귀사가 보유한 고객의 금융거래정보를 ㈜레이

니스트에 단순 제공하기 위해 ㈜레이니스트에 보관·관리되는 것이라면, ㈜레

이니스트는 전자금융거래법상 “이용자”*에 해당하지 않으므로 특별한 사정

이 없는 한 해당 보안토큰은 전자금융거래를 위해 사용되는 접근매체로 보기

어렵습니다.

* 전자금융거래를 위하여 금융회사 또는 전자금융업자와 체결한 계약(이하 "전자금융거래

계약"이라 한다)에 따라 전자금융거래를 이용하는 자를 말한다.

□ 다만, 귀사가 보안토큰을 API를 이용하는 ㈜레이니스트를 검증 등의 목적이 아니라

고객에게 직접 발급하고, 고객이 귀사가 보유하고 있는 금융거래정보를 요청할 때

고객으로부터 보안토큰을 제공받아 검증하는 경우에는 고객이 보안토큰을 지배적으

로 관리하며 보안토큰을 통해 이용자 및 거래내용의 진실성과 정확성을 확보하는

수단 또는 정보로서 접근매체에 해당할 수 있습니다.

출처 2020 법령해석회신문사례집, 금융위원회

http://insclaim.co.kr/21/8635659

[심신미약 심신상실 자살보험금 보상사례 ]심신미약이나 심신상실은 우울증 , 조현병 ,불면증 , 공황장애 , 스트레스 , 음주 , 수면제 , 마약 , 본드 등 극도의 흥분상태에 자살한 경우 자살보험금으로 재해사망이나 상해사망보험금 보상사례