전체메뉴

[애플경제 전윤미 기자] 국내 금융회사나 기관의 모바일 앱, 웹 애플리케이션, 그리고 ‘Non-ActiveX’ 소프트웨어를 대상으로 새로운 보안 취약점을 발굴할 경우 포상금을 지급하는 ‘버그바운티(Bug Bounty)’ 제도가 실시된다. 이는 끊임없이 드러나는 각종 보안 앱이나 SW, 아키텍처의 취약점에 대한 경각심을 높인다는 취지에서 국내 금융보안 당국이 실시하는 보안 캠페인이다.

3일 금융보안원은 “금융권 사이버 보안 취약점 신고 포상제를 통해 금융소비자 보호와 금융서비스 안전성을 한층 더 강화해 나갈 계획”이라며 이같은 내용의 ‘버그바운티’를 예고했다. 그 동안 금융보안원과 ‘인터넷 보호나라’ 등 공공 보안사이트는 수시로 시민들과 사용자들의 보안 SW, 앱의 취약점을 신고받고, 이를 공개하며 대응책을 주문해왔다. 그 중에서도 가장 보안의 중요성이 강조되는 금융권을 대상으로 ‘버그바운티’를 실시함으로써 범시민적인 보안의식을 고취시킨다는 의도다.

특히 이는 제로데이 취약점의 개념으로 각종 보안 앱이나 SW 서비스와 제품의 신규 취약점을 신고받아 이를 평가, 포상금을 지급하는 것이다. 이번에는 종전의 인터넷뱅킹 보안 프로그램 외에도 11개 금융회사의 전자금융 관련 모바일 앱을 취약점 신고 대상으로 확대시킨 것이 특징이다.

새로 신고 대상이 되기로 하고 참여한 금융기관은 은행, 금융투자, 보험, 전자금융 권역을 망라한다. 대표적으로 ▲케이뱅크, ▲카카오뱅크, ▲한화손해보험, ▲메트라이프생명보험, ▲흥국화재해상보험, ▲DGB생명보험, ▲네이버파이낸셜 등 11개 금융회사가 금융권 버그바운티에 참여하기로 했다. 이들 금융회사들의 모바일 앱이나, 웹 애플리케이션, ‘Non-ActiveX’ 소프트웨어 등에서 취약점이 발견되면 즉시 금융보안원으로 신고하면 된다.

금융회사들의 취약점 신고 대상은 케이뱅크 앱, 카카오뱅크 앱, 한화손해보험 대고객 앱, 메트라이프생명 360Health 앱, 흥국화재 모바일 창구 앱, DGB 생명 모바일 고객창구 및 영업지원 앱, 네이버페이 앱 등이다. 특히 이번에는 “Non-ActiveX 소프트웨어 외 다수 금융회사가 사용하는 민간 소프트웨어에 대해서도 신고 대상에 포함하는 등 그 대상을 다방면으로 확대했다”는 설명이다. 대표적으로 나모크로스 웹에디터(㈜지란지교소프트社 개발)의 웹 애플리케이션을 들 수 있다.

“시민이나 사용자들이 그 중 금융보안원에 신고한 주요 보안 취약점은 금융회사 또는 소프트웨어 개발사와 신속하게 공유하여 보안 패치나, 업데이트 개발을 지원할 계획”이라는 설명이다. 또 신고된 취약점은 금융소비자 피해 가능성 등을 평가하여 등급에 따라 최대 1천만원의 포상금을 지급할 것으로 알려졌다.

금융보안원은 “디지털 건전성(Digital Soundness)을 유지하기 위해서는 사전에 보안 취약점을 식별하고, 제거하는 것이 매우 중요하다”면서 “앞으로도 금융권 버그바운티 신고대상과 참여기관을 확대해 나감으로써 ‘화이트해커’ 등 역량있는 보안전문가들이 적극적으로 활동할 수 있는 무대를 만들어갈 것”이라고 밝혔다.