[아이티데일리] 금융보안원(원장 김철웅)은 해커의 표적이 될 수 있는 금융회사의 취약점을 최소화하기 위해 금융권 보안 취약점 신고포상제인 ‘2024년 금융권 버그바운티’를 집중신고와 상시신고 투트랙으로 확대 운영한다고 28일 밝혔다.

버그바운티(Bug Bounty)란 소프트웨어나 웹 사이트를 대상으로 보안 취약점을 발견·신고하면 이를 평가해 포상금을 지급하는 제도다. 2019년부터 실시해 온 집중신고의 경우, 금융회사의 서비스를 대상으로 집중신고 기간인 6월부터 8월까지 보안 취약점 신고를 받는다. 올해는 보다 많은 참여를 위해 금융감독원과 공동 주최하며, 전년 대비 7개사가 증가한 은행·금융투자·보험· 중소서민·전자금융 등 분야 21개 금융회사가 참여 신청했다.

집중신고에 참여하고자 하는 화이트해커는 참가신청서를 5월부터 8월까지 제출하고 웹, 모바일, HTS 등 신고대상을 별도 안내받은 뒤 취약점을 6월부터 8월까지 신고할 수 있다. 상시신고는 신규 취약점 발굴 강화와 금융권 보안성 향상을 위해 올해 처음 운영되며, 금융권에서 사용하는 공통 소프트웨어와 보안 솔루션을 대상으로 실시한다. 별도의 참가 신청 없이 연중 언제든지 금융권 사용 소프트웨어 및 솔루션에서 발굴한 취약점을 신고할 수 있다.

취약점 수준에 따라 최대 1천만 원의 포상금 및 감사장이 지급되며, 우수 신고자는 금융보안원 입사 지원 시 우대하고 홈페이지의 취약점 발굴 명예의 전당에 게시한다. 특히 위험도가 높고 파급력이 매우 큰 취약점을 신고한 경우 CVE 크레딧(Credit, 기여인정)을 부여할 예정이다.

금융보안원 김철웅 원장은 “금융권 버그바운티를 확대 운영함으로써 소프트웨어 공급망 및 제3자 위협 관련 취약점을 선제적으로 탐지하고 제거하는 데 도움이 될 것으로 기대한다”며 “앞으로도 금융보안원은 공급망보안 체크리스트를 개발하고 SBOM 관리모델을 마련하는 등 금융권 소프트웨어 공급망 보안 강화를 위한 노력을 아끼지 않을 것”이라고 밝혔다.