70개사 306개 서비스 대상…가상자산사업자·GA 등으로 확대
(서울=연합뉴스) 김지연 기자 = 금융감독원과 금융보안원은 금융회사가 운영하는 디지털 금융서비스의 보안 취약점을 외부 시각에서 선제적으로 발굴해 신속히 보완하기 위해 '2026년 금융권 보안취약점 신고포상제'(이하 '버그바운티')를 공동으로 한다고 18일 밝혔다.
버그바운티는 화이트해커 등의 외부 참가자가 금융회사가 운영하는 웹사이트·모바일 앱·홈트레이딩시스템(HTS) 등의 디지털 금융서비스에서 새로운 보안취약점을 발견·신고하면 평가를 거쳐 포상금을 지급하는 제도다.
금융권의 인공지능(AI) 활용, 클라우드 전환, 오픈 소스 기반 소프트웨어(SW) 개발 확산 등으로 보안 점검 필요 영역이 확대되는 상황에서 알려지지 않은 취약점을 능동적으로 발굴·시정함으로써 금융회사가 사이버 위협에 선제적으로 대비하는 기회가 될 것으로 금감원은 기대했다.
올해는 은행·금융투자·보험 등 기존 전통 금융회사뿐 아니라 가상자산 사업자, 법인보험대리점(GA) 등으로 참여 범위를 넓혔다.
취약점 탐지 대상을 전년 32개사에서 올해 70개사로 두 배 이상 규모로 확대해 총 306개 서비스를 대상으로 할 계획이다.
오는 8월 31일까지 금융보안원 '금융권 SW 공급망 보안 플랫폼'에 신청하면 누구나 참여가 가능하다.
다음 달 1일부터 오는 8월 31일까지 '취약점 탐지 대상' 70개사의 306개 서비스에서 발견한 취약점을 접수하면, 이를 평가해 건당 최대 1천만 원의 포상금을 지급한다. 우수 신고자는 관련 기준에 따라 추가 인센티브가 제공된다.
이종오 금융감독원 디지털·IT 부원장보는 "이번 버그바운티는 '사전 예방적 디지털 리스크 감독방안'의 하나로 하는 것으로, 금융회사 스스로 잠재 보안취약점을 발굴·개선하는 자율 시정의 기회"라며 "화이트해커의 집단지성을 통해 고도화되는 사이버 위협에 선제적으로 대응함으로써, 금융권 전반의 보안 대응 역량을 실질적으로 강화하는 계기가 되기를 기대한다"고 전했다.
금융감독원과 금융보안원은 "안전한 디지털 금융환경을 조성하고 금융회사의 자율적인 보안 역량을 강화하기 위해 버그바운티를 지속 확대할 예정"이라며 "이를 위해 더 많은 금융회사 (취약점 탐지 대상) 와 실력 있는 화이트해커(버그바운티 참가자)들이 참여할 수 있도록 인센티브를 강화하는 방안 등을 검토할 계획"이라고 밝혔다.
kite@yna.co.kr
Copyright ⓒ 연합뉴스 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
