① 마이데이터사업자, API를 직접 구축한 정보제공자 및 중계기관, 통합인증기관은 "지원API 호출용 자격증명"을 이용하여 종합포털에 OAuth 2.0 인증(지원-001 API 호출) 후 종합포털이 발급한 접근토큰을 획득

API ID	지원-001	API명(URI)	/oauth/2.0/token
API 설명	지원API 호출을 위한 접근토큰 발급
API 제공자	종합포털
요청 정보	지원API 호출용 자격증명
응답 정보	기관정보

API ID	지원-003	API명(URI)	/mgmts/services
API 설명	마이데이터 사업자 서비스 정보 조회
API 제공자	종합포털
요청 정보	접근토큰, 조회 타임스탬프
응답 정보	서비스 정보

- 기관 또는 서비스 신규‧변경‧삭제 정보 반영을 위해 필요 시 본 API를 비정기적으로 호출하여야 함

- 다만 마이데이터 산업 초기에 빈번한 API 호출을 방지하기 위해 참여자들이 기관‧서비스 정보를 사전에 등록하는 기간‧절차를 마련할 필요

통합인증서 종류별 전자서명 생성 모듈 제공·관리 주체

구 분	공동인증서	그 외 인증서
인증서 예시	범용, 은행/증권용 공동인증서	금융인증서, 그 외 별도 인증앱 등에 저장된 인증서
전자서명 생성 모듈 제공자	본인확인 및 인증 솔루션 기업* 등	해당 통합인증기관
관리 주체	마이데이터사업자	해당 통합인증기관
준비 필요사항	전자서명 생성 모듈** 설치	전자서명 생성 모듈 호출(연동) 준비

* 본인확인 및 인증 솔루션 기업들에게는 통합인증 절차 및 규격을 별도 안내 예정

** 통합인증에서는 여러 건의 전자문서에 대한 전자서명 기능(멀티 서명), 인증서 본인확인 요청을 위한 메시지 생성 기능 등이 필요하므로, 기존의 공인인증 모듈을 보유한 마이데이터사업자는 해당 기능의 포함 여부를 확인한 후에 필요 시 기능 개선 및 업데이트 필요

안전한 API 호출을 종합포털로부터 수신한 기관정보 및 서비스정보 등을 이용하여 IP 접근제어(방화벽 등록 등) 및 TLS 인증서 정보를 기관 내 시스템 등에 반영

구분	접속 채널 등 설정 필요 대상 기관
	마이데이터 사업자	정보제공자 (API 직접 구축)	중계기관	통합인증기관
마이데이터사업자	O*	O	O
정보제공자 (API 직접 구축)	O			O
중계기관	O			O
통합인증기관		O	O

* 마이데이터 서비스 가입현황 조회를 위해 필요 예상 (추후 검토 후 반영)

ⓐ 인가코드 발급

- 정보주체가 정보제공자에게 본인임을 개별인증을 통해 인증하고, 전송요구할 자산을 선택하여 전송요구권(신청 또는 변경)을 행사

- 정보제공자는 인증 및 전송요구가 성공적으로 완료되면 인가코드를 발급하여 마이데이터사업자에게 전달

ⓑ 접근토큰 발급

- 마이데이터사업자는 인가코드를 이용하여 정보제공자에게 접근토큰 발급을 요청

- 정보제공자는 정보주체의 전송요구 내역을 기반으로 권한(scope)을 설정하고 마이데이터사업자에게 접근토큰을 발급

ⓒ 개인신용정보 전송요구 내역 조회

- 마이데이터사업자는 발급된 접근토큰을 이용하여 전송요구 내역을 조회

① 정보주체 : 회원가입 후 해당 마이데이터사업자의 서비스앱에 로그인하여 전송요구할 정보 제공자를 선택

② 마이데이터사업자 : 인가코드 발급을 요청(개별인증-001 API 호출)

