2024-03-29 06:40 (금)
2022년 금융권 버그바운티 결과, 정보탈취 취약점 25건 대응...포상금 지급
상태바
2022년 금융권 버그바운티 결과, 정보탈취 취약점 25건 대응...포상금 지급
  • 길민권 기자
  • 승인 2022.12.19 23:02
이 기사를 공유합니다

전년대비 약 9배 상승한 61건 보안 취약점 접수돼
금융보안원 제공.
금융보안원 제공.

금융보안원(원장 김철웅)은 2022년 8월부터 10월까지 신고기간을 운영한 ‘2022년 금융권 버그바운티’ 실시 결과를 16일 발표했다. 

버그바운티(Bug Bounty)란 소프트웨어의 신규 취약점을 신고받아 이를 평가하여 포상금을 지급하는 제도로 금융보안원은 ‘19년부터 현재까지 운영 중이다. 

신고·접수된 취약점은 ▲영향도, ▲공격난이도, ▲발굴난이도 등의 기준에 따라 내·외부 평가위원의 평가를 거쳐 25건의 유효 취약점을 선정, 7명에게 포상금을 지급하고, 우수 취약점 신고자에게 금융보안원장 명의의 감사장을 수여했다. 

2022년 금융권 버그바운티 실시 상세 결과를 살펴보면 다음과 같다. 

금융권 버그바운티는 인터넷뱅킹 등의 보안프로그램(Non-ActiveX)에 한해 진행되었으나, 올해부터 금융회사 모바일 앱, 금융권 이용 민간 S/W 등으로 대폭 확대해 실시했다. 

참여기관은 케이뱅크, 카카오뱅크, 한화손해보험, 메트라이프생명보험, 흥국화재해상보험, DGB생명보험, 네이버파이낸셜 등 11곳이다. 

금융권 이용 민간 소프트웨어 기업으로는 지란지교소프트(나모크로스 웹에디터)가 참여했다. 

올해 신고대상 확대에 따라 참가인원 및 신고건수도 증가했으며, 특히 전년대비 약 9배 상승한 61건의 보안 취약점이 접수됐다. 

접수된 보안 취약점은 금융회사 또는 금융권 이용 민간 소프트웨어 개발사에 공유하여 보안 패치했고, 미완료건은 업데이트 개발이 신속히 진행될 수 있도록 지원할 계획이다. 

김철웅 금융보안원 원장은 “올해 금융권 버그바운티는 금융회사 모바일 앱 등으로 취약점 신고대상을 확대하면서, 모바일 앱 취약점 분석에 관심있는 화이트해커들이 많이 참여하였으며, 신고·접수건수도 크게 증가하였다”며 “금융보안원은 버그바운티 문화가 금융권에서 활성화되고 안착될 수 있도록 지원하며, 금융회사 뿐만 아니라 금융권 이용 민간 소프트웨어 개발사에도 버그바운티 참여를 적극적으로 독려하여 금융 디지털 건전성(Digital Soundness)을 강화해 나가겠다”고 밝혔다. 

★정보보안 대표 미디어 데일리시큐!

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★