금융보안원은 지난 8월부터 10월까지 신고기간을 운영한 '2022년 금융권 버그바운티(Bug Bounty)'의 실시 결과를 발표했다고 19일 밝혔다.
버그바운티는 소프트웨어의 신규 취약점을 신고받아 이를 평가해 포상금을 지급하는 제도로 금융보안원은 2019년부터 현재까지 운영 중이다.
신고·접수된 취약점은 △영향도 △공격난이도 △발굴난이도 등의 기준에 따라 내·외부 평가위원의 평가를 거쳐 25건의 유효 취약점을 선정, 7명에게 포상금을 지급하고 우수 취약점 신고자에게 금융보안원장 명의의 감사장을 수여했다.
금융권 버그바운티는 인터넷뱅킹 등의 보안프로그램(Non-ActiveX)에 한해 진행됐으나 올해부터 금융회사 모바일 앱, 금융권 이용 민간 S/W 등으로 대폭 확대해 실시했다.
신고대상 확대에 따라 참가인원 및 신고건수도 늘었으며 특히 전년대비 약 9배 상승한 61건의 보안 취약점이 접수됐다.
접수된 보안 취약점은 금융회사 또는 금융권 이용 민간 소프트웨어 개발사에 공유해 보안 패치했으며 미완료건은 업데이트 개발이 신속히 진행될 수 있도록 지원할 계획이다.
김철웅 금융보안원 원장은 "올해 금융권 버그바운티는 금융회사 모바일 앱 등으로 취약점 신고대상을 확대하면서 모바일 앱 취약점 분석에 관심있는 화이트해커들이 많이 참여했으며 신고·접수건수도 크게 증가했다"고 전했다.
이어 "금융보안원은 버그바운티 문화가 금융권에서 활성화되고 안착될 수 있도록 지원하며, 금융회사 뿐만 아니라 금융권 이용 민간 소프트웨어 개발사에도 버그바운티 참여를 적극적으로 독려해 금융 디지털 건전성(Digital Soundness)을 강화해 나가겠다"고 덧붙였다.
