내 금융 데이터, 내가 옮긴다 — 미국 오픈뱅킹 Section 1033, 오늘 시행
무슨 일이 일어나고 있나
2026년 4월 1일, 미국 소비자금융보호국(CFPB)이 제정한 Section 1033 '개인 금융데이터 권리 규정'이 대형 금융기관부터 시행됩니다. 자산 2,500억 달러 이상 은행과 100억 달러 이상 매출의 비은행 금융사가 1차 준수 대상입니다.
핵심은 단순합니다. 소비자가 자기 금융 데이터를 원하는 앱이나 서비스로 안전하게 옮길 수 있는 권리를 법으로 보장한 것입니다. 이를 위해 금융기관은 표준 API를 제공해야 하고, 소비자에게 비용을 청구할 수 없습니다.
스크래핑 의존율
완료 계좌
최종 준수 기한
"소비자가 자기 데이터를 통제해야, 진정한 금융 경쟁이 시작된다" — CFPB, Section 1033 최종 규정 발표문 (2024.10)
스크린 스크래핑: 비밀번호를 넘기는 시대
미국에서는 핀테크 앱(Venmo, Mint, Robinhood 등)을 사용하려면 은행 로그인 아이디와 비밀번호를 직접 입력해야 했습니다. 앱이 사용자 대신 은행 웹사이트에 로그인한 뒤, HTML 페이지를 파싱해서 잔액과 거래 내역을 긁어오는 방식입니다. 이것이 '스크린 스크래핑(Screen Scraping)'입니다.
Plaid, MX, Yodlee 같은 데이터 중개업체(Aggregator)가 이 작업을 대행했는데, 핵심 문제는 사용자의 비밀번호가 제3자 서버에 보관된다는 것입니다.
스크린 스크래핑의 구조적 문제
- 보안 취약 — 비밀번호가 핀테크 앱과 Aggregator 서버에 저장됨. 유출 시 은행 계좌 직접 접근 가능
- 불안정 — 은행이 웹 UI를 바꾸면 스크래핑이 즉시 깨짐. 사용자는 "연동 오류"만 반복
- 동의 관리 불가 — 한번 비밀번호를 넘기면 접근 범위와 기간을 통제할 수 없음
- 은행의 차단 — 은행이 봇 접근을 차단하면 핀테크 서비스가 중단됨. JP모건은 수년간 Plaid 접속을 차단
비밀번호 공유의 현실
미국 소비자의 약 95%가 금융 앱 이용 시 스크린 스크래핑 기반으로 데이터를 공유해 왔습니다. 사용자 대부분은 자신의 비밀번호가 제3자 서버에 저장된다는 사실을 인지하지 못합니다.
FDX API + OAuth 2.0: 새로운 표준
Section 1033은 스크린 스크래핑을 표준 API 기반의 토큰 인증으로 전환합니다. CFPB는 Financial Data Exchange(FDX)를 유일한 공인 표준 설정 기구(Standard-Setting Body)로 인정했습니다.
OAuth 2.0 + PKCE 인증 흐름
새로운 방식에서는 비밀번호가 은행 밖으로 나가지 않습니다. 사용자가 핀테크 앱에서 데이터 연결을 요청하면, 은행의 인증 페이지로 리다이렉트됩니다. 은행에 직접 로그인 후 접근 범위(scope)를 승인하면, 인가 코드(Authorization Code)가 발급되고, 이를 Access Token으로 교환합니다.
1. Consumer → FinTech App
"계좌 연결 요청"
2. FinTech → Bank Auth Page // redirect
params: scope="accounts,transactions"
code_challenge=SHA256(verifier) PKCE
3. Consumer → Bank // 직접 로그인
✓ 비밀번호는 은행에만 전달
4. Bank → FinTech
response: authorization_code
5. FinTech → Bank Token Endpoint
exchange: code → access_token + refresh_token
6. FinTech → Bank FDX API
header: Authorization: Bearer {token}
✓ 표준 JSON 응답
FDX API 표준
FDX API는 RESTful 방식으로 계좌 잔액, 거래 내역, 보유 상품 등을 표준 JSON 포맷으로 제공합니다. 은행이 웹 UI를 변경해도 API는 영향받지 않으며, 버전 관리(현재 v6.0)를 통해 하위 호환성을 보장합니다. 200개 이상 금융기관이 FDX에 참여하고 있으며, 이미 9,400만 계좌가 스크래핑에서 FDX API로 전환되었습니다.
| 항목 | 스크린 스크래핑 | FDX API |
|---|---|---|
| 인증 방식 | 비밀번호 공유 | OAuth 2.0 토큰 |
| 데이터 포맷 | HTML 파싱 (비표준) | JSON (표준) |
| 동의 관리 | 없음 | Scope + 만료 기한 |
| 안정성 | 은행 UI 변경 시 장애 | API 버전 관리 |
| 접근 철회 | 비밀번호 변경뿐 | 토큰 즉시 폐기 |
| 비용 | 스크래핑 인프라 비용 | 소비자 무비용 원칙 |
규정 불확실성과 업계 논쟁
Section 1033은 탄탄해 보이지만, 실제로는 상당한 불확실성이 존재합니다. 2025년 새로운 CFPB 리더십이 규정 자체가 법률적으로 과도하다고 인정하며 재작성(ANPRM)을 선언했습니다.
