[아이티데일리] 금융보안원(원장 김철웅)은 2024년 한 해 동안 운영한 금융권 취약점 신고포상제인 버그바운티(Bug Bounty) 성과를 18일 발표했다.

올해 금융보안원의 버그바운티는 금융회사 보안 사각지대를 최소화하고자 ▲금융회사 서비스를 대상으로 하는 집중신고와 ▲금융권 공통 소프트웨어·보안솔루션을 대상으로 하는 상시신고 등으로 나눠 투트랙(Two-Track)으로 확대 실시했다.

먼저 집중신고 부문은 화이트해커 총 150명이 참여해 전년 대비 108% 증가한 총 249건의 취약점을 발굴했다. 또한 올해 처음 운영한 상시신고 부문에서는 총 17명의 화이트해커가 공동인증, 키보드보안, 로그수집, ARS 등 20개의 금융권 소프트웨어·솔루션에서 총 43건의 취약점을 발굴했다.

발굴한 취약점은 출현도, 영향도, 공격난이도, 발굴난이도 등을 평가해 최종 222건이 포상금 지급 대상 취약점으로 선정됐다. 평가점수 누적 합계 상위 23명에 대해 총 5,000만원 상당의 포상금을 지급하고, 우수 취약점 신고자 4명에게는 금융보안원 감사장을 수여했다. 취약점 신고 점수 상위 10위 안에 드는 화이트해커들은 올해 신설한 명예의 전당에 등록됐다.

한편 금융보안원은 금융회사와 소프트웨어 개발사가 취약점 발굴에 보다 더 주체적으로 참여할 수 있도록 버그바운티 공동운영 제도도 신설했다. 현재 지니언스, 시큐브, 지란지교소프트 등 3개 기업이 참여하고 있다. 금융보안원은 앞으로도 버그바운티 활성화를 위해 제도 저변을 지속적으로 넓혀 나간다는 계획이다.

금융보안원 김철웅 원장은 “앞으로도 금융보안원은 버그바운티를 통해 능동적인 보안문화를 더욱 활성화시키고, 소프트웨어 공급망 보안 강화를 위해 국내외 유관기관들과도 긴밀한 협력 체계를 이어가는 등 금융권 전반의 보안성 향상을 위한 노력을 아끼지 않을 것”이라고 밝혔다.