금융보안원이 금융소비자 보호와 금융서비스의 안전성 강화를 위해 금융회사와 공동으로 추진하는 금융권 보안 취약점 신고포상제인 2023년 금융권 버그바운티(Bug Bountry) 운영 계획을 발표했다.

금년에는 은행·금융투자·보험·전자금융 권역의 ▲BNK부산은행 ▲경남은행 ▲케이뱅크 ▲카카오뱅크 ▲메리츠증권 ▲한화손해보험 ▲흥국화재해상보험 ▲DGB생명보험 ▲네이버파이낸셜 ▲뱅크샐러드 등 14개 금융회사가 버그바운티에 참여할 예정이며,

특히, 보안위협의 선제적 제거 및 금융권 사이버 보안의 사각지대 해소를 위해 금융회사 웹사이트, HTS(Home Trading System) 프로그램 등까지 신고대상을 확대하여 진행한다.

금융권 버그바운티는 화이트해커, 정보보호에 관심이 많은 대학(원)생 등 대한민국 국민이라면 누구나 참가 가능하며, 금융보안원 홈페이지에 게시된 참가신청서를 이메일로 제출하고, 신고대상 안내를 받은 뒤 취약점 발굴 및 신고를 할 수 있다.

또한, 신고된 취약점은 취약점의 영향도, 파급력 등을 평가하여 등급에 따라 최대 1천만원의 포상금을 지급하고, 또한 우수 취약점 신고 건의 경우 감사장 수여 및 금융보안원 입사지원 시 우대할 계획이다.

국내 정보기술(IT) 회사에 근무하고 있는 보안전문가 A씨는 금융권 버그바운티에 처음 참가하여 우수 취약점 4개를 통해 약 2천여만원의 상금과 감사장을 받았다.

A씨는 모바일 앱에서 해커가 공격 명령어를 마음대로 실행할 수 있는 이른바 ‘원격코드실행(RCE, Remote Code Execution) 취약점’을 발견하여 신고하였다. 이 취약점은 공격자가 악용하는 경우 시스템을 장악하여 금융소비자의 금융·개인정보를 탈취할 수 있지만, 다행히 A씨의 취약점 신고로 즉시 보안 조치하여 사전에 보안사고를 예방할 수 있었다.

금융보안원 김철웅 원장은 “화이트해커들의 집단지성을 통해 버그바운티에 참여한 금융회사의 신규 취약점을 조기에 발굴·제거한다면 금융서비스의 안전성을 더욱 강화할 수 있을 것이다. 잠재적 보안 위협에 선제적으로 대응하기 위해서는 개방과 협력이 무엇보다 중요한 시기이며, 금융권 버그바운티가 금융회사와 보안전문가들이 서로 소통하고 협력하는 장이 될 수 있도록 지속적으로 신고대상 등을 확대해 나가겠다”고 말했다.