API ID	개별인증-001	API명(URI)	/oauth/2.0/authorize
API 설명	인가코드 발급(정보제공API 호출에 필요한 접근토큰 발급 시 필요)
API 제공자	정보제공자
요청 정보	지원API 호출용 자격증명
응답 정보	인가코드 (⑧에서 회신)

③ 정보제공자 : 개별인증을 위한 인증화면을 웹뷰 등으로 제공

④ 정보주체 : 제공된 개별인증 화면을 통해 인증을 수행

⑤ 정보제공자 : 전달받은 인증정보 검증 등 개별인증 수행

⑥ 정보제공자 : 개인신용정보 전송요구 또는 전송요구 변경 화면을 웹뷰 등으로 제공

- 정보제공자는 신용정보법 제33조의2제5항에 의거하여 정보주체가 아래의 내용을 특정할 수 있도록 화면 구성 필요

특정 사항	정보주체 선택 항목
정기적 전송을 요구하는지 여부 및 요구 시 그 주기	정기적 전송 요구 여/부 선택 주기
전송요구의 종료시점	전송요구의 종료시점
전송을 요구하는 목적	전송을 요구하는 목적
전송을 요구하는 개인신용정보의 보유기간	마이데이터사업자가 수집한 정보를 보유할 수 있는 기간
전송을 요구하는 개인신용정보	업권별 상이 (상세내용은 하단 참조)

- 업권별 "전송을 요구하는 개인신용정보"제공 화면은 "2.2 인증규격 - 3 권한(scope)"의 전송요구 scope를 참고하여 구성 필요

- 전송요구 변경 시에는 기존 전송요구 시 정보주체가 선택했던 내역을 화면에 반영 필요

⑦ 정보주체 : 제공된 개인신용정보 전송요구 화면을 통해 전송요구 내역 선택 및 정보제공자에게 전송

⑧ 정보제공자 : 전송요구 내역을 저장하고, 인가코드를 생성하여 state(상태값)와 함께 회신(②에서 호출한 개별인증-001 API에 대한 회신)

⑨ 마이데이터사업자 : state(상태값) 검증 후 리다이렉트

마이데이터사업자 : 정보 제공자로부터 전달받은 인가코드 및 종합포털로부터 발급받은 "서비스 자격증명"(client_id, client_secret) 등을 이용하여 정보제공자가 발급한 접근토큰을 획득(개별인증-002 API 호출)

API ID	개별인증-002	API명(URI)	/oauth/2.0/token
API 설명	정보제공API 호출을 위한 접근토큰 발급
API 제공자	정보제공자
요청 정보	인가코드, 서비스 자격증명, redirect_URI 등
응답 정보	접근토큰, scope 등

- 마이데이터사업자가 다음 단계인 "개인신용정보 전송요구 내역 조회"를 수행하기 위해서는 scope에 해당 업권의 "자산목록 scope"가 포함되어 있어야 함 (2.2-3 참조)

1. 마이데이터사업자는 "전송을 요구하는 개인신용정보"를 제외한 개인신용정보 전송내역 특정 사항들을 정보제공자로부터 회신(정보제공-공통-002 API 호출)

API ID	정보제공-공통-002	API명(URI)	/consents
API 설명	개인신용정보 전송요구 특정사항 회신
API 제공자	정보제공자
요청 정보	접근토큰
응답 정보	정기적 전송을 요구하는지 여부 및 요구 시 그 주기, 전송요구의 종료시점, 전송을 요구하는 목적, 전송을 요구하는 개인신용정보의 보유기간

