금융감독원과 금융보안원이 디지털 금융 서비스의 보안 취약점을 외부 전문가의 시각에서 발굴하도록 유도하는 '2026년 금융권 보안취약점 신고포상제'를 도입한다고 18일 공개했다. 이른바 버그바운티(Bug Bounty)로 불리는 이 제도는 화이트해커가 금융회사의 웹사이트, 모바일 앱, 홈트레이딩시스템(HTS) 등에서 새로운 보안 취약점을 찾아 신고하면 등급에 따라 포상금을 지급하는 방식이다.
최근 금융권에서 인공지능(AI) 도입과 클라우드 전환, 오픈소스 소프트웨어 개발이 확산되면서 보안 점검 범위가 넓어진 점이 제도 도입 배경으로 꼽힌다. 올해는 은행과 금융투자, 보험 등 전통 금융회사는 물론 가상자산사업자와 법인보험대리점(GA)까지 참여 대상이 확대됐다. 이에 따라 취약점 탐지 대상도 전년 32개사에서 올해 70개사로 119% 증가했으며, 총 306개 서비스에 대해 실시될 예정이다.
대한민국 국민은 누구나 참여할 수 있으며, 신청은 지난 1일부터 시작돼 오는 8월 31일까지 금융보안원의 '금융권 SW 공급망 보안 플랫폼'을 통해 접수된다. 참가자는 발견한 신규 취약점을 접수하면 평가를 거쳐 건당 최대 1000만원의 포상금을 받을 수 있다. 또한 우수 신고자에게는 감사장 수여와 함께 금융보안원 입사 지원 시 2년간 정보보호 분야에서 가점을 부여하며, 명예의 전당 등재 등 추가 인센티브도 제공된다.
참가 회사는 월별로 구분돼 순차 운영되므로 월별 신고 대상이 다르며, 결과 평가와 포상은 9월부터 11월 사이에 진행된다. 이종오 금융감독원 디지털·IT 부원장보는 "이번 버그바운티는 금융회사 스스로 잠재 보안취약점을 개선하는 자율 시정의 기회"라며 "화이트해커의 집단지성을 통해 고도화되는 사이버위협에 선제적으로 대응해 금융권 전반의 보안 역량을 실질적으로 강화하는 계기가 되길 기대한다"고 밝혔다.
보험업계 입장에서는 이번 제도 참여로 사이버 공격에 대한 방어 체계를 한층 더 정비할 수 있을 것으로 전망된다. 금융권 전반에 걸친 취약점 발굴과 시정이 이뤄지면 보험사 고객의 개인정보와 자산을 보호하는 인프라가 강화되는 효과를 거둘 수 있기 때문이다. 업계 전문가들은 이번 제도가 금융보안 생태계의 선순환을 촉진하는 계기가 될 것이라고 분석하고 있다.
