금융보안원

제목 : 금융의 빈틈을 찾아라! 2023년 금융권 버그바운티(Bug Bounty) 운영 결과 발표

  - 14개 금융회사의 웹사이트·HTS 등 50개 서비스를 대상으로 63명의 화이트해커가 120개 취약점을 발굴하여 금융보안을 한층 강화

  - 취약점 신고자 11명에게 총 4,000만원 상당의 포상금을 지급하고, 우수 취약점 신고자 3명에게는 금융보안원 감사장 수여

□ 금융보안원(원장 김철웅)은 “금융의 빈틈을 찾아라!”라는 캐치프레이즈 아래 실시한 2023년 금융권 버그바운티(Bug Bounty) 운영 결과를 오는 21일에 밝혔다.

 ㅇ 버그바운티는 소프트웨어의 신규 취약점을 신고 받아 이를 평가하여 포상금을 지급하는 제도로 금융보안원은 금융권 공동으로 2019년부터 매년 운영하고 있다.

□ 금년 버그바운티는 금융권 전반의 버그바운티 문화 안착 및 금융서비스의 안전성을 고려하여 기존 ▲인터넷뱅킹 등의 보안프로그램, ▲모바일 앱, ▲금융권 이용 S/W 뿐만 아니라 웹사이트, HTS(Home Trading System) 등으로 확대하여 실시하였다.

 ㅇ 그 결과 은행·증권·보험·전자금융업권 등 다양한 권역의 금융회사 14곳이 참가하여, 전년대비 85% 증가한 50개 금융회사 서비스가 신고대상으로 선정되었다.

     ※ 2022년 11개 금융회사 참여 및 모바일앱 등 27개 서비스를 대상으로 진행

□ 화이트해커의 참여율 또한 전년대비 34% 증가하여 총 63명(개인 40명, 11개팀 23명)이 버그바운티에 참여하여 신고기간(7~8월) 동안 총 120건의 취약점을 발굴하였으며,

 ㅇ 취약점의 ▲영향도, ▲공격난이도, ▲발굴난이도 등을 평가하여 85건의 유효 취약점을 선정하고, 11명에게 총 4,000만원 상당의 포상금을 지급하였다.

 ㅇ 또한, 우수 취약점 신고자 3명(개인 1명, 1개팀 2명)에게는 금융보안원의 감사장이 수여됐다.

□ 금융보안원 김철웅 원장은 “금융회사와 보안전문가들의 협력을 통해 다양한 금융서비스의 취약점이 조기 발견 및 조치되었는데, 이는 금융권 버그바운티의 가치와 중요성을 다시 한번 확인하는 좋은 기회였다”면서

 ㅇ “버그바운티 문화가 금융권 전반에 안착하고 금융보안의 사각지대를 최소화하는 데 일조할 수 있도록, 앞으로도 신고 대상을 지속 확대하고 필요한 지원을 아끼지 않겠다”고 밝혔다. 끝.