Home > 전체기사

금융보안원, 국내 금융권 유일 ‘2022년 버그바운티’ 실시

  |  입력 : 2022-08-03 12:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
사이버보안 취약점 신고 포상제로 금융소비자 보호 및 금융서비스 안전성 강화
인터넷 뱅킹 보안 프로그램 외 11개 금융회사 참여해 신고대상 확대 진행


[보안뉴스 김영명 기자] 금융보안원(원장 김철웅)은 사이버보안 취약점을 선제적으로 발굴 및 제거해 금융소비자 보호와 금융서비스 안전성을 강화하기 위한 ‘2022년 금융권 버그바운티(Bug Bounty)’를 실시한다고 3일 밝혔다.

▲신고대상 확대 전 금융권 버그바운티 진행 절차[이미지=금융보안원]


버그바운티(Bug Bounty)란 서비스와 제품의 신규 취약점을 신고받아 이를 평가해 포상금을 지급하는 제도로 금융보안원은 2019년부터 현재까지 운영 중에 있다.

금융보안원이 올해 실시하는 금융권 ‘2022년 버그바운티’의 주요 특징은 인터넷뱅킹 보안 프로그램 외에 △케이뱅크 △카카오뱅크 △한화손해보험 △메트라이프생명보험 △흥국화재해상보험 △DGB생명보험 △네이버파이낸셜 등 11개 금융회사가 금융권 버그바운티에 참여하며 전자금융 관련 모바일 애플리케이션을 취약점 신고 대상으로 확대했다.

금융보안원은 Non-ActiveX 소프트웨어 외 다수 금융회사가 사용하는 나모크로스 웹에디터(지란지교소프트) 등 많은 민간 소프트웨어도 포함해 신고 대상을 다방면으로 확대했다. 또한 신고된 취약점은 금융소비자 피해 가능성 등을 평가해 등급에 따라 최대 1,000만원의 포상금을 지급할 예정이다. 올해부터는 우수 취약점 신고자에 대해 포상금뿐만 아니라 금융보안원 입사지원 시 우대도 제공할 계획이다.

▲신고대상을 확대한 2022년 금융권 버그바운티 절차[이미지=금융보안원]


2022년 금융권 버그바운티 운영 절차
금융권 버그바운티 운영은 참가신청 후 비밀유지서약서를 작성해 금융보안원에 제출한다. 이후 참가자가 상세한 신고대상목록을 받으면 신고양식에 맞춰 작성한 후 금융보안원에 신고한다. 금융보안원은 유효성 검증 후 취약점 정보를 금융회사와 Non-ActiveX, 웹에디터 소프트웨어 제조사에 개별 전달한다. 이때 외부 취약점 전문가가 유효 취약점을 분석해 취약점의 수준을 평가한다. 취약점 수준 평가를 마치게 되면 금융보안원은 버그바운티 참가자에 대해 관련된 규정에 따라 포상금을 지급하게 된다.

▲2022년 금융권 버그바운티 운영 절차[이미지=금융보안원]


올해 금융권 버그바운티는 화이트해커, 정보보호에 관심 있는 대학(원)생 등 국내외에 거주하는 대한민국 국민이면 누구나 참가할 수 있다. 신고대상은 금융권 모바일 애플리케이션, 웹 애플리케이션, Non-ActiveX 소프트웨어를 대상으로 발굴한 신규 보안 취약점(제로데이 취약점)이다. 참가신청을 완료한 이후에만 취약점 발굴 및 신고가 가능하며, 참가신청을 하지 않았거나 정보통신망법 등 관계 법령을 위반해 신고한 취약점은 포상 대상에서 제외되고, 관련 법규에 따라 법적 책임을 질 수도 있다. 신고 기간은 오는 10월 31일까지 3개월 집중신고기간을 운영해 실시하며, 금융보안원 홈페이지에서 참가 신청 양식을 내려받아 이메일로 접수하면 된다.

금융보안원은 이번 버그바운티를 통해 다수의 금융소비자에게 피해를 줄 수 있는 신고된 취약점을 평가해 등급에 따라 최대 1,000만원까지 포상금 지급할 예정이다. 내·외부 보안전문가가 △취약점의 영향도 △공격난이도 △발굴난이도 등에 대한 평가를 통해 포상금 지급 대상을 선정하게 된다. 또한 우수 취약점 신고자에 대해서는 금융보안원 입사지원 시 우대도 제공할 계획이다.

이번 ‘2022년 금융권 버그바운티’를 통해 참가자가 금융보안원에 신고한 주요 보안 취약점은 금융회사 또는 소프트웨어 개발사에 신속하게 공유해 보안 패치 및 업데이트 개발을 지원할 계획이다.

▲2022년 금융권 버그바운티 참가기관 및 취약점 신고 대상[이미지=금융보안원]


김철웅 금융보안원 원장은 “디지털 건전성(Digital Soundness)을 유지하기 위해서는 사전에 보안 취약점을 식별하고, 제거하는 것이 매우 중요하다”면서 “금융권 버그바운티 신고대상과 참여기관을 지속해서 확대해 나가 화이트해커 등 역량 있는 보안 전문가들이 적극적으로 참여할 수 있도록 하겠다”고 밝혔다.
[김영명 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)