다음 달부터 3개월 동안 금융권의 보안 취약점을 발견해 신고하면 최대 1000만 원을 포상하는 ‘버그바운티’가 운영된다.
금융감독원은 금융보안원과 사이버 위협에 선제 대응하기 위해 이같이 운영한다고 27일 밝혔다.
은행·증권·보험 등 총 21개 금융사가 참여하며 소프트웨어나 웹사이트가 대상이다. 취약점을 찾는 공격자는 화이트해커·학생·일반인 등 대한민국 국민이면 누구나 가능하다. 신고된 취약점은 전문 위원들의 평가를 거쳐 최대 1000만 원의 포상금이 지급된다. 위험도가 높고 파급력이 큰 취약점의 경우 전 금융사에 전파해 보완하고 CVE(소프트웨어에 존재하는 보안 취약점을 가리키는 국제 식별 번호) 등재도 추진할 예정이다. 참여 인원 제한이 없기 때문에 역량 있는 다수가 정보 시스템을 점검할 수 있고 화이트해커 등 외부 공격자 시선에서 ‘알려지지 않은 취약점’을 사전에 발굴할 수 있을 것으로 기대된다. 이복현 금감원장은 “버그바운티는 나날이 고도화하는 사이버 위협에 대비할 수 있는 새로운 형태의 보안 역량 강화 프로그램”이라며 “이번 기회를 통해 금융권의 보안 수준이 한층 더 강화되는 계기가 됐으면 한다”고 말했다.
금감원이 이번에 버그바운티를 운영하기로 한 것은 최근 사이버 위협이 지능화·고도화하면서 국내 금융회사의 전자금융 기반 시설을 안전하게 보호할 필요성이 높아지고 있기 때문이다. 특히 새로운 금융 정보기술(IT), 소프트웨어가 도입되면서 아직 조치 방안이 발표되지 않은 보안 취약점을 이용한 ‘제로데이 어택’ 등 다양한 해킹 시도가 이뤄지고 있다. 금감원 관계자는 “버그바운티를 지속적으로 확대·추진하고 보다 많은 금융회사들이 참여할 수 있도록 ‘취약점 분석 평가’ 업무 시 인센티브 부여 등 관련 내용도 함께 검토할 계획”이라고 전했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
jseop@sedaily.com
