“해킹 취약점 찾아주면 포상금”…금융권 보안 신고제 두 배 확대

[이데일리 최정훈 기자] 금융감독원과 금융보안원이 금융권 디지털 서비스의 보안 취약점을 사전에 발굴하기 위한 ‘버그바운티(보안취약점 신고포상제)’를 올해 대폭 확대 시행한다. 가상자산사업자와 법인보험대리점(GA)까지 참여 대상을 넓히면서 점검 대상 금융회사는 지난해보다 두 배 이상 늘었다.

18일 금융감독원에 따르면 금감원과 금융보안원은 ‘2026년 금융권 보안취약점 신고포상제(버그바운티)’를 실시한다. 버그바운티는 화이트해커 등 외부 참가자가 금융회사의 웹사이트, 모바일 앱, HTS(Home Trading System) 등 디지털 금융서비스에서 새로운 보안 취약점을 발견해 신고하면 평가를 거쳐 포상금을 지급하는 제도다.

올해는 은행·증권·보험 등 전통 금융권뿐 아니라 가상자산사업자와 GA까지 참여 범위를 확대했다. 이에 따라 취약점 점검 대상 금융회사는 지난해 32개사에서 올해 70개사로 119% 늘었다. 점검 대상 서비스도 총 306개로 확대됐다.

금융권의 AI 활용 확대와 클라우드 전환, 오픈소스 기반 소프트웨어 개발 증가로 보안 점검 필요 영역이 넓어지는 상황에서, 알려지지 않은 취약점을 선제적으로 찾아내 대응하겠다는 취지다.

참여 대상은 대한민국 국민 누구나 가능하다. 오는 8월 31일까지 금융보안원 ‘금융권 SW 공급망 보안 플랫폼’을 통해 신청할 수 있다. 참가자는 6월부터 8월까지 3개월간 70개 금융회사의 서비스에서 발견한 취약점을 신고하면 된다.

평가를 거쳐 건당 최대 1000만원의 포상금이 지급되며, 우수 신고자에게는 추가 인센티브도 제공된다. 결과 평가는 9~11월 진행된다.

이종오 금감원 디지털·IT 부원장보는 “이번 버그바운티는 금융회사가 스스로 잠재적 보안 취약점을 발굴·개선하는 자율 시정 기회”라며 “화이트해커의 집단지성을 통해 고도화되는 사이버 위협에 선제 대응하고 금융권 보안 역량을 강화하는 계기가 되길 기대한다”고 말했다.

금감원과 금융보안원은 앞으로 참여 금융회사와 화이트해커 확대를 위해 인센티브 강화 방안도 검토할 계획이다.