보안 취약점 제보 시 최대 1000만원 포상···집중신고기간 운영된다
2024-05-28 07:00
버그 바운티란 소프트웨어나 웹 사이트를 대상으로 보안취약점을 발견해 신고하면 이를 평가해서 포상금을 지급하는 신고포상제도를 말한다. 최근 사이버 위협이 지능화, 고도화하면서 금융권에서 알려진 보안취약점 외에도 제로데이 어택(아직 공표되지 않거나 조치방안이 발표되지 않은 보안취약점을 이용한 해킹) 등 사이버 공격이 이어지고 있다.
취약점 탐지 대상으로는 은행·증권·보험 등 총 21개 금융사가 참여했다. 취약점을 찾는 공격자는 화이트해커, 학생, 일반인 등 대한민국 국민이면 누구나 참가를 신청할 수 있다. 특히 화이트해커 같은 외부 공격자의 시선에서 '알려지지 않은 취약점'을 사전에 발굴하는데 유용하다.
신고된 취약점은 전문위원들의 평가를 거쳐 최대 1000만원의 포상금이 지급된다. 금감원은 위험도가 높고 파급력이 큰 취약점의 경우에는 전 금융사에 전파해 보완하고, 소프트웨어에 존재하는 보안취약점을 가리키는 국제 식별번호(CVE) 등재도 추진할 예정이다.
이복현 금감원장은 "버그 바운티는 나날이 고도화하는 사이버 위협에 대비할 수 있는 새로운 형태의 보안역량 강화 프로그램"이라며 "이번 기회를 통해 금융권의 보안 수준이 한층 더 강화되는 계기가 되었으면 한다"고 말했다.