18일 금융감독원에 따르면 금감원과 금융보안원은 금융회사가 운영하는 디지털 금융서비스의 보안 취약점을 외부 시각에서 선제적으로 발굴하고 신속히 보완하기 위해 '2026년 금융권 보안취약점 신고포상제'를 공동 실시한다.
보안취약점 신고포상제는 이른바 '버그바운티'로 불린다. 화이트해커 등 외부 참가자가 금융회사가 운영하는 웹사이트, 모바일 앱, HTS(홈트레이딩시스템) 등 디지털 금융서비스에서 새로운 보안 취약점을 발견해 신고하면 평가를 거쳐 포상금을 지급하는 제도다.
금융권에서는 AI(인공지능) 활용, 클라우드 전환, 오픈소스 기반 SW(소프트웨어) 개발 확산 등으로 보안 점검이 필요한 영역이 계속 넓어지고 있다. 금감원은 버그바운티가 아직 알려지지 않은 취약점을 능동적으로 발굴하고 시정함으로써 금융회사들이 사이버 위협에 선제적으로 대비하는 기회가 될 것으로 보고 있다.
올해는 참여 대상이 크게 늘었다. 기존 은행, 금융투자, 보험 등 전통 금융회사뿐 아니라 가상자산사업자와 GA(법인보험대리점) 등도 참여한다. 이에 따라 취약점 탐지 대상은 지난해 32개사에서 올해 70개사로 119% 증가했다. 점검 대상 서비스도 총 306개로 확대됐다.
대한민국 국민이면 누구나 오는 8월 31일까지 금융보안원의 '금융권 SW(소프트웨어) 공급망 보안 플랫폼'에서 신청한 뒤 참여할 수 있다. 참가 신청을 완료해야 신고 대상 상세 정보를 확인하고 취약점 발굴·신고를 진행할 수 있다.
취약점 신고 기간은 6월 1일부터 8월 31일까지 3개월이다. 참가자는 70개 금융회사가 허용한 306개 디지털 금융서비스에서 신규 취약점을 발견해 신고할 수 있다. 신고 대상은 웹사이트, 모바일 앱, HTS(홈트레이딩시스템) 등이다. 신고 편중을 막기 위해 참여 회사는 월별로 구분해 1개월씩 순차 운영되며, 이에 따라 월별 신고 대상도 달라진다.
참가자는 금융권 SW(소프트웨어) 공급망 보안 플랫폼에서 '화이트해커'로 회원가입한 뒤 집중신고 참가를 신청하면 된다. 취약점을 신고할 때는 플랫폼 내 신고접수 양식에 따라 취약점 내용을 상세히 작성하고 PoC(개념증명) 코드를 첨부해 제출해야 한다.
포상금은 취약점 평가 등급에 따라 건당 최대 1000만원까지 지급된다. 우수 신고자에게는 감사장이 수여되며, 감사장 수여일로부터 2년 이내 금융보안원 정보보호 분야 입사 지원 시 우대 혜택도 제공된다. 평가 점수에 따라 금융보안원 명예의 전당에 등재될 수도 있다.
이종오 금융감독원 디지털·IT(정보기술) 부원장보는 "이번 버그바운티는 '사전 예방적 디지털 리스크 감독방안'의 하나로 실시하는 것으로, 금융회사 스스로 잠재 보안취약점을 발굴·개선하는 자율 시정의 기회"라고 말했다.
이어 "화이트해커의 집단지성을 통해 고도화되는 사이버위협에 선제적으로 대응함으로써, 금융권 전반의 보안 대응 역량을 실질적으로 강화하는 계기가 되기를 기대한다"고 밝혔다.
금감원과 금융보안원은 안전한 디지털 금융환경을 조성하고 금융회사의 자율적인 보안 역량을 강화하기 위해 버그바운티를 지속 확대할 계획이다. 이를 위해 더 많은 금융회사와 실력 있는 화이트해커가 참여할 수 있도록 인센티브를 강화하는 방안도 검토하기로 했다.
<저작권자 © ‘존중받는 개인, 부강한 대한민국’ 시대, 무단전재 및 재배포 금지>