"집단지성으로 해킹 막아라"…금감원 3달간 버그바운티 운영

금융감독원이 금융보안원과 금융권 사이버위협 선제 대응을 위해 오는 8월까지 3개월간 버그바운티 집중신고 기간을 운영한다고 28일 밝혔다.

버그바운티는 소프트웨어나 웹 사이트를 대상으로 보안취약점을 발견하고 신고하면 이를 평가해 포상금을 지급하는 제도다. 기존 모의해킹과 달리 누구나 참가할 수 있고 인원이 한정되지 않아 역량있는 다수가 정보시스템을 점검할 수 있다.

최근 금융권에서는 사이버 위협의 지능화·고도화로 전자금융 기반시설을 안전하게 보호할 필요성이 높아지고 있다. 해킹 시도는 금융IT 신기술이나 소프트웨어 도입과 함께 ‘알려진 보안취약점’ 외에 ‘제로데이어택’(Zeroday-Attack)의 사이버 공격으로까지 이어지고 있다. 제로데이어택은 아직 공표되지 않거나 조치방안이 발표되지 않은 보안취약점을 이용한 해킹이다.

[출처=금융감독원]

이번 버그바운티에 참여한 금융회사는 은행·증권·보험 등 21곳이다. 화이트해커·학생·일반인 등 대한민국 국민 누구나 참가 가능하다.

신고된 취약점은 전문위원들의 평가를 거쳐 최대 1000만원의 포상금이 지급된다. 위험도가 높고 파급력이 큰 취약점의 경우 전 금융회사에 신속하게 전파해 보완하고 취약점관리번호(CVE) 등재도 추진할 예정이다.

이복현 금감원장은 "버그바운티는 나날이 고도화되는 사이버 위협에 대비할 수 있는 새로운 형태의 보안역량 강화 프로그램"이라며 "이번 기회를 통해 금융권의 보안 수준이 한층 더 강화되는 계기가 됐으면 한다”고 말했다.

금감원과 금보원은 앞으로 안전한 금융환경 조성을 위해 버그바운티를 지속 확대할 계획이다. 보다 많은 금융회사가 참여할 수 있도록 '취약점 분석평가' 업무시 인센티브 부여 등 관련 내용도 검토할 방침이다.

최동현 기자 nell@asiae.co.kr