제목: 금융보안원, 소프트웨어 공급망 보안 강화를 위한 「2026년 금융권 S/W 보안 취약점 신고 포상제」 실시
- 금융사가 사용하거나 금융소비자에게 배포하는 S/W 취약점 발굴
- 2월 오픈한 금융권 소프트웨어 공급망 보안 플랫폼과 연계하여 운영
□ 금융보안원은 금융권 공통 소프트웨어에 대한 제로데이 취약점을 선제적 발굴하고자「금융권 S/W 보안 취약점 신고 포상제」를 실시
ㅇ 대한민국 국민 누구나 화이트해커로 참가할 수 있으며, 올해부터는 참가 신청 및 신고 접수는 ‘금융권 소프트웨어 공급망 보안 플랫폼(https://sscs.fsec.or.kr)’으로 일원화하여 운영
□ 리액트투쉘(React2Shell) 사태처럼 소프트웨어 공급망 보안 위협*이 금융권에 동시다발적인 영향을 미칠 수 있다는 점을 고려
* 제품의 설계, 개발, 유통 등 전체 공급망 과정에서 존재하는 제3자(벤더, 협력사)의 시스템이나 소프트웨어 취약점을 악용해 최종 소비자를 공격하는 위협
ㅇ 금융회사 또는 가상자산사업자가 공통으로 사용하는 소프트웨어(솔루션 포함)에 대한 보안 취약점은 연중 상시 접수
ㅇ 특히, 발굴된 취약점에 대한 지속·체계적인 대응을 지원하기 위해 금융권에 소프트웨어를 공급하는 제조사와 ‘공동운영’ 협약을 체결*하고 있으며, 올해 신규 협약기업을 확대할 예정
* ‘25년에는 4개 기업이 참여했으며, 올해 1개 기업이 추가 참여해 총 5개 기업(휴네시온, 지니언스, 시큐브, 지란지교소프트, 테르텐)과 공동 운영
※ 공동운영 여부와 관계없이, 금융권에 영향을 미칠 수 있는 금융권 사용 또는 배포 소프트웨어 및 솔루션에 대한 보안 취약점은 상시신고를 통해 접수 가능
□ 취약점 수준에 따라 최대 1천만 원의 포상금 지급 및 (위험도가 높고 파급력이 큰 경우에 한정)CVE* 크레딧을 부여할 예정
* CVE(Common Vulnerabilities and Exposures): 소프트웨어에 존재하는 보안 취약점을 가리키는 국제 식별 번호
ㅇ 이외에도 우수 취약점 신고자는 금융보안원 입사 지원 시 우대하고 “취약점 발굴 명예의 전당”에 등재하는 등 다양한 인센티브 제공
□ 금융보안원 박상원 원장은 “보안 위협이 증가하고 공격 속도가 가속화됨에 따라 화이트해커를 활용한 선제적 취약점 발굴의 중요성이 커지고 있다.”면서,
ㅇ “금융권 소프트웨어 공급망 보안 플랫폼과 취약점 신고 체계를 연계해, 취약점 발굴부터 조정·완화 및 정보 공유까지 취약점 관리 전반을 체계적으로 지원하겠다.”고 밝힘. 끝.