금융보안원 "카뱅 등 12개사 모바일 앱 61건 취약점 접수받아…25건은 포상금 제공"

[사진=금융보안원]

금융보안원이 금융회사 모바일 앱 등에 대한 취약점 신고를 평가해 포상금을 지급하는 '버그바운티(Bug Bounty)'를 진행한 결과 신고건수가 전년 대비 9배 가량 급증한 것으로 나타났다. 

19일 금융보안원에 따르면 지난 8월부터 10월까지 카카오뱅크 등 12곳을 대상으로 한 '2022년 금융권 버그바운티'에서 총 61건의 보안 취약점이 접수됐다고 발표했다. 이번 신고는 케이뱅크와 카카오뱅크, 한화손해보험, 메트라이프생명보험, 흥국화재, DGB생보, 네이버파이낸셜 등 11개 금융사 모바일앱과 지란지교소프트 등 총 12곳을 대상으로 이뤄졌다.

보안원 측은 "신고된 취약점의 영향도와 공격난이도, 발굴난이도 등 기준에 따라 내·외부 평가위원 평가를 거쳐 25건의 유효 취약점을 선정해 7명에게 포상금을 지급하고, 우수 신고자에게 원장 명의의 감사장을 수여했다"고 밝혔다. 

보안원에 따르면 올해부터 버그바운티 취약점 신고대상이 전년보다 확대됐다. 그동안은 인터넷뱅킹 등의 보안프로그램(Non-ActiveX)에 한해 진행되었으나 올해부터 금융회사 모바일 앱 뿐 아니라 금융권 이용 민간 소프트웨어 등으로 대폭 확대된 것이다. 신고대상이 확대되면서 참가인원과 신고건수도 급증했다는 것이 보안원 측 설명이다.

앞서 지난 2019년부터 현재까지 매년 버그바운티를 운영 중인 금융보안원은 접수된 보안 취약점을 금융회사 또는 금융권 이용 민간 소프트웨어 개발사에 공유해 보안 패치하는 한편, 미완료건은 업데이트 개발이 신속히 진행될 수 있도록 지원한다는 계획이다.

김철웅 금융보안원장은 "올해 금융권 버그바운티는 모바일 앱 취약점 분석에 관심있는 화이트해커들이 많이 참여했고 신고·접수건수도 크게 증가했다"면서 "앞으로도 버그바운티 문화가 금융권에서 활성화될 수 있도록 지원하고 금융사 뿐만 아니라 금민간 소프트웨어 개발사에도 버그바운티 참여를 적극적으로 독려해 금융 디지털 건전성을 강화해 나갈 것"이라고 밝혔다.