[2026 버그바운티 개요. (사진=금융감독원)]
금융감독원과 금융보안원은 금융회사가 운영하는 디지털금융서비스의 보안취약점을 외부시각에서 선제적으로 발굴하여 신속히 보완하기 위해 '2026년 금융권 보안취약점 신고포상제'를 공동으로 실시한다고 오늘(18일) 밝혔습니다.
버그바운티는 화이트해커등의 외부참가자가 금융회사가 운영하는 웹사이트·모바일앱·HTS 등의 디지털금융서비스에서 새로운 보안취약점을 발견·신고하면 평가를 거쳐 포상금을 지급하는 제도입니다.
금융권의 AI활용, 클라우드전환, 오픈소스기반 SW개발 확산 등으로 보안점검 필요영역이 확대되는 상황에서, 버그바운티는 알려지지 않은 취약점을 능동적으로 발굴·시정함으로써 금융회사들이 사이버위협에 선제적으로 대비하는 기회가 될 것으로 기대됩니다.
특히, 올해에는 은행·금융투자·보험 등 기존전통금융회사뿐만 아니라 가상자산사업자, 법인보험대리점(GA)등으로 참여범위를 넓혔습니다. 금융권의 적극적인 참여에 힘입어 취약점 탐지대상을 전년 32개사에서 올해 70개사로 두 배 이상 규모로 확대해, 모두 306개 서비스에 대하여 실시할 계획입니다.
오는 8월 31일까지 금융보안원 ’금융권 SW공급망 보안플랫폼’에 신청한 대한민국 국민은 누구나 버그바운티에 참여할 수 있으며 3개월간 '취약점탐지대상' 70개사의 306개 서비스에서 발견한 취약점을 접수하면, 이를 평가해 건당 최대 1천만원의 포상금을 지급합니다. 우수 신고자에게는 관련기준에 따라 추가인센티브 제공됩니다.
금감원 이종오디지털·IT 부원장보는 "이번 버그바운티는 ’사전예방적 디지털리스크 감독방안‘의 하나로 실시하는 것으로, 금융회사 스스로 잠재 보안취약점을 발굴·개선하는 자율시정의 기회"라며, "화이트해커의 집단지성을 통해 고도화되는 사이버위협에 선제적으로 대응함으로써, 금융권 전반의 보안 대응 역량을 실질적으로 강화하는 계기가 되기를 기대한다"고 밝혔습니다.
금감원과 금보원은 "안전한 디지털 금융환경을 조성하고 금융회사의 자율적인 보안역량을 강화하기 위해 버그바운티를 지속 확대할 예정"이라며 "이를 위해 보다 많은 금융회사(취약점탐지대상)와 실력 있는 화이트해커(버그바운티참가자)들이 참여할 수 있도록 인센티브를 강화하는 방안 등을 검토해 나갈 계획"이라고 전했습니다.