14개 금융사 웹사이트, HTS 등 50개 서비스 대상으로 63명 화이트해커 120개 취약점 찾아
취약점 신고 11명 총 4,000만원 포상금 지급, 우수 취약점 신고 3명 금보원 감사장 수여

[보안뉴스 김경애 기자] 소프트웨어의 신규 취약점을 신고받아 이를 평가해 포상금을 지급하는 2023년 금융권 버그바운티(Bug Bounty) 운영 결과가 발표됐다. 금융보안원(원장 김철웅)은 “금융의 빈틈을 찾아라!”라는 캐치프레이즈로 2023년 금융권 버그바운티(Bug Bounty) 운영 결과를 21일 밝혔다.


[자료=금융보안원]

금융권 공동으로 2019년부터 매년 운영하고 있는 버그바운티는 금융권 전반의 버그바운티 문화 안착 및 금융서비스의 안전성을 고려해 기존 △인터넷뱅킹 등의 보안프로그램 △모바일 앱 △금융권 이용 S/W 뿐만 아니라 웹사이트, HTS(Home Trading System) 등으로 확대 실시했다.

그 결과 은행·증권·보험·전자금융업권 등 다양한 권역의 금융회사 14곳이 참가해 전년대비 85% 증가한 50개 금융회사 서비스가 신고대상으로 선정됐다.

화이트해커의 참여율 또한 전년대비 34% 증가해 총 63명(개인 40명, 11개팀 23명)이 버그바운티에 참여해 신고기간(7~8월) 동안 총 120건의 취약점을 발굴했다.

취약점의 △영향도 △공격난이도 등을 평가해 85건의 유효 취약점을 선정하고, 11명에게 총 4,000만원 상당의 포상금을 지급했다. 또한, 우수 취약점 신고자 3명(개인 1명, 1개팀 2명)에게는 금융보안원의 감사장이 수여됐다.

금융보안원 김철웅 원장은 “금융회사와 보안전문가들의 협력을 통해 다양한 금융서비스의 취약점이 조기 발견 및 조치되었는데, 이는 금융권 버그바운티의 가치와 중요성을 다시 한번 확인하는 좋은 기회였다”면서 “버그바운티 문화가 금융권 전반에 안착하고 금융보안의 사각지대를 최소화하는 데 일조할 수 있도록 앞으로도 신고 대상을 지속 확대하고 필요한 지원을 아끼지 않겠다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>