신규 보안 취약점 신고 포상금 최대 1,000만원 지급

[보안뉴스 원병철 기자] 금융보안원(원장 김영기)은 금융권에서 사용 중인 소프트웨어를 대상으로 신규 보안 취약점을 신고하면 이를 평가하여 포상금을 지급하는 금융권 버그바운티(Bug Bounty)를 5월부터 실시한다고 밝혔다.


금융보안원은 2019년에 국내 최초로 금융권 버그바운티를 실시하여 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격 취약점 등 주요 취약점 신고자에 대해 포상금을 지급하고, 해당 취약점 정보를 소프트웨어 제조사와 공유하여 신속하게 패치(Patch) 프로그램을 배포한 바 있다. 올해에는 전년보다 신규 취약점 신고 기간 및 포상금 규모를 더욱 확대하여 운영할 예정이다.

2020년 금융권 버그바운티 운영 계획
△참가대상 : 국내·외에 거주하는 한국인이면 누구나 참가 가능
△신고대상 : 국내 금융회사가 전자금융 소비자에게 제공하는 Non- ActiveX 소프트웨어의 신규 보안 취약점(정보통신망법 등 관계 법령을 위반하여 신고한 취약점은 버그바운티 대상에서 제외)
△신고기간 : 신고기간은 2020년 상·하반기에 각각 2개월씩 운영하고, 상반기는 5~6월, 하반기는 8~9월
△신고 방법 : 이메일(vuln@fsec.or.kr) 접수
△포상금 지급 :포상기준에 따라 포상금은 최대 1,000만원까지 지급, 상반기 포상은 8월, 하반기 포상은 11월 예정

금융보안원은 2020년 금융권 버그바운티 운영을 통해 금융회사뿐만 아니라 전자금융 소비자에게 심각한 피해를 초래할 수 있는 신규 보안 취약점을 찾아서 신속하게 수정·보완함으로써 금융회사 이용 소프트웨어의 안전성을 강화하는 한편 침해사고 예방효과를 더욱 높일 수 있을 것으로 기대하고 있다.

금융보안원 김영기 원장은 “2019년 기준 인터넷뱅킹(모바일 포함)을 통한 자금이체 규모가 일평균 25조원 이상인 점을 감안하면 전자금융서비스 관련 소프트웨어의 보안성과 안전성 확보는 필수적”이라면서, “금융보안원은 전자금융 소비자가 금융서비스를 안심하고 이용할 수 있도록 지속적으로 노력해 나갈 것이며, 이번 버그바운티에 국내외 역량있는 보안전문가들의 적극적인 참여를 기대한다”라고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>