2. 마이데이터사업자는 일부 "전송을 요구하는 개인신용정보"를 접근토큰 발급 시 회신받은 scope를 통해 확인 가능

업권	전송대상 분류	scope	전송요구 내역 확인 가능 여부	비고
은행	계좌 정보	bank.deposit	불가	scope만으로는 정보주체가 어떤 계좌번호를 선택했는지 확인 불가
	투자상품 정보	bank.invest
	대출상품 정보	bank.loan
	신탁/ISA상품 정보	bank.isa
	개인형IRP 정보	bank.irp
	DB 정보	bank.db	가능	"bank.db"가 scope에 포함된 경우: db정보를 전송요구를 했음을 의미
	DC 정보	bank.dc	불가	scope만으로는 정보주체가 어떤 계좌번호를 선택했는지 확인 불가
카드	카드 정보	card.card	불가	scope만으로는 정보주체가 어떤 카드번호를 선택했는지 확인 불가
	선불카드 정보	card.prepaid	불가	scope만으로는 정보주체가 어떤 카드번호를 선택했는지 확인 불가
	포인트 정보	card.point	가능	"card.point"가 scope에 포함된 경우 : 포인트 정보를 전송요구 했음을 의미
	청구 및 결제정보	card.bill	가능	"card.bill"이 scope에 포함된 경우 : 청구 및 결제 정보를 전송요구 했음을 의미
	대출상품 정보	card.loan	가능	"card.loan"이 scope에 포함된 경우 : 대출상품 정보를 전송요구 했음을 의미
금융 투자	계좌 정보	invest.account	불가	scope만으로는 정보주체가 어떤 계좌번호를 선택했는지 확인 불가
	개인형 IRP정보	invest.irp
	DB 정보	invest.db	가능	"invest.db"가 scope에 포함된 경우: db정보를 전송요구를 했음을 의미
	DC 정보	invest.dc	불가	scope만으로는 정보주체가 어떤 계좌번호를 선택했는지 확인 불가
보험	보험 정보	insu.insurance	불가	scope만으로는 정보주체가 어떤 증권번호를 선택했는지 확인 불가
	대출상품정보	insu.loan		scope만으로는 정보주체가 어떤 계좌번호를 선택했는지 확인 불가
	개인형 IRP 정보	insu.irp		scope만으로는 정보주체가 어떤 계좌번호를 선택했는지 확인 불가
	피보험자 보험 정보	insu.insured		scope만으로는 정보주체가 어떤 증권번호를 선택했는지 확인 불가
	DB 정보	insu.db	가능	"invest.db"가 scope에 포함된 경우: db정보를 전송요구를 했음을 의미
	DC 정보	insu.dc	불가	scope만으로는 정보주체가 어떤 계좌번호를 선택했는지 확인 불가
전자 금융	전자지급수단 정보	efin.account	불가	scope만으로는 정보주체가 어떤 전자지급수단을 선택했는지 확인 불가
할부 금융	대출상품 또는 운용리스 정보	capital.loan	불가	scope만으로는 정보주체가 어떤 계좌번호를 선택했는지 확인 불가
보증 보험	보증보험 정보	ginsu.insurance	불가	scope만으로는 정보주체가 어떤 증권번호를 선택했는지 확인 불가
통신	통신 정보	telecom.mgmt	불가	scope만으로는 정보주체가 어떤 통신 계약을 선택했는지 확인 불가
P2P	P2P 대출 정보	p2p.leading	불가	scope만으로는 정보주체가 어떤 대출 계약을 선택했는지 확인 불가
인수채권	인수채권/금전대부 정보	bond.bond	불가	scope만으로는 정보주체가 어떤 인수채권/금전대부 자산을 선택했는지 확인 불가
대부	인수채권/금전대부 정보	usury.bond	불가	scope만으로는 정보주체가 어떤 인수채권/금전대부 자산을 선택했는지 확인 불가

3. 마이데이터사업자는 scope로 전송요구 내역 확인이 불가한"전송을 요구하는 개인신용정보"내역을 정보제공자로부터 회신 (자산별 전송요구 여부(is_consent) 값을 통해 전송요구 내역 확인 가능)

(은행) 계좌 목록 조회 API 및 개인형IRP 계좌 목록 조회 API 호출

API ID	은행-001	API명(URI)	/accounts
API 설명	정보주체가 보유한 계좌(수신계좌, 투자상품계좌, 대출상품계좌) 목록 조회
API 제공자	정보제공자
요청 정보	접근토큰
응답 정보	보유 계좌별 계좌번호, 전송요구 여부, 상품명, 계좌구분, 계좌상태 등

