금융보안원, '버그바운티' 실시.. 보안 취약점 신고시 포상

금융보안원, 국내 금융권 유일의「2022년 버그바운티(Bug Bounty)」실시

  - 금융권 사이버 보안 취약점 신고 포상제를 통해 금융소비자 보호와 금융서비스 안전성을 한층 더 강화해 나갈 계획

[1] 개요

□ 금융보안원(원장 김철웅)은 사이버 보안 취약점을 선제적으로 발굴·제거하여 금융소비자 보호와 금융서비스 안전성을 강화하기 위한 「2022년 금융권 버그바운티(Bug Bounty)」를 실시

    ※ 버그바운티(Bug Bounty) : 서비스와 제품의 신규 취약점을 신고받아 이를 평가하여 포상금을 지급하는 제도로 금융보안원은 ‘19년부터 현재까지 운영중

[2] 2022년 금융권 버그바운티 주요 특징

□ (신고대상 확대) 인터넷뱅킹 보안 프로그램 외에도 11개 금융회사의 전자금융 관련 모바일 앱을 취약점 신고 대상으로 확대

 ㅇ 은행·금융투자·보험·전자금융 권역의 ▲케이뱅크, ▲카카오뱅크, ▲한화손해보험, ▲메트라이프생명보험, ▲흥국화재해상보험, ▲DGB생명보험, ▲네이버파이낸셜 등 11개 금융회사가 금융권 버그바운티에 참여할 예정

     ※ 참가기관 및 취약점 신고 대상 정보는 참여자에 한해 상세 제공

 ㅇ Non-ActiveX 소프트웨어 외 다수 금융회사가 사용하는 민간 소프트웨어*에 대해서도 신고 대상에 포함하여 대상을 다방면으로 확대

     * 나모크로스 웹에디터(㈜지란지교소프트社 개발)

□ (포상 확대) 신고된 취약점은 금융소비자 피해 가능성 등을 평가하여 등급에 따라 최대 1천만원의 포상금 지급

 ㅇ 올해부터는 우수 취약점 신고자에 대해 포상금뿐만 아니라 금융보안원 입사지원 시 우대도 제공할 계획

[3] 향후 계획

□ 참가자가 금융보안원에 신고한 주요 보안 취약점은 금융회사 또는 소프트웨어 개발사에 신속하게 공유하여 보안 패치, 업데이트 개발을 지원할 계획

□ 금융보안원 김철웅 원장은 “디지털 건전성(Digital Soundness)을 유지하기 위해서는 사전에 보안 취약점을 식별하고, 제거하는 것이 매우 중요하다”면서

 ㅇ “지속적으로 금융권 버그바운티 신고대상과 참여기관을 확대