금감원-금보원, 금융권 버그바운티 집중 신고 기간 운영

서울 여의도 금융감독원 본원 전경. ⓒ금융감독원

최근 사이버 위협이 지능화·고도화 되어감에 따라 국내 금융회사의 전자금융기반시설을 안전하게 보호할 필요성이 높아지고 있다. 금융당국은 이 같은 위협에 선제적으로 대응하기 위해 금융권역 보안취약점 신고포상제(버그바운티) 집중 신고 기간을 운영한다.

금융감독원과 금융보안원은 외부위협에 선제적으로 대응하기 위해 오는 6월부터 8월까지 버그바운티 집중 신고 기간을 운영한다고 28일 밝혔다.

최근 사이버 위협이 지능화·고도화 되어감에 따라 국내 금융회사의 전자금융기반시설을 안전하게 보호할 필요성이 높아지고 있다. 특히, 끊이지 않는 다양한 해킹 시도는 금융IT 신기술, 소프트웨어 도입과 함께 ‘알려진 보안취약점’ 외에 아직 공표되지 않거나 조치방안이 발표되지 않은 보안취약점을 이용한 사이버 공격도 이어지고 있다.

‘취약점 탐지 대상’으로 ▲은행 ▲증권 ▲보험 등 총 21개 금융회사가 참가한다. ‘취약점을 찾는 공격자’는 화이트해커·학생·그 외 일반인 등 대한민국 국민 누구나 참가 신청 및 승인 후에 참여할 수 있다.

버그바운티 운영으로 금융회사가 자체 내부 보안점검만으로는 미처 발견하지 못한 취약점을 외부 해커(공격자) 관점의 집단지성을 통해 조기에 발견하고, 이를 신속히 해결할 수 있을 것을 기대한다고 금감원은 밝혔다.

이번에 신고된 취약점은 전문위원들의 평가를 거쳐 최대 1000만원의 포상금이 지급될 예정이며, 위험도가 높고 파급력이 큰 취약점의 경우 전 금융회사에 신속하게 전파해 보완하고 보안취약점 국제 식별번호(CVE) 등재도 추진할 예정이다.

이복현 금감원장은 “버그바운티는 나날이 고도화 되어가는 사이버 위협에 대비할 수 있는 새로운 형태의 보안역량 강화 프로그램”라며 “이번 기회를 통해 금융권의 보안 수준이 한층 더 강화되는 계기가 되었으면 한다”고 강조했다.

금감원 관계자는 “앞으로 안전한 금융환경 조성을 위해 버그바운티를 지속 확대‧추진해 나갈 예정”이라며 “보다 많은 금융회사들이 참여할 수 있도록 ‘취약점 분석평가’ 업무시 인센티브 부여 등 관련 내용도 함께 검토해 나갈 계획”이라고 밝혔다.