[게티이미지뱅크] |
[헤럴드경제=강승연 기자] 금융감독원과 금융보안원은 금융권의 보안 취약점을 조기에 찾아 사이버위협에 선제 대응하기 위해 ‘금융권역 버그바운티 집중신고기간’을 6~8월 석달간 운영한다고 28일 밝혔다.
버그바운티(Bug Bounty)는 소프트웨어나 웹사이트의 보안 취약점을 발견, 신고하면 이를 평가해 포상금을 지급하는 제도다. 기존 모의해킹과 달리 누구나 정보시스템 보안 점검에 참여할 수 있다는 특징이 있다.
특히 화이트해커 등 외부 공격자의 시선에서 금융회사 자체 점검만으로는 발견하지 못한 보안 취약점을 사전에 발굴하는 집단지성을 통해 적극적으로 보안을 강화할 수 있을 것으로 보인다.
금감원은 사이버위협이 지능화·고도화되면서 금융 IT 신기술을 활용한 제로데이 어택(공표되지 않은 보안 취약점을 이용한 해킹)까지 이어지는 만큼, 이번 버그바운티 운영 결과에 기대를 걸고 있다.
[금융감독원 자료] |
이번 버그바운티 운영기간에 취약점 탐지 대상으로는 은행·증권·보험 등 총 21개 금융회사가 참가하며, 공격자로는 화이트해커, 학생 등 누구나 참가 신청 및 승인 후에 참여할 수 있다.
신고된 취약점은 전문위원들의 평가를 거쳐 최대 1000만원의 포상금이 지급될 예정이다. 위험도가 높고 파급력이 큰 취약점의 경우 전 금융회사에 신속 전파해 보완하고, CVE(소프트웨어 보안 취약점을 가리키는 국제식별번호) 등재도 추진한다.
이복현 원장은 “버그바운티는 나날이 고도화되는 사이버위협에 대비할 수 있는 새로운 형태의 보안역량 강화 프로그램”이라며 “이번 기회를 통해 금융권의 보안 수준이 한층 더 강화되는 계기가 됐으면 한다”고 말했다.
금감원과 금보원은 앞으로도 버그바운티를 지속 확대·추진할 예정이며, 보다 많은 금융회사들이 참여할 수 있도록 취약점 분석평가 업무시 인센티브를 부여하는 방안 등을 검토할 계획이다.
spa@heraldcorp.com