보안

금융보안원, 2023년 보안 취약점 신고포상제 운영

이종현 기자

[디지털데일리 이종현기자] 금융보안원은 금융소비자 보호 및 금융서비스 안전성 강화를 위해 금융회사와 공동으로 추진하는 금융권 보안 취약점 신고 포상제 ‘2023년 금융권 버그바운티’ 운영계획을 발표했다고 19일 밝혔다.

버그바운티는 서비스와 제품의 신규 취약점을 신고받아 이를 평가해 포상금을 지급하는 제도다. 금융보안원은 2019년부터 제도를 운영하고 있다.

올해는 은행·금융투자·보험·전자금융 권역의 ▲BNK부산은행 ▲경남은행 ▲케이뱅크 ▲카카오뱅크 ▲메리츠증권 ▲한화손해보험 ▲흥국화재해상보험 ▲DGB생명보험 ▲네이버파이낸셜 ▲뱅크샐러드 등 14개 금융회사가 버그바운티에 참여할 예정이다.

특히 사이버보안 위협의 선제적 제거 및 금융권 사이버보안 사각지대 해소를 위해 금융회사 웹사이트, 홈트레이딩시스템(HTS)까지 신고대상을 확대했다.

금융권 버그바운티는 화이트해커, 정보보호에 관심이 많은 대학(원)생 등 대한민국 국민이라면 누구나 참가 가능하다. 금융보안원 홈페이지에 게시된 참가신청서를 이메일로 제출하고, 신고대상 안내를 받은 뒤 취약점 발굴 및 신고를 할 수 있다.

또 신고된 취약점은 취약점의 영향도, 파급력 등을 평가해 등급에 따라 최대 1000만원의 포상금을 지급하고, 또한 우수 취약점 신고 건의 경우 감사장 수여 및 금융보안원 입사지원 시 우대할 계획이다.

실제 국내 정보기술(IT) 회사에 근무하고 있는 보안전문가 A씨는 금융권 버그바운티에 처음 참가해 우수 취약점 4개를 통해 약 2000여만원의 상금과 감사장을 받았다.

A씨는 모바일 앱에서 해커가 공격 명령어를 마음대로 실행할 수 있는 이른바 ‘원격코드실행(RCE, Remote Code Execution) 취약점’을 발견해 신고했다. 이 취약점은 공격자가 악용하는 경우 시스템을 장악해 금융소비자의 금융·개인정보를 탈취할 수 있지만, 다행히 A씨의 취약점 신고로 즉시 보안조치해 사전에 보안사고를 예방할 수 있었다는 것이 금융보안원의 설명이다.

금융보안원 김철웅 원장은 “화이트해커들의 집단지성을 통해 버그바운티에 참여한 금융회사의 신규 취약점을 조기에 발굴·제거한다면 금융서비스의 안전성을 더욱 강화할 수 있을 것”이라며 “잠재적 보안위협에 선제적으로 대응하기 위해서는 개방과 협력이 무엇보다 중요한 시기다. 금융권 버그바운티가 금융회사와 보안전문가들이 서로 소통하고 협력하는 장이 될 수 있도록 지속적으로 신고대상 등을 확대해 나가겠다”고 말했다.

이종현 기자
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널