토스, 제2회 ‘토스 버그 바운티 챌린지’ 개최

보안 취약점 발견 시 최대 3000만원 포상

토스 제 2회 버그바운티 포스터 사진. 사진=토스 제공

[파이낸셜뉴스] 토스 운영사 비바리퍼블리카가 7월 ‘정보보호의 달’을 맞아 ‘제 2회 토스 버그 바운티 챌린지(Toss Bug Bounty Challenge)’를 오는 13일부터 12월 15일까지 총 다섯 달 간 개최한다고 12일 밝혔다.

버그 바운티란 잠재적 보안 취약점을 찾아내기 위해 공개적으로 공격을 요청하고 유의미한 취약점을 찾아낸 제보자에게 포상하는 제도다. 국내에서는 금융보안원과 한국인터넷진흥원(KISA)이 주관하는 프로그램이 대표적이다.

토스는 버그 바운티 챌린지 2회를 개최하면서 더 많은 제보를 받기 위해 개최 기간을 총 다섯 달로 늘렸다. 토스뱅크, 토스증권, 토스페이먼츠, 토스씨엑스(CX) 등 주요 계열사도 함께 참여한다.

취약점 신고 대상은 토스뱅크와 토스증권을 제외한 토스 애플리케이션 내 주요 서비스와 각 법인의 공식 홈페이지다. 접수된 취약점은 토스 보안기술팀이 검증하고 평가한다.

보안기술팀은 세계 최고 수준의 화이트해커인 이종호 리더를 주축으로 팀원 전원이 화이트해커로 구성됐다. 매일 레드 티밍(red-teaming·문제점이나 취약점을 발견하고 의도적으로 공격하는 행위)을 통해 취약점을 점검하고 필요한 조치를 선제적으로 시행하며 보안을 강화하고 있다.

누구나 ‘버그 바운티 챌린지’ 공식 홈페이지에서 회원 가입 후 신청서를 작성해 제출하면 참가 신청이 완료된다. 버그 바운티에 참여할 수 있는 별도 환경을 제공하며, 해당 환경에서 모의 해킹을 진행할 수 있다. 마감 후 평가 결과에 따라 건당 최대 3000만 원까지 포상금을 지급한다.

토스 보안기술팀 이종호 리더는 “토스가 자체적으로 개최하는 ‘버그 바운티’ 프로그램은 국내 금융 기업으로는 이례적인 사례”라며 “금융보안원에서 금융권 보안 우수 사례로 소개할 만큼 대·내외적으로 의미 있는 시도로 평가받고 있다”고 말했다.