|
금융감독원은 금융보안원과 사이버 위협에 선제 대응하기 위해 금융권 ‘버그 바운티’(보안취약점 신고포상제) 집중 신고 기간을 내달부터 8월까지 3개월 동안 운영한다고 27일 밝혔다.
버그 바운티는 소프트웨어나 웹사이트를 대상으로 보안 취약점을 발견·신고하면 이를 평가해 포상하는 제도다. 기존 모의해킹과 달리 누구나 참가할 수 있고 인원이 한정돼 있지 않기 때문에 역량이 있는 다수가 정보시스템을 점검할 수 있는 방식이며 화이트해커 등 외부 공격자 시선에서 ‘알려지지 않은 취약점’을 사전에 발굴하는 적극적 보안대응의 개념이다.
이번 집중신고제는 최근 사이버 위협이 지능화·고도화 하면서 국내 금융회사의 전자금융 기반시설을 안전하게 보호할 필요성이 높아지고 있다는 점에서 마련됐다. 특히 새로운 금융 정보기술(IT), 소프트웨어가 됭ㅂ되면서 아직 조치방안이 발표되지 않은 보안 취약점을 이용한 ‘제로데이 어택’ 등 다양한 해킹 시도가 이뤄지고 있다.
취약점 탐지 대상으로는 은행·증권·보험 등 총 21개 금융사가 참여했다. 취약점을 찾는 공격자는 화이트해커, 학생, 일반인 등 대한민국 국민이면 누구나 참가를 신청할 수 있다.
신고된 취약점은 전문위원들의 평가를 거쳐 최대 1000만 원의 포상금이 지급된다. 위험도가 높고 파급력이 큰 취약점의 경우에는 전 금융사에 전파해 보완하고, CVE(소프트웨어에 존재하는 보안취약점을 가리키는 국제 식별번호) 등재도 추진할 예정이다.
금감원과 금보원은 향후에도 버그바운티를 지속적으로 확대·추진하고 보다 많은 금융회사들이 참여할 수 있도록 ’취약점 분석평가‘ 업무 시 인센티브 부여 등 관련 내용도 함께 검토해나갈 계획이다.
이복현 금감원장은 “버그 바운티는 나날이 고도화하는 사이버 위협에 대비할 수 있는 새로운 형태의 보안역량 강화 프로그램”이라며 “이번 기회를 통해 금융권의 보안 수준이 한층 더 강화되는 계기가 되었으면 한다”고 말했다.
댓글0