금융당국, 화이트해커 손잡고 금융권 보안 강화…버그바운티 전면 확대

금융당국이 최근 잇따른 개인정보 유출 사고에 대응해 화이트해커들과 협력, 금융권 보안 취약점을 사전에 차단하는 ‘버그바운티(보안 취약점 신고 포상제)’를 전면 시행한다.

23일 금융권에 따르면 금융감독원과 금융보안원은 오는 6~8월 은행, 증권사, 보험사, 카드사, 저축은행 등 8개 금융사를 대상으로 총 52개 서비스에 대해 버그바운티를 실시하고, 9월에는 블라인드 모의해킹을 병행한다.

버그바운티는 민간 화이트해커들이 금융 서비스의 보안 취약점을 찾아내고 신고하면 심사 후 포상금을 지급하는 제도로, 구글, 애플, 테슬라 등 글로벌 빅테크 기업들이 활용 중이다. 삼성전자와 네이버, 카카오 등 국내 주요 기업들도 이 제도를 운영하고 있다.

금융당국은 SKT 해킹 사고로 2695만건의 유심정보가 유출되는 등 보안사고가 이어지자, 민간 보안 인재의 역량을 금융권에 적극 활용하기로 했다. 금보원은 2019년부터 버그바운티를 운영해 왔으며, 올해는 금감원과 공동 주관으로 대폭 확대됐다.

참가 희망자는 오는 8월 31일까지 금보원 이메일을 통해 신청할 수 있으며, 화이트해커뿐 아니라 정보보안에 관심 있는 대학(원)생 등 대한민국 국민 누구나 참여 가능하다. 참가자는 비밀유지서약서 제출 후 활동을 개시해 모바일앱, HTS, 웹어플리케이션 등을 집중 점검한다.

6월에는 A은행(9개 서비스), D증권(8개 서비스) 등 2개 기관이, 7월에는 B은행, E증권, G카드 등 3개 기관이, 8월에는 C은행, F보험, H저축은행 등 3개 기관이 대상이다. 금보원은 신고된 취약점을 재현한 뒤 전문가로 구성된 평가위원회를 통해 난이도와 심각도 등을 평가할 예정이다.

포상금은 최소 5만원에서 최대 1000만원까지 차등 지급되며, 우수 신고자에게는 감사장 수여와 금융보안원 입사 우대 혜택이 주어진다. 별도로 진행되는 9월 블라인드 모의해킹은 외형 성장에도 불구하고 보안 통제에 취약한 금융사를 선정해 실제 해킹 상황을 가정한 훈련을 실시한다.

금융당국 관계자는 “GA와 자산운용사 등에서 해킹사고가 지속되면서 금융소비자의 불안이 커지고 있다”며 “민간의 우수한 보안 인재가 금융권 보안 수준을 크게 높이는 계기가 될 것”이라고 기대감을 밝혔다.