“보안신고하면 최대 1000만원”…금감원, 금융권 버그바운티 실시

금융감독원과 금융보안원은 사이버 위협에 선제적으로 대응하기 위해 금융권 '버그 바운티'(보안취약점 신고포상제) 집중 신고 기간을 6월부터 8월까지 운영한다고 27일 밝혔다. 취약점을 신고한 참가자에게는 최대 1000만 원의 포상금이 지급된다.

버그바운티는 금융회사 웹사이트, 모바일 애플리케이션(앱), 홈트레레이딩시스템(HTS) 등을 대상으로 외부 화이트해커나 학생 등이 보안 취약점을 탐지·신고하면 평가를 거쳐 보상을 주는 제도다. 최근 금융권에서도 인공지능(AI), 클라우드, 오픈소스 소프트웨어 등 신기술 도입이 확산되며 기존 내부 점검만으로는 찾기 어려운 제로데이 취약점의 위험이 커지고 있어 외부 집단지성을 활용한 대응 필요성이 커지고 있다.

이번 프로그램에는 NH농협은행, 신한은행, 카카오뱅크, 미래에셋증권, 네이버파이낸셜 등 32개 금융회사가 참여하며 지난해보다 10곳 늘었다. 취약점을 찾는 공격자는 화이트해커, 학생, 일반인 등 국내외에 거주하는 대한민국 국민이면 누구나 참가를 신청할 수 있다. 취약점 신고서를 작성해 이메일로 제출하면 된다.

신고된 취약점에 관해선 9∼11월 중요도와 파급력 등과 관련한 전문위원들의 평가를 거쳐 최대 1000만 원의 포상금이 지급된다. 우수취약점 신고자는 금융보안원 입사 지원 시 우대해준다. 신고 기간은 6월 1일부터 8월 31일까지 3개월이며 이후 9월부터 11월까지 전문위원 평가를 거쳐 포상금이 지급된다.

금감원은 “버그바운티를 통해 금융회사가 자율적으로 보안 취약점을 점검하고 보안역량을 높일 수 있도록 적극 지원하겠다”고 밝혔다.