이복현 "집단지성 통해 취약점 조기 발견"
 |
| 금융감독원이 '버그바운티 집중신고' 기간을 오는 6월 1일부터 3개월 간 운영한다고 밝혔다. /더팩트 DB |
[더팩트ㅣ정소양 기자] 금융감독원은 28일 금융보안원과 함께 금융권 보안취약점 대응을 위한 '버그바운티 집중신고' 기간을 오는 6월 1일부터 8월 31일까지 3개월 간 운영한다고 밝혔다.
버그바운티란 소프트웨어나 웹 사이트를 대상으로 보안취약점을 발견해 신고하면 이를 평가해서 포상금을 지급하는 신고포상제도다.
누구나 참가할 수 있고 인원이 한정돼 있지 않기 때문에 역량이 있는 다수가 정보시스템을 점검할 수 있는 방식이다. 특히 화이트해커 같은 외부 공격자의 시선에서 '알려지지 않은 취약점'을 사전에 발굴하는데 유용한 것으로 나타났다.
'취약점 탐지 대상'으로 은행·증권·보험 등 총 21개 금융회사가 참가했으며, 신청서와 비밀유지서약서를 작성해 제출한 대한민국 국민이라면 누구나 '취약점을 찾는 공격자'로 참가할 수 있다.
신고된 취약점은 금융보안 전문가들의 평가를 거쳐 최대 1000만원의 포상금이 지급될 예정이다. 위험도가 높고 파급력이 큰 취약점의 경우 국내 전 금융회사에 신속하게 전파해 보완하고 소프트웨어에 존재하는 보안취약점을 가리키는 국제 식별번호인 'CVE' 등재도 추진한다.
이복현 금감원장은 "버그바운티 운영은 금융회사가 자체 내부 보안점검만으로는 미처 발견하지 못한 취약점을 외부 해커 관점의 집단지성을 통해 조기에 발견하고 이를 신속히 해결할 수 있을 것으로 기대된다"고 말했다.
