금융권 '보안 허점 찾기' 확대…신고자에 최대 1000만원

가상자산사업자·GA까지 참여…70개사 306개 서비스 점검

금융감독원 [사진=연합뉴스]

금융감독원과 금융보안원이 금융권 보안취약점 신고포상제, 이른바 ‘버그바운티’를 올해 대폭 확대한다. 가상자산사업자와 법인보험대리점(GA)까지 참여 대상을 넓히면서 점검 대상 금융회사는 지난해 32개사에서 올해 70개사로 두 배 이상 늘었다.

금감원과 금융보안원은 금융회사가 운영하는 디지털 금융서비스의 보안 취약점을 외부 시각에서 선제적으로 찾아 보완하기 위해 ‘2026년 금융권 보안취약점 신고포상제’를 공동 실시한다고 18일 밝혔다. 버그바운티는 화이트해커 등 외부 참가자가 금융회사 웹사이트, 모바일 앱, 홈트레이딩시스템(HTS) 등에서 새로운 보안 취약점을 발견해 신고하면 평가를 거쳐 포상금을 지급하는 제도다.

올해는 은행, 금융투자, 보험 등 기존 금융회사뿐 아니라 가상자산사업자와 GA까지 참여 범위를 확대했다. 이에 따라 취약점 탐지 대상은 70개사의 306개 서비스로 늘었다. 전년 32개사 대비 119% 증가한 규모다.

참가 대상은 대한민국 국민이다. 오는 8월 31일까지 금융보안원의 ‘금융권 SW 공급망 보안 플랫폼’에서 신청하면 된다. 취약점 신고 기간은 6월 1일부터 8월 31일까지 3개월이며, 신고된 취약점은 평가를 거쳐 건당 최대 1000만원의 포상금이 지급된다. 우수 신고자에게는 추가 인센티브도 제공된다.

금융당국은 금융권의 인공지능(AI) 활용, 클라우드 전환, 오픈소스 기반 소프트웨어 개발 확산 등으로 보안 점검 필요 영역이 넓어지고 있다고 보고 있다. 알려지지 않은 취약점을 외부 전문가의 참여로 조기에 찾아내 금융회사들이 사이버 위협에 선제적으로 대응하도록 하겠다는 취지다.