금융보안원이 전자금융 소프트웨어 취약점을 미리 찾고 제거하기 위해 '2025년 금융권 SW 취약점 신고 포상제(버그바운티)'를 운영한다.
금융보안원은 상시신고를 통해 서비스형 소프트웨어(SaaS) 기반의 금융 클라우드 환경에서 취약점을 발굴하고, 오는 6월부터 8월에는 '집중신고'로 금융사 모바일 앱, HTS 등 전자금융 서비스 취약점을 발굴할 예정이다.
버그바운티는 화이트해커, 정보보호에 관심있는 학생 등 누구나 참여할 수 있다. 상시신고는 공동운영 협약을 맺은 기업들과 함께 운영되며, 참여사 제품의 취약점 신고는 참여사가 직접 평가하고, 포상을 지원할 에정이다. 현재 참여 기업은 시큐브, 지니언스, 지란지교소프트, 휴네시온이다.
집중신고는 신고대상 참여를 희망하는 금융회사를 오는 4월부터 모집하고, 6월부터 3개월동안 취약점 신고를 받는다.
금융보안원은 올해 포상금 대상을 확대해 취약점 수준에 따라 최대 1000만원 상당의 금액을 지급한다. 또 우수 신고자는 금융보안원 입사 지원을 우대한다.
버그바운티는 전자금융 환경이 다양해지면서 신규 취약점을 대상으로 하는 제로데이 공격이 늘어난 상황에서 안전하고 신뢰할 수 있는 전자금융 환경을 조성하는 데 기여할 것으로 기대된다.
박상원 금융보안원 원장은 “금융권 버그바운티로 소프트웨어 취약점을 선제적으로 발굴하고 발견된 취약점을 금융회사와 개발사 등이 신속히 조치하도록 일관되고 전반적인 지원을 하고 있다”고 말했다.
박두호 기자 walnut_park@etnews.com
