토스, 첫 자체 버그바운티 개최.."건당 최대 3000만원 포상금 지급"

21일부터 30일 오후 6시까지 공식 홈페이지 통해 사전 신청 가능
버그바운티 프로그램 개최는 내달로 예정

토스 첫 자체 버그바운티. (토스 측 자료 제공)

(서울=뉴스1) 김지현 기자 = 모바일 금융플랫폼 토스를 운영하는 비바리퍼블리카가 보안 취약점 신고포상제인 '토스 버그바운티 챌린지(Toss Bugbounty Challenge)'를 처음으로 실시한다고 21일 밝혔다.

버그바운티란 서비스 내 보안 취약점을 찾아낸 참가자에게 리워드를 지급하는 제도다. 이번 프로그램에는 토스를 비롯해 토스뱅크, 토스증권, 토스페이먼츠 등 주요 금융 계열사가 참여한다.

취약점 신고 대상은 토스 애플리케이션 내 주요 서비스는 물론, 계열사 공식 홈페이지도 포함되며 자세한 내용은 관련 홈페이지를 통해 확인할 수 있다. 접수된 리포트는 토스 내부 검증과 평가를 거쳐 건당 최대 3000만원까지 포상금을 지급 받게 된다.

이번 버그바운티는 보안에 관심있는 국내 토스 가입자면 누구나 참여할 수 있다.

단, 이날부터 오는 30일 오후 6시까지 공식 홈페이지를 통해 사전 신청한 사람에 한해 다음 달 개최되는 프로그램에 참여 자격이 주어진다. 신청자에게는 버그바운티에 참여할 수 있는 별도 환경을 제공하며 해당 환경에서 모의해킹이 진행된다.

이종호 토스 보안기술팀 리더는 "해커의 관점에서 보안을 구축하며 자체 보안 프로그램을 만드는 등 보안에 많은 투자를 해왔다"며 "외부 전문가의 관점에서 객관적으로 취약점을 점검해 보고, 국내 금융분야 보안연구 활성화에도 기여할 수 있는 계기가 되길 바란다"고 말했다.

토스는 2018년부터 금융권 최초로 KISA(한국인터넷진흥원) '정보보호공시'에 자율적으로 참여하며, 보안투자 현황을 공개하고 있다.

또한 사용자의 휴대폰에 피싱앱이 깔렸을 경우 경고 메시지와 함께 해당 앱을 삭제할 수 있는 '악성앱 탐지 시스템'을 포함한 이상거래 시스템 탐지 등 보안 환경을 구축하는 '토스가드'를 운영 중에 있다. 토스가드는 토스앱 실행시 자동 실행되며 올해 출시한 '악성앱 탐지 시스템'은 약 5개월간 50만건 이상의 피싱 피해를 막은 바 있다.

mine124@news1.kr