전자금융서비스 취약점 조기 발견해 피해 예방
[데이터넷] 금융보안원(원장 김영기)은 금융권에서 사용 중인 소프트웨어를 대상으로 신규 보안 취약점을 신고하면 이를 평가해 포상금을 지급하는 금융권 버그바운티(Bug Bounty)를 5월부터 실시한다고 23일 밝혔다.
금융보안원은 지난해 금융권 버그바운티를 실시해 APT 공격 취약점 등 주요 취약점 신고자에 대해 포상금을 지급하고, 해당 취약점 정보를 소프트웨어 제조사와 공유해 패치 프로그램을 배포했다. 올해는 전년보다 신규 취약점 신고 기간 및 포상금 규모를 더욱 확대해 운영할 예정이다.
올해 버그바운티는 국내 금융회사가 전자금융 소비자에게 제공하는 논액티브X 소프트웨어의 신규 보안 취약점을 대상으로 하며, 정보통신망법 등 관계 법령을 위반하여 신고한 취약점은 버그바운티 대상에서 제외된다.
탐지된 취약점의 신고기간은 상반기 5~6월, 하반기 8~9월이며, 포상금은 최대 1000만원이다. 상반기 포상은 8월, 하반기 포상은 11월에 진행된다.
금융권은 버그바운티 운영을 통해 금융회사 뿐만 아니라 전자금융 소비자에게 심각한 피해를 초래할 수 있는 신규 보안 취약점을 찾아서 신속하게 수정·보완함으로써 금융회사 이용 소프트웨어의 안전성을 강화하는 한편 침해사고 예방효과를 더욱 높일 수 있을 것으로 기대된다.
김영기 금융보안원장은 “2019년 기준 인터넷뱅킹(모바일 포함)을 통한 자금이체 규모가 일평균 25조원 이상인 점을 감안하면 전자금융서비스 관련 소프트웨어의 보안성과 안전성 확보는 필수”라며 “금융보안원은 전자금융 소비자가 금융서비스를 안심하고 이용할 수 있도록 지속적으로 노력해 나갈 것이며, 금번 버그바운티에 국·내외 역량있는 보안전문가들의 적극적인 참여를 기대한다”고 밝혔다.
