금융보안원(원장 김철웅)은 2024년 한 해 동안 운영한 금융권 취약점 신고포상제인 버그바운티(Bug Bounty) 성과를 18일에 발표했다.
금년도 버그바운티는 금융회사 보안 사각지대를 최소화하고자 금융회사 서비스를 대상으로 하는 집중신고와 금융권 공통 소프트웨어-보안솔루션을 대상으로 하는 상시신고로 나누어 “투트랙(Two-Track)”으로 확대 실시했다.
집중신고 부문은 화이트해커 총 150명이 참여해 전년 대비 108% 증가한 총 249건의 취약점을 발굴했다. 올해 처음 운영한 상시신고 부문에서는 총 17명의 화이트해커가 공동인증, 키보드보안, 로그수집, ARS 등 20개의 금융권 소프트웨어·솔루션에서 총 43건의 취약점을 발굴했다.
발굴한 취약점은 출현도, 영향도, 공격난이도, 발굴난이도 등을 평가해 최종 222건을 포상금 지급 대상 취약점으로 선정했다.
평가점수 누적 합계 상위 23명에 대해 총 5,000만원 상당의 포상금을 지급하고, 우수 취약점 신고자 4명에게는 금융보안원 감사장을 수여했으며, 취약점 신고 점수 상위 10위 안에 드는 화이트해커들은 금년도에 신설한 명예의 전당에 등록했다.
금융보안원 김철웅 원장은 “앞으로도 금융보안원은 버그바운티를 통해 능동적인 보안문화를 더욱 활성화시키고, 소프트웨어 공급망 보안 강화를 위해 국내외 유관기관들과도 긴밀한 협력 체계를 이어가는 등 금융권 전반의 보안성 향상을 위한 노력을 아끼지 않을 것이다”라고 말했다.
한편, 금융회사와 소프트웨어 개발사가 취약점 발굴에 보다 더 주체적으로 참여할 수 있도록 금융보안원과 함께 버그바운티를 운영하는 공동운영 제도를 신설했다. 현재 3개 기업(지니언스, 시큐브, 지란지교소프트)이 참여하고 있으며, 앞으로도 버그바운티 활성화를 위해 제도 저변을 지속적으로 넓혀 나갈 예정이다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★