API ID	IRP-001	API명(URI)	/irps
API 설명	정보주체가 보유한 개인형IRP 계좌 목록 조회
API 제공자	정보제공자
요청 정보	접근토큰
응답 정보	보유 개인형IRP 계좌별 계좌번호, 전송요구 여부, 상품명, 계좌상태 등

API ID	선불-001	API명(URI)	/prepaid
API 설명	정보주체가 가입한 선불카드 목록 조회
API 제공자	정보제공자
요청 정보	접근토큰
응답 정보	보유 선불카드별 식별자, 전송요구 여부, 상품명, 발급일자/기명일자 등

API ID	DC-001	API명(URI)	/dc
API 설명	DC형 퇴직연금정보 목록 조회
API 제공자	정보제공자
요청 정보	접근토큰
응답 정보	상품명, 상품관리번호, 전송요구 여부 등

(카드) 카드 목록 조회 API 호출

API ID	카드-001	API명(URI)	/cards
API 설명	정보주체가 보요한 카드 목록 조회
API 제공자	정보제공자
요청 정보	접근토큰
응답 정보	보유 카드별 카드 식별자, 카드번호, 전송요구 여부, 상품명, 본인/가족구분 등

API ID	선불-001	API명(URI)	/prepaid
API 설명	정보주체가 가입한 선불카드 목록 조회
API 제공자	정보제공자
요청 정보	접근토큰
응답 정보	보유 카드별 카드 식별자, 전송요구 여부, 상품명, 발급일자/기명일자 등

(금융투자) 계좌 목록 조회 API 및 개인형IRP 계좌 목록 조회 API 호출

API ID	금투-001	API명(URI)	/accounts
API 설명	정보주체가 보유한 계좌 목록 조회
API 제공자	정보제공자
요청 정보	접근토큰
응답 정보	보유 계좌별 계좌번호, 전송요구 여부, 상품명, 계좌구분, 계좌상태 등

API ID	카드-001	API명(URI)	/cards
API 설명	정보주체가 보유한 카드 목록 조회
API 제공자	정보제공자
요청 정보	접근토큰
응답 정보	보유 카드별 카드 식별자, 카드번호, 전송요구 여부, 상품명, 본인/가족구분 등

API ID	IRP-001	API명(URI)	/irps
API 설명	정보주체가 보유한 개인형IRP 계좌 목록 조회
API 제공자	정보제공자
요청 정보	접근토큰
응답 정보	보유 개인형IRP 계좌별 계좌번호, 전송요구 여부, 상품명, 계좌상태 등

API ID	DC-001	API명(URI)	/dc
API 설명	DC형 퇴직연금정보 목록 조회
API 제공자	정보제공자
요청 정보	접근토큰
응답 정보	상품명, 상품관리번호, 전송요구 여부 등

(보험) 보험 목록 조회 API, 대출상품 목록 조회 API 및 개인형IRP 계좌 목록 조회 API 호출

API ID	보험-001	API명(URI)	/insurances
API 설명	정보주체가 보유한 보험상품 계약 목록 조회
API 제공자	정보제공자
요청 정보	접근토큰
응답 정보	보유 계약별 증권번호, 전송요구 여부, 상품명, 보험종류 구분, 계약상태 등

API ID	보험-008	API명(URI)	/loans
API 설명	정보주체가 계약한 대출상품 목록 조회
API 제공자	정보제공자
요청 정보	접근토큰
응답 정보	보유 계약별 계좌번호, 전송요구 여부, 상품명 등

API ID	보험-013	API명(URI)	/insured
API 설명	정보주체가 보유한 보험상품 계약 목록 조회
API 제공자	정보제공자
요청 정보	접근토큰
응답 정보	보유 계약별 증권번호, 전송요구 여부, 상품명, 보험종류 구분 등

