알림마당

  2. 알림마당
  3. 보도자료

보도자료

화이트해커와 함께 금융의 빈틈을 찾아라! 금융보안원, 2024년 금융권 버그바운티 운영 성과 발표

기획부 2024-12-17
[금융보안원](보도자료) 금융보안원, 2024년 금융권 버그바운티 운영 성과 발표.hwpx [금융보안원](보도자료) 금융보안원, 2024년 금융권 버그바운티 운영 성과 발표.pdf

제목 : 화이트해커와 함께 금융의 빈틈을 찾아라!

          금융보안원, 2024년 금융권 버그바운티 운영 성과 발표


전년대비 2배 이상 취약점을 발굴하여 금융권 보안성 강화


총 5,000만원 상당의 포상금과 금융보안원장 감사장 수여


 




□ 금융보안원(원장 김철웅)은 2024년 한 해 동안 운영한 금융권 취약점 신고포상제인 버그바운티(Bug Bounty) 성과 18일에 발표하였다.


 


  ㅇ금년도 버그바운티는 금융회사 보안 사각지대를 최소화하고자 ▲금융회사 서비스 대상으로 하는 집중신고와 ▲금융권 공통 소프트웨어·보안솔루션을 대상으로 하는 상시신고로 나누어 투트랙(Two-Track)으로 확대 실시하였다.




external_image

 

집중신고 부문은 금융위원회 후원으로 추진되었으며화이트해커 총 150이 참여하여 전년 대비 108% 증가한 총 249건의 취약점을 발굴하였다.


 


  ㅇ올해 처음 운영한 상시신고 부문에서는 총 17명의 화이트해커가 공동인증키보드보안로그수집, ARS 등 20개의 금융권 소프트웨어·솔루션에서 총 43건의 취약점을 발굴하였다.


 

external_image

 

□ 발굴한 취약점은 출현도영향도공격난이도발굴난이도 등을 평가하여 최종 222을 포상금 지급 대상 취약점으로 선정하였다.

 

  ㅇ 평가점수 누적 합계 상위 23에 대해 총 5,000만원 상당의 포상금을 지급하고우수 취약점 신고자 4에게는 금융보안원 감사장을 수여하였다취약점 신고 점수 상위 10 안에 드는 화이트해커들은 금년도에 신설한 명예의 전당에 등록하였다.

 

□ 한편금융회사와 소프트웨어 개발사가 취약점 발굴에 보다 더 주체적으로 참여할 수 있도록 금융보안원과 함께 버그바운티를 운영하는 공동운영 제도를 신설하였다.

 

  ㅇ 현재 3개 기업(지니언스시큐브지란지교소프트)이 참여하고 있으며앞으로도 버그바운티 활성화를 위해 제도 저변을 지속적으로 넓혀 나갈 예정이다.


 

※ 명예의 전당(Top Bug Hunters)과 공동운영 제도 관련 상세 정보는

    금융보안원 홈페이지 주요업무 금융권 버그바운티 에서 확인할 수 있습니다.

 

□ 금융보안원 김철웅 원장은 앞으로도 금융보안원은 버그바운티를 통해 능동적인 보안문화를 더욱 활성화시키고소프트웨어 공급망 보안 강화를 위해 국내외 유관기관들과도 긴밀한 협력 체계를 이어가는 등 금융권 전반의 안성 향상을 위한 노력을 아끼지 않을 것이라고 밝혔다.