금융앱 대상 보안취약점 신고포상제 ‘금융권 버그바운티’ 시작

카카오뱅크·네이버페이 등 금융사 모바일 애플리케이션(앱)과 웹 애플리케이션 대상 신규 사이버보안 취약점 신고포상제가 이달부터 시작됐다.

금융보안원(원장 김철웅)은 사이버보안 취약점을 선제적으로 발굴·제거해 금융소비자 보호와 금융서비스 안전성을 강화하기 위한 ‘2022년 금융권 버그바운티(Bug Bounty)’를 실시한다고 3일 밝혔다.

버그바운티는 서비스와 제품의 신규 취약점을 신고받아 이를 평가해 포상금을 지급하는 제도로, 금융보안원은 금융권 버그바운티를 지난 2019년부터 시행해왔다. 작년까지는 인터넷뱅킹 보안 프로그램만을 대상으로 실시했으나 올해에는 인터넷뱅킹 등 금융회사 모바일 앱과 웹 애플리케이션, 논액티브엑스(Non-ActiveX) 소프트웨어 모두 취약점 신고 대상이다. 이밖에도 다수의 금융회사가 사용하는 민간 소프트웨어인 지란지교소프트 나모크로스 웹에디터도 신고 대상에 포함해, 대상을 다방면으로 확대했다.

이번 금융권 버그바운티에는 은행·금융투자·보험·전자금융 권역의 ▲케이뱅크 ▲카카오뱅크 ▲한화손해보험 ▲메트라이프생명보험 ▲흥국화재해상보험 ▲DGB생명보험 ▲네이버파이낸셜 등 11개 금융회사가 금융권 버그바운티에 참여하기로 했다.

신고된 취약점은 금융소비자 피해 가능성 등을 평가해 등급에 따라 최대 1000만원의 포상금을 지급한다. 올해부터는 우수 취약점 신고자에 대해 포상금뿐만 아니라 금융보안원 입사지원시 우대도 제공할 계획이다.

참가자가 금융보안원에 신고한 주요 보안 취약점은 금융회사 또는 소프트웨어 개발사에 신속하게 공유해 보안 패치, 업데이트 개발을 지원한다.

금융보안원 김철웅 원장은 “디지털 건전성(Digital Soundness)을 유지하기 위해서는 사전에 보안 취약점을 식별하고, 제거하는 것이 매우 중요하다”면서 “지속적으로 금융권 버그바운티 신고대상과 참여기관을 확대해 나감으로써 화이트해커 등 역량있는 보안전문가들이 적극적으로 참여할 수 있도록 하겠다”고 밝혔다.

올해의 금융권 버그바운티에는 화이트해커, 정보보호에 관심이 있는 대학·대학원생 등 국내·외에 거주하는 대한민국 국민이면 누구나 참가할 수 있다. 취약점 발굴 및 신고는 참가신청을 완료한 경우에만 할 수 있다. 참가신청을 하지 않거나 정보통신망법 등 관계 법령을 위반해 신고한 취약점은 포상대상에서 제외되며 법적 책임을 질 수 있다.

신고 기간은 이달부터 오는 10월 말까지이다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network