API ID	IRP-001	API명(URI)	/irps
API 설명	정보주체가 보유한 개인형IRP 계좌 목록 조회
API 제공자	정보제공자
요청 정보	접근토큰
응답 정보	보유 개인형 IRP 계좌별 계좌번호, 전송요구 여부, 상품명, 계좌상태 등

API ID	DC-001	API명(URI)	/dc
API 설명	DC형 퇴직연금정보 목록 조회
API 제공자	정보제공자
요청 정보	접근토큰
응답 정보	상품명, 상품관리번호,전송요구 여부, 등

(전자금융) 전자지급수단 목록 조회 API 호출

API ID	전금-001	API명(URI)	/prepaid
API 설명	정보주체가 가입한 전자지급수단 목록 조회
API 제공자	정보제공자
요청 정보	접근토큰
응답 정보	보유 전자지급수단별 식별값, 전송요구 여부, 계정상태, 결제수단 등록 여부 등

API ID	전금-101	API명(URI)	/paid
API 설명	정보주체가 가입한 계정 목록 조회
API 제공자	정보제공자
요청 정보	접근토큰
응답 정보	계정 식별값, 전송요구 여부, 결제수단 등록 여부 등

(할부금융) 계좌 목록 조회 API 호출

API ID	할부금융-001	API명(URI)	/loans
API 설명	정보주체가 보유한 계좌 목록 조회
API 제공자	정보제공자
요청 정보	접근토큰
응답 정보	보유 계좌별 계좌번호, 전송요구 여부, 상품명, 계좌구분 등

(보증보험) 보증보험 목록 조회 API 호출

API ID	보증보험-001	API명(URI)	/insurances
API 설명	정보주체가 보유한 보증보험 계약 목록 조회
API 제공자	정보제공자
요청 정보	접근토큰
응답 정보	보유 계약별 증권번호, 전송요구 여부, 상품명, 보험종류 구분 등

(통신) 통신 계약 목록 조회 API 호출

API ID	통신-001	API명(URI)	/telecoms
API 설명	정보주체가 가입한 통신 서비스 계약 목록 조회
API 제공자	정보제공자
요청 정보	접근토큰
응답 정보	보유 계약별 계약관리번호, 전송요구 여부, 가입번호, 통신구분, 계약상태 등

(P2P) P2P 대출 목록 조회 API 호출

API ID	P2P-001	API명(URI)	/lendings
API 설명	정보주체가 가입한 P2P 대출 목록 조회
API 제공자	정보제공자
요청 정보	접근토큰
응답 정보	보유 계약별 대출계약번호, 전송요구 여부, 상품명, 상품유형 등

(인수채권/대부) 인수채권/금전대부 목록 조회 API 호출

API ID	채권-001	API명(URI)	/bonds
API 설명	정보주체가 가입한 인수채권/금전대부 목록 조회
API 제공자	정보제공자
요청 정보	접근토큰
응답 정보	채권번호, 전송요구 여부, 기봔구분, 채권인수일(최초대출일) 등

API ID	개별인증-004	API명(URI)	/oauth/2.0/revoke
API 설명	접근토큰 폐기
API 제공자	정보제공자
요청 정보	폐기하고자 하는 토큰, 자격증명 등
응답 정보	-

통합인증 방식 개요

통합인증방식 : 정보주체가 마이데이터 서비스를 이용하기 위해, 통합인증 기관으로부터 발급받은 통합인증 수단을 이용하여 1회 인증으로 다수 정보제공자에게 개인신용정보 전송요구권 행사 및 인증을 동시에 수행하는 방식

통합인증기관 : 다수 정보제공자가 정보주체를 공통적으로 식별 및 인증하는데 필요한 식별정보(정보통신망법 하위 고시의 ‘연계정보(CI)’)를 적법하게 제공 가능한 기관 중에 충분한 보안 수준 등을 갖춰 통합인증기관으로 참여한 기관

