올해 하반기에 금융회사 모바일 애플리케이션(앱) 등에서 신규 취약점 25건이 발견됐다.
금융보안원은 ‘2022년 금융권 버그바운티’를 실시한 결과 총 25건의 유효한 취약점이 새로 발견됐다고 19일 밝혔다.
‘버그바운티’는 화이트해커, 대학(원)생, 일반인 등으로부터 소프트웨어의 신규 취약점을 신고받아 이를 평가해 포상금을 지급하는 제도다. 금융보안원이 2019년부터 현재까지 운영 중이다.
올해부터 금융권 버그바운티의 취약점 신고 대상이 확대됐다. 기존에는 인터넷뱅킹 등의 보안프로그램에 한해 진행됐지만, 올해부터는 금융회사 모바일 앱, 금융권 이용 민간 소프트웨어(S/W) 등으로 확대됐다.
신고 대상이 늘어나면서 참가인원과 신고 건수도 증가했다. 올해에는 지난해 대비 약 9배 증가한 61건의 보안 취약점이 접수됐다.
올 8월부터 10월까지 신고ㆍ접수된 취약점 61건 중 △영향도 △공격난이도 △발굴난이도 등의 기준에 따라 내ㆍ외부 평가위원의 평가를 거쳐 25건의 유효 취약점이 선정됐다. 우수취약점 신고자에게 금융보안원장 명의의 감사장을 수여했고 7명에게는 포상급을 지급했다.
금융보안원 관계자는 “접수된 보안 취약점은 금융회사 또는 금융권 이용 민간 소프트웨어 개발사에 공유하여 보안 패치했다”며 “미완료건은 업데이트 개발이 신속히 진행될 수 있도록 지원할 계획”이라고 밝혔다.
김철웅 금융보안원 원장은 “버그바운티 문화가 금융권에서 활성화되고 안착될 수 있도록 지원하고 금융회사뿐만 아니라 금융권 이용 민간 소프트웨어 개발사에도 버그바운티 참여를 적극적으로 독려해 금융 디지털 건전성(Digital Soundness)을 강화해 나가겠다”고 말했다.