금감원, 2026년 금융권 버그바운티 실시

가상자산사업자 등 70개사 참여
전년보다 119% 확대

금융감독원과 금융보안원이 금융회사의 디지털 금융서비스 보안 취약점을 외부에서 선제적으로 발굴하기 위해 '2026년 금융권 보안취약점 신고포상제'를 실시한다. 올해는 은행·금융투자·보험 등 기존 금융회사뿐 아니라 가상자산사업자와 법인보험대리점(GA)까지 참여 범위를 넓혀 총 70개사가 대상에 포함됐다.

금감원은 18일 이 같은 내용의 '2026년 금융권 보안취약점 신고포상제'를 금융보안원과 공동으로 운영한다고 밝혔다. 신고포상제는 화이트해커 등 외부 참가자가 금융회사가 운영하는 웹사이트, 모바일 애플리케이션, 홈트레이딩시스템(HTS) 등 디지털 금융서비스에서 보안 취약점을 발견해 신고하면 평가를 거쳐 포상금을 지급하는 제도다.

올해 신고포상제는 금융권 인공지능(AI) 활용 확대, 클라우드 전환, 오픈소스 기반 소프트웨어 개발 확산 등으로 보안 점검 필요성이 커진 데 따라 마련됐다. 금감원은 외부에서 발견하기 어려운 잠재 보안 위협을 능동적으로 발굴·시험함으로써 금융회사가 사이버 위협에 선제적으로 대응하는 계기가 될 것으로 보고 있다.

특히 올해는 참여 범위가 크게 확대됐다. 기존 은행·금융투자·보험 등 전통 금융회사 외에 가상자산사업자, 법인보험대리점 등이 새로 참여하면서 취약점 탐지 대상은 지난해 32개사에서 올해 70개사로 2배 이상 늘었다. 점검 대상 서비스도 총 306개로 확대됐다.

버그바운티 참여를 원하는 국민은 오는 8월 31일까지 금융보안원 '금융권 SW 공급망 보안 플랫폼'을 통해 신청할 수 있다. 취약점 신고 기간은 6월 1일부터 8월 31일까지다. 신고 대상은 70개 참여 금융회사가 허용한 306개 디지털 금융서비스의 신규 취약점이다.

금감원과 금보원은 접수된 취약점에 대해 9월부터 11월까지 평가와 포상 절차를 진행한다. 3개월 동안 발견된 취약점을 점수화해 평가한 뒤 건당 최대 1000만원의 포상금을 지급할 예정이다. 우수 신고자에게는 관련 기준에 따라 추가 인센티브도 제공된다.

이용오 금융감독원 디지털·IT 부원장보는 "이번 버그바운티는 사전예방적 디지털 리스크 감독방안의 하나로 실시하는 것"이라며 "화이트해커의 집단지성을 통해 고도화되는 사이버 위협에 선제적으로 대응함으로써 금융권 전반의 보안 대응 역량을 실질적으로 강화하는 계기가 되기를 기대한다"고 말했다.

이은주 기자 golden@asiae.co.kr