금융보안원(원장 김철웅)은 금융소비자 보호와 금융서비스의 안전성 강화를 위해 금융회사와 공동으로 추진하는 금융권 보안 취약점 신고포상제인 ‘2023년 금융권 버그바운티(Bug Bountry)’ 운영 계획을 발표하였다.

버그바운티(Bug Bounty)는 서비스와 제품의 신규 취약점을 신고받아 이를 평가하여 포상금을 지급하는 제도로 금융보안원은 2019년부터 운영 중이다. 

올해는 은행·금융투자·보험·전자금융 권역의 ▲BNK부산은행, ▲경남은행, ▲케이뱅크, ▲카카오뱅크, ▲메리츠증권, ▲한화손해보험, ▲흥국화재해상보험, ▲DGB생명보험, ▲네이버파이낸셜, ▲뱅크샐러드 등 14개 금융회사가 버그바운티에 참여할 예정이며 특히, 보안위협의 선제적 제거 및 금융권 사이버 보안의 사각지대 해소를 위해 금융회사 웹사이트, HTS(Home Trading System) 프로그램 등까지 신고대상을 확대하여 진행한다.

HTS(Home Trading System)는 개인 투자자가 객장에 나가지 않고, 집이나 사무실에서 주식거래를 할 수 있는 프로그램을 말한다. 

금융권 버그바운티는 화이트해커, 정보보호에 관심이 많은 대학(원)생 등 대한민국 국민이라면 누구나 참가 가능하며, 금융보안원 홈페이지에 게시된 참가신청서를 이메일로 제출하고, 신고대상 안내를 받은 뒤 취약점 발굴 및 신고를 할 수 있다.

또한, 신고된 취약점은 취약점의 영향도, 파급력 등을 평가하여 등급에 따라 최대 1천만원의 포상금을 지급하고, 또한 우수 취약점 신고 건의 경우 감사장 수여 및 금융보안원 입사지원 시 우대할 계획이다.

한편 2022년 금융권 버그바운티 취약점 발굴 우수 사례 및 효과를 살펴보면, 국내 정보기술(IT) 회사에 근무하고 있는 보안전문가 A씨는 금융권 버그바운티에 처음 참가하여 우수 취약점 4개를 통해 약 2천여만원의 상금과 감사장을 받았다.

A씨는 모바일 앱에서 해커가 공격 명령어를 마음대로 실행할 수 있는 이른바 ‘원격코드실행(RCE, Remote Code Execution) 취약점’을 발견하여 신고했다. 이 취약점은 공격자가 악용하는 경우 시스템을 장악하여 금융소비자의 금융·개인정보를 탈취할 수 있지만, 다행히 A씨의 취약점 신고로 즉시 보안조치하여 사전에 보안사고를 예방할 수 있었다.

★대한민국 시큐리티 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★