최대 1천만 원 포상금… 금감원, GA 포함 금융권 70개사 '버그바운티' 가동 - 보험저널

금융감독원과 금융보안원이 금융회사가 운영하는 디지털 금융서비스의 보안 취약점을 선제적으로 발굴하기 위해 2026년 보안취약점 신고포상제, 이른바 버그바운티를 공동 실시한다고 18일 밝혔다. 특히 올해는 기존 은행과 금융투자, 보험사 등 전통 금융사를 넘어 법인보험대리점(GA)과 가상자산사업자까지 참여 범위를 넓혀 금융권 전반의 보안 역량 강화에 나선다.

버그바운티는 화이트해커 등 외부 참가자가 금융회사의 웹사이트, 모바일 앱, HTS 등에서 새로운 보안 취약점을 발견해 신고하면 이를 평가해 포상금을 지급하는 제도다. 최근 금융권 내 인공지능(AI) 활용, 클라우드 전환, 오픈소스 기반 소프트웨어 확산 등으로 보안 점검이 필요한 영역이 급증함에 따라, 알려지지 않은 취약점을 능동적으로 찾아 사이버 위협에 대비하겠다는 취지다.

올해 버그바운티 취약점 탐지 대상 금융회사는 전년 32개사에서 70개사로 119% 대폭 확대됐다. 이에 따라 참가자들은 GA 등을 포함한 70개사가 제공하는 총 306개의 디지털 금융서비스를 점검하게 된다. 신고 편중을 막기 위해 참여 회사를 월별로 구분해 1개월씩 순차적으로 운영할 예정이다.

포상과 혜택도 풍성하다. 발견된 취약점의 평가 등급에 따라 건당 최대 1000만 원의 포상금이 지급된다. 우수 신고자에게는 감사장이 수여되며, 수여일로부터 2년 이내에 금융보안원 정보보호 분야 입사 지원 시 우대 혜택을 제공한다. 또한 평가 점수에 따라 금융보안원 명예의 전당에도 등재된다.

국내외에 거주하는 대한민국 국민이라면 누구나 참여할 수 있다. 참가를 원하면 오는 8월 31일까지 금융보안원의 금융권 SW 공급망 보안 플랫폼에 접속해 화이트해커로 회원가입을 한 뒤 집중신고 참가 신청을 해야 한다. 참가 신청을 완료한 경우에만 신고대상 상세 정보 확인 및 취약점 발굴과 신고가 가능하다. 실제 취약점 신고는 6월 1일부터 8월 31일까지 3개월간 진행되며, 결과 평가 및 포상은 9월부터 11월 사이에 이뤄진다.

이종오 금융감독원 디지털·IT 부원장보는 이번 버그바운티는 금융회사 스스로 잠재 보안취약점을 발굴하고 개선하는 자율 시정의 기회라며, 화이트해커의 집단지성을 통해 고도화되는 사이버위협에 선제적으로 대응함으로써 금융권 전반의 보안 대응 역량을 실질적으로 강화하는 계기가 되기를 기대한다고 말했다.

금감원과 금융보안원은 앞으로도 더 많은 금융회사와 실력 있는 화이트해커들이 참여할 수 있도록 인센티브 강화 방안 등을 지속적으로 검토할 계획이다.

출처: https://www.insjournal.co.kr/news/articleView.html?idxno=31509