핵심 쟁점
- 데이터 접근 수수료 — 은행들은 API 구축과 유지 비용을 핀테크에 청구하고 싶어함. JPMorgan은 Plaid 등에 데이터 접근료를 부과하겠다고 시사. 현행 규정은 '소비자 무비용'만 명시
- '대리인' 범위 — 소비자를 대신해 데이터를 요청할 수 있는 '대리인(representative)'의 정의가 불명확. Aggregator가 대리인인지, 별도 허가가 필요한지 논쟁 중
- 보안 책임 분담 — 토큰 기반 접근에서 데이터 유출 시 은행과 핀테크 중 누가 책임지는가. 현행 규정에 명확한 기준 없음
- 소송 리스크 — 은행업계(BPI)가 규정 무효 소송 진행 중. 법원이 규정을 일시 정지(stay)한 상태에서 재작성 진행
규정 재작성 진행 중
2025년 8월 CFPB가 ANPRM(사전 의견 수집 공고)을 발표하며 규정 수정 절차에 돌입했습니다. 최종 규정이 현재 형태로 시행될지, 수정될지는 아직 불확실합니다. 대형은행들은 준수 준비를 진행하면서도 최종 형태를 주시하고 있습니다.
한국·미국·EU 오픈뱅킹 비교
한국은 2022년 1월 마이데이터를 전면 시행하며 오픈뱅킹에서 세계 최초로 전면 의무화를 달성했습니다. 미국이 4년 늦게 따라온 셈이지만, 접근 방식은 근본적으로 다릅니다.
| 항목 | 한국 (마이데이터) | 미국 (1033) | EU (PSD2/PSD3) |
|---|---|---|---|
| 시행 시점 | 2022.01 | 2026.04 | 2018.01 |
| 주도 방식 | 정부 주도 (금융위) | 민간 주도 (FDX) | 규제 주도 (EC) |
| 사업자 관리 | 허가제 (심사 필수) | 시장 경쟁 | 등록제 (AISP/PISP) |
| 데이터 범위 | 금융·의료·공공 확장 | 금융 계좌 중심 | 결제 계좌 중심 |
| API 표준 | 금융보안원 표준 API | FDX API v6.0 | Berlin Group 등 분산 |
| 인증 방식 | 본인확인 + 전자서명 | OAuth 2.0 + PKCE | SCA (Strong Customer Auth) |
한국이 앞서 있는 부분
- 전면 의무화 경험 — 이미 4년간 운영하며 제도적 안정성 확보
- 범위 확장 — 금융을 넘어 의료·공공 분야까지 마이데이터 확대 진행
- 표준화 — 금융보안원이 단일 API 표준을 제시, 미국의 파편화 문제 없음
미국이 다른 점
- 민간 주도 — FDX라는 민간 컨소시엄이 표준을 개발. 시장 자율성이 높은 대신 강제력이 약함
- 스크래핑 전환 — 기존 스크래핑 인프라에서 API로 전환하는 과도기. 한국은 처음부터 API 기반
- 수수료 논쟁 — 데이터 제공에 대한 대가 문제가 미국에서만 핵심 쟁점. 한국은 무료 원칙 확립
커리어 인사이트
오픈뱅킹 의무화가 글로벌로 확산되면서, API 경제 기반의 금융 데이터 직무 수요가 빠르게 성장하고 있습니다. Indeed 기준 미국에서만 12,800개 이상의 Open Banking 관련 채용 공고가 활성화되어 있습니다.
유망 직무
- Open Banking API 개발자 — FDX API 설계·구현, OAuth 인증 파이프라인 개발, API Gateway 관리. RESTful API, OAuth 2.0/PKCE, API 보안(rate limiting, mTLS) 경험 필수
- 데이터 거버넌스 매니저 — 소비자 동의(consent) 관리 체계 설계, 데이터 접근 감사 로그 관리, CFPB/마이데이터 규제 준수 모니터링
- 핀테크 인테그레이션 엔지니어 — Plaid, MX, Akoya 등 Aggregator 연동, 멀티 금융기관 데이터 통합, 에러 처리 및 폴백 로직 구현
핵심 기술 스택
- FDX API v6.0 — CFPB 공인 미국 오픈뱅킹 표준
- OAuth 2.0 + PKCE — 토큰 기반 인증의 핵심
- 마이데이터 API — 한국 오픈뱅킹 표준 (금융보안원 규격)
- PSD2/PSD3 SCA — EU 오픈뱅킹 강인증 규격
핵심 정리
- CFPB Section 1033이 2026.04.01 대형은행부터 시행 — 소비자의 금융 데이터 이동권을 법으로 보장
- 스크린 스크래핑에서 FDX API + OAuth 2.0으로 전환 — 비밀번호 공유 없이 토큰 기반 안전한 데이터 공유
- FDX가 CFPB 유일 공인 표준 — 200개+ 금융기관 참여, 9,400만 계좌 전환 완료
- 규정 재작성 불확실성 존재 — 수수료, 대리인 범위, 보안 책임 분담 논쟁 진행 중
- 한국 마이데이터가 4년 앞서 전면 시행 — 정부 주도 vs 민간 주도, 구조적 차이 비교 필수
참고자료
'금융 IT' 카테고리의 다른 글
| 코드는 안전했다, 서명이 뚫렸다 (0) | 2026.04.03 |
|---|---|
| 한국 국채, 세계 무대에 서다 (0) | 2026.04.02 |
| 토큰화 증권이 '진짜 담보'가 되다 (0) | 2026.03.31 |
| 보안 프로그램 다 지워라 (0) | 2026.03.31 |
| AI에게 은행 문을 열어주는 만능 커넥터 (0) | 2026.03.29 |