금융회사 모바일 앱, 금융권 이용 민간 S/W 등으로 신고대상 확대
정보 탈취로 이어질 수 있는 유의미한 취약점 25건을 대응하고 신고자에게 포상금 및 감사장 수여
금융소비자 보호와 금융서비스 안전성 한층 강화

[보안뉴스 원병철 기자] 금융보안원(원장 김철웅)은 2022년 8월부터 10월까지 신고기간을 운영한 ‘2022년 금융권 버그바운티(Bug Bounty)’의 실시 결과를 오는 12월 16일(금)에 발표했다. 버그바운티(Bug Bounty)란 소프트웨어의 신규 취약점을 신고받아 이를 평가해 포상금을 지급하는 제도로, 금융보안원은 2019년부터 현재까지 운영 중이다. 신고·접수된 취약점은 △영향도 △공격난이도 △발굴난이도 등의 기준에 따라 내·외부 평가위원의 평가를 거쳐 25건의 유효 취약점을 선정, 7명에게 포상금을 지급하고, 우수 취약점 신고자에게 금융보안원장 명의의 감사장을 수여했다.


▲2022년 금융권 버그바운티[자료=금융보안원]

2022년 금융권 버그바운티 실시 상세 결과
△취약점 신고대상 확대 금융권 버그바운티는 인터넷뱅킹 등의 보안프로그램(Non-ActiveX)에 한해 진행되었으나, 올해부터 금융회사 모바일 앱, 금융권 이용 민간 S/W 등으로 대폭 확대해 실시했다.

△취약점 신고 건수 증가 신고대상 확대에 따라 참가인원 및 신고건수도 증가했으며, 특히 전년대비 약 9배 상승한 61건의 보안 취약점이 접수됐다.

접수된 보안 취약점은 금융회사 또는 금융권 이용 민간 소프트웨어 개발사에 공유해 보안 패치를 진행했고, 미완료건은 업데이트 개발이 신속히 진행될 수 있도록 지원할 계획이다.

김철웅 금융보안원 원장은 “올해 금융권 버그바운티는 금융회사 모바일 앱 등으로 취약점 신고대상을 확대하면서, 모바일 앱 취약점 분석에 관심 있는 화이트해커들이 많이 참여했으며, 신고·접수건수도 크게 증가했다”며, “금융보안원은 버그바운티 문화가 금융권에서 활성화되고 안착될 수 있도록 지원하며, 금융회사뿐만 아니라 금융권 이용 민간 소프트웨어 개발사에도 버그바운티 참여를 적극적으로 독려해 금융 디지털 건전성(Digital Soundness)을 강화해 나가겠다”고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>