금보원, 금융권 SW 취약점 선제 발굴한다

금융보안원이 금융권 공통 소프트웨어에 대한 제로데이(0-day) 취약점을 선제적으로 발굴하고 대응하고자 버그바운티(취약점 신고 포상제)를 실시한다. 금융보안원은 27일 '금융권 소프트웨어 보안 취약점 신고 포상제'를 실시한다고 밝혔다. 대한민국 국민 누구나 화이트해커로 참가할 수 있으며, 취약점 수준에 따라 최대 1000만 원의 포상금을 지급한다. 위험도가 높고 파급력이 클수록 CVE(국제 취약점 식별 번호) 크레딧도 부여할 예정이다. 이 밖에도 우수 취약점 신고자는 금융보안원 입사 지원 시 우대하고, '취약점 발굴 명예의 전당'에 등재하는 등 다양한 인센티브도 제공된다. 금융보안원은 리액트투쉘(React2shell) 사태와 같이 소프트웨어 공급망 보안 위협이 금융권에 동시다발적인 영향을 줄 수 있는 만큼 선제적인 취약점을 탐색하는 것이 중요하다고 판단했다. 이에 금융회사 또는 가상자산사업자가 공통으로 사용하는 소프트웨어에 대한 보안 취약점은 연중 상시 접수하겠다는 방침이다. 특히 발굴된 취약점에 대한 지속·체계적인 대응을 지원하기 위해서는 금융권에 소프트웨어를 공급하는 제조사와 '공동운영' 협약을 체결하고 있으며, 올해 신규 협약 기업을 확대할 예정이다. 앞서 지난해에는 협약기업으로 4개 기업이 참가했으며, 올해에는 1개 기업이 추가 참여해 휴네시온, 지니언스, 시큐브, 지란지교소프트, 테르텐 등 5개 기업이 함께한다. 박상원 금융보안원장은 "보안 위협이 증가하고 공격 속도가 가속화됨에 따라 화이트해커를 활용한 선제적인 취약점 발굴의 중요성이 커지고 있다"며 "금융권 소프트웨어 공급망 보안 플랫폼과 취약점 신고 체계를 연계해 취약점 발굴부터 조정·완화 및 정보 공유까지 취약점 관리 전반을 체계적으로 지원하겠다"고 밝혔다.