금융보안원

제목 : 금융보안원, 금융 보안의 빈틈 제로를 위해 「2025년 금융권 소프트웨어 취약점 신고 포상제」확대

 - 우수 취약점 신고자에 대한 포상금 지급 규모를 확대하고, 클라우드 등 신고대상 추가

□최근 디지털금융의 전환 확대에 따라 다양한 전자금융 서비스가 출현하고 있으나,

  ㅇ전자금융 소프트웨어 설계 오류 등의 취약점을 악용한 해킹 공격으로 인해, 금융소비자는 금전을 탈취당하거나 개인정보가 유출되는 등 심각한 피해를 입을 수 있어 주의가 필요

□이에, 금융보안원은 전자금융 소프트웨어에 내재된 취약점을 선제적으로 찾아내어 제거하기 위해 「2025년 금융권 SW 취약점 신고 포상제(버그바운티)」를 운영

  ㅇ‘상시신고’를 통해 클라우드(SaaS) 기반의 금융환경 등에 대한 취약점을 연중 발굴하고,

  ㅇ 6월부터 8월까지 ‘집중신고’를 운영하여 모바일 앱, HTS 등 전자금융 서비스에 대한 취약점을 발굴할 예정

[참가자 및 신고대상]

□화이트해커, 정보보호에 관심 있는 학생 등 대한민국 국민 누구나 참가할 수 있는 「2025년 금융권 버그바운티」에서는,

  ㅇ’상시신고‘를 통해 클라우드(SaaS), 빅데이터 등 다양한 금융 환경에서 사용하는 금융권 소프트웨어와 보안솔루션을 대상으로 연중 언제든지 별도의 참가 신청 없이 취약점 신고를 받음

   ※ 상시신고는 공동운영 협약을 체결한 기업들과 함께 운영되며, 참여사 제품에 대한 취약점 신고에 대해서는 참여사가 직접 평가 및 포상 지원 예정

    (현재 참여 중인 기업: 시큐브, 지니언스, 지란지교소프트, 휴네시온)

  ㅇ‘집중신고’ 부문에서는 신고대상 참여를 희망하는 금융회사를 4월부터 모집하고, 6월부터 3개월 동안 화이트해커 등으로부터 취약점 신고를 받음. 참가 신청 방법 등 기타 자세한 사항은 추후 홈페이지를 통해 안내할 예정

  ※상시·집중신고에 대한 상세 안내는 「금융보안원 홈페이지(www.fsec.or.kr) > 주요업무 > 금융권 버그바운티」 참조

[포상금 지급]

□금융보안원은 올해 포상금 대상을 확대하여, 취약점 수준에 따라 최대 1천만 원 상당의 금액을 지급

  ㅇ 또한, 우수 신고자는 금융보안원 입사 지원 시 우대하며, 명예의 전당에도 등록될 수 있음

[기대 효과]

□전자금융 환경이 다양해짐에 따라 보안 패치 발표 전의 신규 취약점을 대상으로 하는 제로데이 공격(zero-day attack)이 증가하고 있는 가운데, 버그바운티는 안전하고 신뢰할 수 있는 전자금융 환경을 조성하는 데 기여할 것으로 기대

□금융보안원 박상원 원장은 “금융권 버그바운티를 통해 주요 보안 사고의 시작점인 소프트웨어 취약점을 선제적으로 발굴하고 발견된 취약점을 금융회사와 개발사 등이 신속히 조치하도록 일관되고 전반적인 지원을 하고 있다”며,

  ㅇ“소프트웨어 취약점 관리, 패치 개발, 배포 등의 통합 관리를 위한 플랫폼을 구축하는 등 금융권 소프트웨어 공급망 보안 강화를 위한 노력을 아끼지 않을 것”이라고 밝힘. 끝.