금융당국, 화이트해커 손 잡고 '보안 구멍' 찾는다
등록 2025.05.23 11:05:10
6~8월 버그카운티…포상금 최대 1000만원
은행 3곳·증권사 2곳 등 8개 금융사 대상
9월에는 취약사 대상 블라인드 모의해킹
(사진=금융보안원 홈페이지 캡처) [email protected] *재판매 및 DB 금지
[서울=뉴시스] 박주연 기자 = 금융당국이 금융권 보안 취약점을 사전 차단하기 위해 화이트해커들과 손을 잡는다.
당국은 2695만건의 유심정보가 탈취된 SKT 해킹사태 등 최근 개인정보 유출사고가 다수 발생하며 금융소비자들의 우려가 커지고 있다고 판단, 화이트해커를 활용해 금융 보안 사고를 선제적으로 차단할 방침이다.
23일 금융권에 따르면 금융감독원과 금융보안원은 오는 6~8월 은행 3곳, 증권사 2곳, 보험사 1곳, 카드사 1곳, 저축은행 1곳 등에 대한 '버그바운티(보안취약점 신고 포상제)'를 진행한다. 오는 9월에는 블라인드 모의해킹도 실시한다.
버그바운티는 화이트해커의 전문성을 활용해 금융권의 보안 취약점을 사전에 차단하는 제도다.
해외에서는 오픈AI, 구글, 애플, 페이스북, 테슬라 등이 보안 강화를 위해 버그바운티를 운영하고 있다. 구글은 지난해 심각한 보안 취약점을 신고한 660명에게 1180만 달러의 포상금을 지급했다. 애플도 iOS 보안 취약점을 발견할 경우 최대 100만 달러를 제공한다.
삼성전자·네이버·카카오 등 국내 주요 기업들도 자체적으로 버그바운티를 운영하며 민간 화이트해커들과 협력하고 있다. 2017년부터 버그바운티를 운영한 삼성전자는 지난해 위험한 공격 시나리오를 증명할 경우 최대 100만 달러의 상금을 지급하는 새 프로그램을 발표하기도 했다.
'2025년 금융권 버그바운티 취약점 리워드'는 금감원과 금보원이 주최하고 금융위원회가 후원한다. 버그바운티 프로그램은 금보원이 2019년 시작했으며, 올해는 금감원과의 업무협약을 바탕으로 규모를 더욱 키웠다.
참가접수는 이달부터 오는 8월31일까지 금보원 이메일을 통해 이뤄진다. 화이트해커 뿐만 아니라 정보보호에 관심있는 대학생·대학원생 등 대한민국 국민 누구나 참여할 수 있다.
희망자는 참가신청서와 비밀유지서약서를 제출한 후 활동에 돌입, 8개사의 모바일앱, 웹어플리케이션, 홈트레이딩시스템(HTS) 등을 집중적으로 살필 예정이다.
금보원은 대상 금융사를 월별로 분할, 세 차례에 나눠 버그바운티를 운영한다. 참가를 희망한 8개 금융사, 52개 서비스가 대상이다.
다음달 버그바운티 대상은 A은행(9개 서비스), D증권(8개 서비스) 등 2개 기관 17개 서비스다.
오는 7월에는 B은행(4개 서비스), E증권(7개 서비스), G카드(5개 서비스) 등 3개 기관, 16개 서비스에 대한 신고가 이뤄진다. 오는 8월에는 C은행(5개 서비스), F보험(8개 서비스), H저축은행(6개 서비스) 등 3대 기관, 19개 서비스가 신고대상이다.
금보원은 제출된 취약점 신고서를 토대로 취약점 재현 등 기본적 유효성을 검증한다. 화이트해커·학자·스프트웨어 개발자 등 관련 전문가로 구성된 '평가위원회'를 열어 취약점 수준을 평가할 방침이다.
취약점 신고자에게는 최소 5만원에서 최대 1000만원의 포상금이 차등 지급된다. 특히 우수 취약점 신고자에게는 감사장 수여와 금융보안원 입사 우대를 제공한다.
오는 9월에는 버그바운티와 별개로 일부 금융사를 대상으로 블라인드 모의해킹이 진행된다. 외형 성장에도 불구하고 보안 역량이 낮거나 보안 통제가 미흡한 금융사가 대상이다. 모의해킹 역시 화이트해커들과 함께 진행하며, 실제 해킹 상황을 가정한 침해 사고 대응 훈련이 이뤄질 예정이다.
금융당국 관계자는 "최근 자산운용사·법인보험대리점(GA) 등에서 해킹사고가 발생하는 등 보안 위협에 대한 경각심이 높아지고 있다"며 "민간의 우수한 보안 인재들이 금융권의 보안 수준을 한층 끌어올릴 수 있을 것으로 기대한다"고 말했다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
