금융보안원이 2022년 8월부터 10월까지 신고 기간을 운영한 ‘2022년 금융권 버그바운티(Bug Bounty)’의 결과를 지난 12월 16일 발표했다.
금융보안원은 이번에 신고·접수된 취약점 가운데 ▲영향도 ▲공격 난이도 ▲발굴 난이도 등의 기준에 따라 내·외부 평가 위원의 평가를 거쳐 25건의 유효 취약점을 선정해 7명에게 포상금을 지급했다. 또한 우수 취약점 신고자에게는 금융보안원장 명의의 감사장을 수여했다.
금융보안원에 따르면, 이번 버그바운티에서는 보안 취약점 신고 대상이 확대됐다. 금융권 버그바운티는 인터넷 뱅킹 등의 보안 프로그램(Non-ActiveX)에 한해 진행됐으나 올해부터는 금융 회사 모바일 앱, 금융권 이용 민간 S/W 등으로 대폭 확대해 실시됐다.
취약점 신고 건수도 증가했다. 신고 대상 확대에 따라 참가 인원 및 신고 건수가 늘어났으며 특히 전년 대비 약 9배 상승한 61건의 보안 취약점이 접수된 보안 취약점은 금융 회사 또는 금융권 이용 민간 소프트웨어 개발사에 공유해 보안 패치를 지원했다. 또한 미완료건은 업데이트 개발이 신속히 진행될 수 있도록 지원할 계획이다.
김철웅 금융보안원 원장은 “올해 금융권 버그바운티는 금융 회사 모바일 앱 등으로 취약점 신고 대상을 확대하면서, 모바일 앱 취약점 분석에 관심 있는 화이트 해커들이 많이 참여하였으며, 신고·접수 건수도 크게 증가했다. 금융보안원은 버그바운티 문화가 금융권에서 활성화되고 안착될 수 있도록 지원하며, 금융 회사 뿐만 아니라 금융권 이용 민간 소프트웨어 개발사에도 버그바운티 참여를 적극적으로 독려해 금융 디지털 건전성(Digital Soundness)을 강화해 나가겠다”고 강조했다.
