6~8월 32개 금융사 대상 집중 신고 … 최대 1000만원 포상금금융사 보안 집단지성 활용 … 작년보다 대상 기관 10곳 늘어
  • ▲ ⓒ금감원
    ▲ ⓒ금감원
    디지털 기술을 활용하는 전자금융 서비스가 늘면서 자체 점검만으로 발견 못하는 취약점을 외부 전문가가 찾아내는 ‘버그바운티(Bug Bounty)’ 제도가 금융권 전반으로 확대된다. 

    금융감독원과 금융보안원은 오는 6월 1일부터 8월 31일까지 3개월간, 전국 32개 금융회사를 대상으로 보안취약점 신고포상제를 실시한다고 27일 밝혔다.

    참여자는 화이트해커, 정보보호 전공자, 대학(원)생 등 대한민국 국민 누구나 가능하며, 발견된 취약점은 중요도 평가를 거쳐 최대 1000만원까지 포상금이 지급된다.

    ‘버그바운티’는 금융회사 내부 점검으로는 놓치기 쉬운 보안 취약점을 외부 시각과 기술 역량을 통해 조기에 발견하고 선제적으로 대응하기 위한 제도다.

    올해는 NH농협은행, 카카오뱅크, 신한은행, 네이버파이낸셜, 케이뱅크, 금융투자협회 등 32개 기관이 대상이다. 작년(22개사)보다 10곳 늘어났으며, 모바일 앱·홈트레이딩시스템(HTS)·웹사이트 등 다양한 경로가 점검 대상이다.

    금감원 관계자는 “제로데이 공격 등 신종 사이버 위협이 증가하는 가운데, 금융회사가 자율시정 역량을 높이고 보안 인식을 고도화하는 데 기여할 것”이라고 설명했다.

    참여 희망자는 금융보안원 홈페이지에서 신청서를 작성해 이메일로 제출하면 된다.

    참가 등록을 완료한 후에만 신고 대상 기관별 정보와 테스트 조건을 열람할 수 있으며, 법령을 위반한 행위는 포상에서 제외된다.

    금융보안원은 취약점의 중요도와 파급력을 기준으로 9~11월 동안 전문가 평가를 진행해 포상 대상을 선정하며, 우수 신고자에게는 채용 우대와 ‘명예의 전당’ 등재 등의 혜택도 제공할 방침이다. 또 화이트해커의 참여를 유도하기 위해 인센티브 확대, 우수 인재 발굴 채널로의 활용 방안도 검토 중이다.