금융보안원, 버그바운티에 50개 금융사 서비스 신고 대상 선정

ⓒ금융보안원

금융보안원은 '2023년 금융권 버그바운티(Bug Bounty)'에 50개 금융사 서비스가 신고 대상으로 선정됐다고 21일 밝혔다.

버그바운티는 소프트웨어 신규 취약점을 신고 받아 이를 평가해 포상금을 지급하는 제도다. 앞서 금융보안원은 금융권 공동으로 지난 2019년부터 해마다 이 제도를 운영하고 있다.

올해 버그바운티는 금융권 전반의 문화 안착 및 금융서비스의 안전성을 고려해 기존 인터넷뱅킹 등의 보안프로그램, 모바일 애플리케이션, 금융권 이용 S/W뿐 아니라 웹사이트, HTS(Home Trading System) 등으로 확대·실시했다.

2023년 금융권 버그바운티 신고대상 이미지.ⓒ금융보안원

그 결과 은행·증권·보험·전자금융업권 등 금융사 14곳이 참가했으며, 1년 전보다 85% 증가한 50개 금융사 서비스가 신고 대상으로 선정됐다.

화이트해커 참여율도 1년 전보다 34% 증가해 총 63명(개인 40명·11개팀 23명)이 버그바운티에 참여했다. 이들은 신고기간(7~8월) 동안 총 120건의 취약점을 발굴했다.

취약점의 ▲영향도 ▲공격 난이도 ▲발굴 난이도 등을 평가해 85건의 유효 취약점을 선정하고, 11명에게 총 4000만원 상당의 포상금을 지급했다. 또 우수 취약점 신고자 3명(개인 1명·1개팀 2명)에게는 금융보안원의 감사장이 수여됐다.

김철웅 금융보안원장은 "금융사와 보안 전문가들의 협력을 통해 다양한 금융 서비스의 취약점이 조기 발견 및 조치됐다"며 "이는 금융권 버그바운티의 가치와 중요성을 다시 한 번 확인하는 좋은 기회였다"고 말했다.

이어 "버그바운티 문화가 금융권 전반에 안착하고 금융 보안의 사각지대를 최소화하는 데 일조할 수 있도록 앞으로도 신고 대상을 지속 확대하고 필요한 지원을 아끼지 않겠다"고 덧붙였다.