“해커 모집합니다”...보안 빈틈 찾아내면 건당 최대 1000만원

금융감독원과 금융보안원이 화이트 해커를 모집해 금융권 보안 취약점 점검에 나선다. 화이트 해커란 블랙 해커와 대비되는 개념으로 공익을 목적으로 해킹해 취약점을 보완하는 사람을 의미한다.

금융감독원과 금융보안원은 ‘2025년 금융권 보안 취약점 신고포상제’(이하 버그바운티)를 실시해 최대 1000만원의 포상금을 지급할 계획이라고 지난 26일 밝혔다.

버그바운티는 금융회사가 운영 중인 서비스에 대해 자체적으로 발견하지 못하는 취약점을 외부에서 발견 및 조치하기 위해 실시하는 포상 제도다. 화이트 해커를 비롯해 학생과 일반인 등 정보보호에 관심이 있는 대한민국 국민이면 누구나 참가할 수 있으며 별도 참가비는 없다.

현재 금융권에서는 AI와 클라우드 등 금융 신기술과 공개형 소프트웨어 도입이 활발하게 이뤄지고 있다. 하지만 신기술 도입으로 아직 공표되지 않거나 조치방안이 발표되지 않은 보안 취약점도 있다. 버그바운티는 이러한 취약점을 조기 포착하고 조치하는 데 큰 역할을 할 것으로 기대된다.

최근에는 금융권 안팎에서도 해킹 등 침해사고가 발생해 사이버 위기 우려가 고조되고 있다. 금융감독원과 금융보안원은 버그바운티를 통해 보안 역량을 점검할 수 있도록 금융사의 적극적인 참여를 권고했다. 이에 참여 금융회사가 작년 22개 사에서 늘어난 32개 사로 확대되었다.

취약점 탐지 대상은 웹사이트와 모바일 앱 등으로 참가 신청을 완료한 경우에만 취약점 발굴·신고 등 화이트 해킹이 가능하다. 참가를 원한다면 신청서와 비밀 유지 서약서 등을 작성해 이메일로 제출해야 한다. 신청 기간은 지난 5월 1일부터 시작해 8월 31일까지이며 활동은 오는 6월 1일부터 시작한다.

신고된 취약점은 중요도, 파급력 등을 고려해 전문위원들의 평가를 거쳐 건당 최대 1000만원의 포상금이 지급된다. 취약점 우수발굴자는 금융보안원 입사 시 우대혜택도 제공된다. 자세한 내용은 금융감독원과 금융보안원 홈페이지를 참조하면 된다.

금융보안원에 따르면 지난 2024년 버그바운티 집중 신고기간 동안 화이트해커 150명이 참여해 249건의 취약점을 찾아냈다. 발굴한 취약점은 출현도, 영향도, 공격난이도, 발굴난이도 등을 평가해 최종 222건을 포상금 지급 대상 취약점으로 선정했으며 평가점수 누적 합계 상위 23명에 대해 총 5000만원 상당의 포상금을 지급한 바 있다.