ISMS-P 문서 및 쿠콘 api 검토

• 2024년도 기준 인증제도 안내서 분석
• ISMS-P 인증제도 안내서(2024.07) 다운로드

1. 문서 요약

• 의무 대상자

  • 요약 :

    • 매출 100억 이상, 이용자수 100만명 등은 지금 현실적으로 다가가기 힘든 목표이며 현재는 필수가 아님
    • 하지만 해당 기업과 B2B 서비스를 하기 위해서는 ISMS-P 보안 인증이 유리할 것으로 보임
    • 오픈 뱅킹 api ISMS-P 계좌번호, 거래내역 등을 가져오려면 ISMS-P 는 필수로 판단 됨
    • 쿠콘 API 를 사용하면 보안 심사 등을 거치지 않고도 POC 단계의 서비스를 진행할 수 있는지 검토가 필요함.

  • 상단의 문서를 검토한 결과 심사 방법에 대한 내용이지 실제 보안을 어떻게 해야 하는지에 대해서 자세히 나와있진 않음.

2. 쿠콘 API

• 쿠콘 api
  • 쿠콘 api 를 사용하면 3가지 방식으로 거래내역을 제공받을 수 있는 것으로 파악 됨
    • 거래내역통지(클라우드)
      • 스크래핑/크롤링, 아이디/비번/공인인증서 등을 이용해서 은행 사이트에 로그인 한 후에 거래내역을 가져오는 방식
      • 크롤링 방식은 합법/불법이 모호한 개념이고 보안상에도 문제가 있어서 없어지는 서비스
      • 하지만 POC 단계에서는 사용이 가능할 것으로 보임
    • 거래내역통지(중계방식)
      • 쿠콘에서는 펌뱅킹VAN 중계만을 진행하고 자사에서 은행과 별도 계약을 하는 방식
      • 쿠콘 고객센터와 연락 시 해당 부분에 대해서 정확한 파악이 필요함
    • 실시간거래내역대량조회
      • API 당 비용이 발생하는데 현재 과금방식이 어떻게 되어 있는지 확실하지 않음
      • 쿠콘 고객센터와 연락 시 해당 부분에 대해서 정확한 파악이 필요함

3. ISMS-P 인증기준 세부점검항목

• (7의2)ISMS-P_인증기준_세부점검항목 다운로드
• (7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업