“금융사 보안 구멍 찾으면 1000만원” 금감원, ‘버그바운티’ 실시

32개 금융회사 웹사이트 등 대상
보안취약점 포착 시 포상금 지급

금융감독원이 32개 금융회사의 웹사이트 등에 대한 버그바운티(보안취약점 신고포상제)를 실시한다. [123rf]

[헤럴드경제=김은희 기자] 금융감독원은 금융보안원과 함께 금융권 보안취약점 신고포상제(버그바운티)를 실시한다고 27일 밝혔다.

버그바운티는 화이트해커나 학생 등이 대상 소프트웨어나 웹사이트의 보안취약점을 발견해 신고하면 이를 평가해 포상금을 지급하는 제도다. 금융회사가 자체 보안점검만으로 발견하지 못하는 전자금융서비스의 취약점을 외부 시각과 집단지성을 통해 발견·조치하기 위해 실시하고 있다.

특히 인공지능(AI), 클라우드 등 신기술, 공개형 소프트웨어 도입이 활발한 최근 금융 정보기술(IT) 환경에서 제로데이 어택(아직 공표되지 않거나 조치방안이 발표되지 않은 보안취약점을 이용한 해킹) 등 신종 취약점을 조기에 포착하는 데 큰 역할을 할 것으로 금감원은 기대하고 있다.

금감원은 버그바운티가 금융회사 스스로 보안역량을 발전시킬 수 있는 자율시정 기회가 되도록 적극 지원할 계획이다.

금감원은 최근 금융권 안팎의 침해사고 발생 등으로 사이버 위협이 고조되고 있는 상황을 고려해 더 많은 금융회사가 버그바운티에 참여할 수 있도록 권고했고 그 결과 취약점 탐지 대상 금융회사가 지난해 22개사에서 32개사로 확대됐다.

2025년 버그바운티 실시 구조도 [금융감독원 제공]

버그바운티 참가자는 이들 32개 금융회사의 웹사이트, 모바일 애플리케이션, HTS(홈 트레이딩 시스템)에 대해 다음달부터 3개월간 화이트해킹을 실시한다. 신고된 취약점은 전문위원의 평가를 거쳐 최대 1000만원의 포상금이 지급될 예정이다.

금감원 관계자는 “안전한 금융환경 조성과 금융회사 보안역량 강화를 위해 버그바운티를 지속 확대·추진해 나갈 예정”이라며 “보다 많은 화이트해커가 버그바운티에 참여하도록 인센티브 부여 방안도 검토해 나가겠다”고 전했다.