금융권의 디지털 보안 취약점을 발굴하기 위한 ‘버그바운티(Bug Bounty)’ 제도가 올해 더 넓은 범위로 확대 시행된다. 금융감독원과 금융보안원은 18일 공동으로 ‘2026년 금융권 보안취약점 신고포상제’를 운영한다고 알렸다. 이 제도는 화이트해커 등 외부 참가자가 금융회사의 웹사이트, 모바일 앱, 홈트레이딩시스템(HTS) 등에서 새로운 보안취약점을 찾아 신고하면 포상금을 지급하는 방식이다.
최근 인공지능(AI) 활용 확대와 클라우드 전환, 오픈소스 기반 소프트웨어(SW) 개발 증가로 보안 점검 영역이 대폭 늘어난 점이 도입 배경이다. 올해는 은행, 금융투자, 보험 등 전통 금융사뿐 아니라 가상자산사업자와 법인보험대리점(GA)도 참여 대상에 포함됐다. 취약점 탐지 대상 기업 수는 전년 32개사에서 올해 70개사로 119% 증가했으며, 총 306개 서비스가 점검 대상이다.
참여 자격은 대한민국 국민 누구에게나 열려 있다. 신청은 이달 1일부터 시작됐으며 오는 8월 31일까지 금융보안원의 ‘금융권 SW 공급망 보안 플랫폼’을 통해 접수하면 된다. 참가자는 신청을 완료한 후에만 신고 대상 정보를 확인하고 취약점을 발굴·신고할 수 있다. 발견된 취약점의 등급에 따라 건당 최대 1000만원의 포상금이 지급된다. 평가와 포상은 9월부터 11월 사이에 진행되며, 우수 신고자에게는 감사장 수여와 함께 금융보안원 입사 지원 시 정보보호 분야에서 2년간 우대 혜택이 주어진다.
보험업계 입장에서는 이번 제도 확대가 보안 역량 강화의 계기로 평가된다. 보험사가 운영하는 디지털 서비스의 잠재적 위험을 외부 시각에서 조기에 발견해 보완할 수 있기 때문이다. 특히 GA까지 포함되면서 보험 유통 채널의 디지털 보안 수준도 함께 높아질 것으로 예상된다. 이종오 금감원 디지털·IT 부원장보는 “금융회사 스스로 취약점을 발굴하고 개선하는 자율 시정의 기회”라며 “화이트해커의 집단지성을 활용해 고도화되는 사이버위협에 선제 대응할 수 있을 것”이라고 밝혔다.
