금융보안원, 2026년 금융권 SW 취약점 신고 포상제 시행

금융보안원은 26일 금융권 공통 소프트웨어(SW)의 취약점을 선제적으로 발굴하기 위해 '2026년 금융권 SW 보안 취약점 신고 포상제'를 실시한다고 밝혔다. 금융사가 사용하거나 금융소비자에게 배포하는 SW 취약점을 국민 누구나 '화이트해커'로 참여해 찾아 신고할 수 있도록 한 제도다.

올해부터는 참가 신청과 취약점 신고 접수를 2월 개설된 '금융권 소프트웨어 공급망 보안 플랫폼(SSCS)'으로 일원화해 운영한다. 금융보안원은 리액트투쉘(React2Shell) 사태처럼 공급망 취약점이 금융권 전반에 동시다발적으로 영향을 줄 수 있다는 점을 고려해, 공통으로 사용되는 SW(솔루션 포함) 취약점은 연중 상시 접수한다고 설명했다.

특히 발굴된 취약점에 대한 대응을 체계화하기 위해 금융권에 SW를 공급하는 제조사와 '공동운영' 협약도 확대한다. 지난해에는 4개 기업이 참여했고, 올해 1개 기업이 추가 참여해 휴네시온·지니언스·시큐브·지란지교소프트·테르텐 등 총 5개 기업과 공동 운영 중이다. 다만 공동운영 여부와 관계없이 금융권에 영향을 줄 수 있는 SW 및 솔루션 취약점은 상시 신고로 접수 가능하다고 밝혔다.

포상은 취약점 수준에 따라 최대 1000만원까지 지급한다. 위험도가 높고 파급력이 큰 경우에 한해 국제 취약점 식별체계인 CVE 크레딧 부여도 추진한다. 우수 신고자에게는 금융보안원 입사 지원 시 우대, '취약점 발굴 명예의 전당' 등재 등 인센티브도 제공한다. 박상원 금융보안원장은 "보안 위협이 증가하고 공격 속도가 가속화됨에 따라 화이트해커를 활용한 선제적 취약점 발굴의 중요성이 커지고 있다"며 "금융권 소프트웨어 공급망 보안 플랫폼과 취약점 신고 체계를 연계해, 취약점 발굴부터 조정·완화 및 정보 공유까지 취약점 관리 전반을 체계적으로 지원하겠다"고 말했다.

이은주 기자 golden@asiae.co.kr