금보원, '2022년 금융권 버그바운티'...유효 취약점 25건 선정

(자료=금융보안원)

[이데일리 서대웅 기자] 금융보안원은 하반기에 실시한 ‘2022년 금융권 버그바운티’ 결과 25건의 유효 취약점을 선정, 7명에게 포상금을 지급했다고 19일 밝혔다.

버그바운티란 소프트웨어 신규 취약점을 신고받아 이를 평가해 포상금을 지급하는 제도다. 금보원은 금융서비스의 사이버 보안 취약점을 선제적으로 발굴·제거해 소비자 보호 및 서비스 강화를 위해 2019년부터 버그바운티를 운영하고 있다. 그간 인터넷뱅킹 등 보안프로그램에 한해 진행했으나 올해부터 금융회사 모바일 앱, 금융권 이용 민간 소프트웨어 등으로 신고대상을 대폭 확대했다.

금융회사 모바일 앱엔 케이뱅크, 카카오뱅크, 한화손해보험, 메트라이프생명보험, 흥국화재해상보험, DGB생명보험, 네이버파이낸셜 등 11곳이 참여했으며, 금융권 이용 민간 소프트웨어로는 지란지교소프트(나모크로스 웹에디터)가 참가했다.

지난 8~10월 신고기간을 운영한 이번 버그바운티에선 전년 대비 약 9배 늘어난 61건의 보안 취약점이 접수됐다. 금보원은 영향도, 공격난이도, 발굴난이도 등 기준에 따라 내외부 평가위원 평가를 거쳐 25건의 유효 취약점을 선정했다. 7명에게 포상금을 지급했으며 우수 취약점 신고자에겐 금보원장 명의의 감사장을 수여했다. 금보원은 접수된 보안 취약점을 금융회사와 소프트웨어 개발사에 공유했으며 업데이트 개발을 지원할 계획이다.

김철웅 금보원장은 “버그바운티 문화가 금융권에서 활성화 및 안착할 수 있도록 지원하겠다”며 “금융회사뿐 아니라 금융권 이용 민간 소프트웨어 개발사에도 버그바운티 참여를 독려해 금융 디지털 건전성을 강화하겠다”고 말했다.