사이버 위협이 지능화․고도화되어 감에 따라 국내 금융회사의 전자금융기반시설을 안전하게 보호할 필요성이 높아지고 있다.
특히, 끊이지 않는 다양한 해킹 시도는 금융IT 신기술, 소프트웨어 도입과 함께 ‘알려진 보안취약점’ 외에 ‘제로데이 어택’(Zeroday-Attack)의 사이버 공격으로까지 이어지고 있습니다. 제로데이 어택은 아직 공표되지 않거나 조치방안이 발표되지 않은 보안취약점을 이용한 해킹 방법이다.
이에 금융감독원 및 금융보안원은 이러한 외부위협에 선제적으로 대응하기 위해 금융권역 버그바운티 집중신고(‘24.6월~8월, 3개월)기간을 운영하기로 했다.
버그바운티 운영은 금융회사가 자체 내부 보안점검만으로는 미처 발견하지 못한 취약점을 외부 해커(공격자) 관점의 집단지성을 통해 조기에 발견하고, 이를 신속히 해결할 수 있을 것으로 기대된다.
『취약점 탐지 대상』으로 은행·증권․보험 등 총 21개 금융회사가 참가했으며,『취약점을 찾는 공격자』는 화이트해커・학생・그 외 일반인 등 대한민국 국민 누구나 참가 신청 및 승인 후에 참여할 수 있다.
신고된 취약점은 전문위원들의 평가를 거쳐 최대 1천만원의 포상금이 지급될 예정이며, 위험도가 높고 파급력이 큰 취약점의 경우 全 금융회사에 신속하게 전파해 보완하고 CVE 등재도 추진할 예정이다.
CVE(Common Vulnerabilities and Exposures)는 소프트웨어에 존재하는 보안취약점을 가리키는 국제 식별번호이다.(→등재에 기여한 이에게 Credit 인정)
금감원 이복현 원장은 “버그바운티는 나날이 고도화 되어가는 사이버 위협에 대비할 수 있는 새로운 형태의 보안역량 강화 프로그램이다.”라며, “이번 기회를 통해 금융권의 보안 수준이 한층 더 강화되는 계기가 되었으면 한다.”라고 강조했다.
금감원과 금보원은 앞으로 안전한 금융환경 조성을 위해 버그바운티를 지속 확대‧추진해 나갈 예정이며, 보다 많은 금융회사들이 참여할 수 있도록 ’취약점 분석평가‘ 업무시 인센티브 부여 등 관련 내용도 함께 검토해 나갈 예정이다.
