Home > 전체기사

토스, 자체 버그바운티 ‘토스 버그바운티 챌린지’ 첫 개최

  |  입력 : 2022-09-21 16:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
자체 보안 프로그램 개발 등 투자 이어와...“국내 금융업계 보안연구 활성화 기대”
보안 취약점 찾아낸 외부 전문가에 건당 최고 3,000만원 포상, 이달 말까지 사전접수


[보안뉴스 김영명 기자] 모바일 금융플랫폼 ‘토스(toss)’를 운영하는 비바리퍼블리카(대표 이승건, 이하 ‘토스’)가 보안 취약점 신고포상제인 ‘토스 버그바운티 챌린지(Toss Bugbounty Challenge)’를 처음으로 실시한다.

▲토스가 자체 버그바운티 ‘토스 버그바운티 챌린지’를 개최한다[이미지=비바리퍼블리카]


버그바운티란 서비스 내 보안 취약점을 찾아낸 참가자에게 리워드를 지급하는 제도다. 국내 IT 기업은 물론 금융사 중에서도 자체 버그바운티를 운영하는 경우는 드물다. 글로벌 IT 기업 중에서는 구글이 ‘Bug Hunting Community’를, 애플이 ‘Apple Security Bounty’ 등을 통해 관련 활동을 적극적으로 전개 중이며, 자사의 보안 체계 강화는 물론 보안 연구 커뮤니티 전체에 이바지하는 기회로 삼고 있다. 국내 금융권에서는 금융보안원이 2019년부터 버그바운티 행사를 주최하고 있다.

이번 ‘토스 버그바운티 챌린지’ 프로그램에는 토스뱅크, 토스증권, 토스페이먼츠 등 주요 금융 계열사가 함께 참여한다. 취약점 신고 대상은 토스 애플리케이션 내 주요 서비스는 물론, 계열사 공식 홈페이지도 포함되며 자세한 내용은 관련 홈페이지를 통해 확인할 수 있다. 접수된 리포트는 토스 내부 검증과 평가를 거쳐 건당 최대 3,000만원까지 포상금을 지급받게 된다.

이번 버그바운티는 보안에 관심 있는 국내 토스 가입자면 누구나 참여할 수 있다. 단, 오늘부터 이달 30일 오후 6시까지 공식 홈페이지를 통해 사전 신청한 사람에 한해서만 다음 달 개최되는 버그바운티 행사에 참여 자격이 주어진다. 신청자에게는 버그바운티에 참여할 수 있는 별도 환경을 제공하며 해당 환경에서 모의해킹이 진행된다.

이종호 토스 보안기술팀 리더는 “토스는 해커의 관점에서 보안을 구축하며 자체 보안 프로그램을 만드는 등 보안에 많은 투자를 해왔다”며 “외부 전문가의 관점에서 객관적으로 취약점을 점검해 보고, 국내 금융분야 보안연구 활성화에도 기여할 수 있는 계기가 되길 바란다”고 말했다.

토스는 2018년부터 금융권 최초로 KISA ‘정보보호공시’에 자율적으로 참여하며, 보안투자 현황을 공개하고 있다. 또한, 토스는 세계 최고 수준의 화이트해커인 이종호 리더를 포함해 구성원 9명 전원이 화이트해커로 구성된 ‘보안기술팀’을 꾸릴 정도로 보안 인프라에 투자하고 있다. 이 팀은 블랙해커가 침입하기 전 공격자적 관점에서 보안 취약점을 찾고 보안을 강화하는 역할을 하고 있다.

토스 관계자는 “토스는 사용자의 스마트폰에 피싱 애플리케이션이 설치됐을 경우 경고 메시지와 함께 해당 애프리케이션을 삭제할 수 있는 ‘악성 앱 탐지 시스템’을 포함한 이상거래 시스템 탐지 등 보안 환경을 구축하는 ‘토스가드’를 운영 중에 있다”며 “토스가드는 토스 앱 실행 시 자동 실행되며 올해 출시한 ‘악성앱 탐지 시스템’은 약 5개월간 50만건 이상의 피싱 피해를 막은 바 있다”고 말했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 23년 1월12일 수정 위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
2023년 클라우드 생태계를 위협할 다양한 보안이슈들
전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
메타버스, 주목받는 만큼 증가하는 보안위협
스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야