* 정보통신망법상 인증서 본인확인기관(예: 舊 공인인증기관 등)이 해당하며, 향후 적법하게 CI를 제공할 수 있는 전자서명법상 운영기준의 준수 사실을 인정받은 전자서명인증사업자 등으로 통합인증기관의 범위를 확대 예정

통합인증수단, 통합인증서 : 통합인증기관으로 참여한 인증서 본인확인기관이 발급한 인증서 본인확인수단(공동인증서(범용, 은행, 증권), 금융인증서 등)

ⓐ 접근토큰 발급(자산목록 조회 목적)

• 마이데이터사업자는 정보제공자 선택화면을 제공
• 정보주체는 정보제공자 선택화면에서 개인신용정보 전송을 요구하고자 하는 정보제공자를 선택 (복수 개 선택 가능)
• 정보주체는 보유 자산목록에 대한 전송요구권을 행사하기 위해 통합인증수단을 이용하여 위에서 선택한 정보제공자별로 인증정보(전송요구내역 등에 대한 전자서명 값 1종, 본인확인 목적의 개인정보제공 및 활용 동의에 대한 전자서명 값 1종)를 생성
• 마이데이터사업자는 인증정보를 이용하여 각 정보제공자에게 자산목록 조회 권한("자산목록 scope")에 대한 접근토큰 발급을 요청
• 정보제공자는 마이데이터사업자에게 접근토큰을 발급

ⓑ 보유 자산목록 조회

• 마이데이터사업자는 발급된 접근토큰을 이용하여 각 정보제공자로부터 정보주체가 보유한 자산목록을 조회

ⓒ 접근토큰 발급(자산별 개인신용정보 조회 목적)

• 마이데이터사업자는 정보주체가 전송요구(또는 전송요구 변경)할 자산을 선택할 수 있도록 자산 선택화면을 제공
• 정보주체는 자산을 선택하고 자산별 개인신용정보에 대한 전송요구권을 행사하기 위해 통합인증수단을 이용하여 위에서 선택한 정보제공자별로 인증정보(전송요구내역 등에 대한 전자서명 값)를 생성
• 마이데이터사업자는 인증정보를 이용하여 각 정보제공자에게 접근토큰 발급을 요청
• 정보제공자는 정보주체의 전송요구 내역을 기반으로 권한(scope)을 설정하고 마이데이터사업자에게 접근토큰을 발급

※ 통합인증 방식에서는 개별인증 절차 중 '1인가코드 발급', '3개인신용정보 전송요구 내역 조회' 절차가 불필요

• ① (정보주체) 마이데이터사업자의 서비스앱에 접속하여 자산정보, 거래내역 등 조회
• ② (마이데이터사업자) 정보제공자로부터 발급받은 접근토큰을 이용하여 업권별 정보제공 API를 호출
• ③ (정보제공자) 접근토큰 유효성과 요청 대상 정보의 정당성을 검증한 후 마이데이터사업자가 요청한 정보를 회신

① (마이데이터사업자) 정보제공자로부터 발급받은 접근토큰을 이용하여 업권별 정보제공 API를 호출

- 정기적 전송 여부를 구분하기 위한 헤더 값("x-api-type: scheduled")을 반드시 설정

- 정기적 전송주기는 송·수신되는 정보의 특성에 따라 기본정보 또는 추가정보로 분류(API별 정기적 전송주기 분류 기준은 제4장 참조)

분 류	설 명	기본주기
기본	생성/수정/삭제가 빈번하게 발생하지 않는 정보 (예: 상품정보, 가입정보 등)를 송·수신하는 API	주 1회
추가	생성/수정/삭제가 빈번하게 발생하는 정보 (예: 잔액, 거래내역 등)를 송·수신하는 API	일 1회

② (정보제공자) 접근토큰 유효성과 요청 대상 정보의 정당성을 검증한 후 마이데이터사업자가 요청한 정보를 회신