연합뉴스금융감독원이 금융회사의 보안 취약점을 발견하거나 신고하면 최대 1천만원의 포상금을 주는 버그바운티를 실시한다.
금감원과 금융보안원은 다음달부터 8월까지 3개월간 금융권역 버그바운티 집중신고 기간을 운영한다고 27일 밝혔다.
버그바운티(Bug Bounty)는 소프트웨어나 웹사이트를 대상으로 보안 취약점을 발견·신고하면 이를 평가해 포상금을 지급하는 제도다. 기존 모의해킹과 달리 누구나 참가할 수 있고 인원이 한정돼 있지 않아 역량 있는 다수가 정보시스템을 점검할 수 있는 특징이 있다.
이번 취약점 탐지 대상 기관에는 은행·증권·보험 등 총 21개 금융회사가 참가했다. 취약점을 찾는 공격자로는 화이트해커나 학생, 일반인 등 대한민국 국민이면 누구나 참가신청·승인 절차를 거쳐 참여할 수 있다.
금감원은 "금융회사가 자체 보안점검만으로는 미처 발견하지 못한 취약점을 외부 해커 관점의 집단지성을 통해 조기에 발견하고 신속히 해결할 수 있을 것으로 기대한다"고 말했다.
신고된 취약점은 전문위원들의 평가를 거쳐 최대 1천만원의 포상금이 지급된다. 위험도가 높고 파급력이 큰 취약점의 경우 전 금융회사에 신속하게 전파해 보완하고 국제 식별번호(CVE) 등재도 추진할 예정이다.
이복현 금감원장은 "버그바운티는 나날이 고도화 되는 사이버 위협에 대비할 수 있는 새로운 형태의 보안역량 강화 프로그램"이라며 "이번 기회를 통해 금융권의 보안 수준이 한층 강화됐으면 한다"고 밝혔다.