"취약점 찾으면 3000만원 지급"…토스, 버그 바운티 챌린지 개최

다섯 달간 진행

[이데일리 임유경 기자] 모바일 금융플랫폼 토스를 운영하는 비바리퍼블리카(이하 토스)는 ‘정보보호의 날’을 맞아 ‘토스 버그 바운티 챌린지’를 개최한다고 12일 밝혔다.

버그 바운티는 잠재적 보안 취약점을 찾아내기 위해 공개적으로 공격을 요청하고 유의미한 취약점을 찾아낸 제보자에게 포상하는 제도다. 토스는 지난해 처음 자체 버그 바운티 프로그램을 도입했다.

2회째를 맞은 올해는 더 많은 제보를 받기 위해 개최 기간을 다섯 달로 늘렸다. 운영 기간은 오는 13일부터 12월15일까지로, 국내 토스 가입자라면 누구나 참가할 수 있다.

이번 버그 바운티에는 토스뿐 아니라 토스뱅크, 토스증권, 토스페이먼츠, 토스씨엑스(CX) 등 주요 계열사도 참여한다. 취약점 신고 대상은 토스뱅크와 토스증권을 제외한 토스 애플리케이션 내 주요 서비스와 각 법인의 공식 홈페이지 등이다. 접수된 취약점은 토스의 보안기술팀이 검증하고 평가한다. 보안기술팀은 전원이 화이트해커로 구성됐다. 마감 후 평가 결과에 따라 건당 최대 3000만원까지 포상금을 지급한다.

토스는 보안 캠페인을 진행하며 금융 소비자의 보안 인식을 제고하고 토스의 우수한 보안 시스템, 선도적인 보안 정책 및 기술력 등을 알리고 있다. 지난달 29일 공개한 토스 오리지널 필름 ‘HELLSONIC(헬소닉)’을 통해 토스의 보안성을 최고 수준으로 지키기 위한 보안기술팀의 끈질기고 집요한 노력을 다큐멘터리 형식으로 전하기도 했다.

이종호 보안기술팀 리더는 “토스가 자체적으로 개최하는 ‘버그 바운티’ 프로그램은 국내 금융 기업으로는 이례적인 사례”라며 “뿐만 아니라 금융보안원에서 금융권 보안 우수 사례로 소개할 만큼 대내외적으로 의미 있는 시도로 평가받았다”라고 전했다.

임유경 (yklim01@edaily.co.kr)