금융보안원, 금융권 집중신고 부문에서 총 249건 취약점 발굴
금융보안원, 금융권 집중신고 부문에서 총 249건 취약점 발굴
금융보안원(원장 김철웅)은 2024년 한 해 동안 운영한 금융권 취약점 신고포상제인 버그바운티(Bug Bounty) 성과를 18일에 발표했다. 올해 버그바운티는 금융회사 보안 사각지대를 최소화하고자 △
www.boannews.com
- 버그바운티 성과 개요
- 금융보안원이 운영한 금융권 취약점 신고포상제(버그바운티)에서 전년 대비 2배 이상 취약점을 발굴
- 총 249건의 취약점을 발견하며 금융권 보안성을 대폭 강화
- 발굴된 취약점에 대해 총 5,000만원 상당의 포상금과 금융보안원장 감사장 수여
- 버그바운티 운영 방식
- 투트랙(Two-Track) 접근법
- 집중신고 부문: 금융회사 서비스에 중점을 두고 운영
- 화이트해커 150명이 참여해 총 249건의 취약점 발굴
- 전년 대비 참여자 수 108% 증가
- 상시신고 부문: 금융권 공통 소프트웨어와 보안솔루션을 대상으로 운영
- 총 17명의 화이트해커가 참여해 43건의 취약점을 발굴
- 주요 대상: 공동인증, 키보드보안, 로그수집, ARS 등 20개 소프트웨어 및 솔루션
- 집중신고 부문: 금융회사 서비스에 중점을 두고 운영
- 투트랙(Two-Track) 접근법
- 취약점 평가 및 포상
- 발굴된 취약점을 출현도, 영향도, 공격난이도 등을 평가해 222건을 포상금 지급 대상으로 선정
- 상위 23명에게 총 5,000만원의 포상금 지급
- 우수 신고자 4명에게 금융보안원 감사장 수여
- 취약점 신고 점수 상위 10명은 신설된 명예의 전당에 등재
- 공동운영 제도 도입
- 금융회사와 소프트웨어 개발사의 참여를 확대하기 위해 공동운영 제도 신설
- 현재 3개 기업(지니언스, 시큐브, 지란지교소프트)이 참여 중
- 금융보안원은 제도 저변을 넓혀 참여를 지속적으로 확대할 계획
- 향후 계획 및 목표
- 능동적인 보안문화를 활성화하며 금융권의 전반적인 보안성을 향상
- 소프트웨어 공급망 보안을 강화하기 위해 국내외 유관기관들과 협력 체계를 구축
- 금융권 전반에서의 보안 문제를 선제적으로 대응하기 위한 노력 지속
- 결론
- 버그바운티와 같은 취약점 신고포상제는 금융권의 보안 사각지대를 줄이는 효과적인 방법으로 자리 잡고 있음
- 금융회사와 소프트웨어 공급업체의 적극적인 참여와 협력을 통해 보안성을 지속적으로 강화해야 함
- 국내 금융권은 해외 선진 보안 정책을 참고하며 글로벌 수준의 보안 체계를 구축해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 로봇청소기 보안 강화 경쟁…"사생활 보호를 위한 해킹 방어" (2) | 2024.12.29 |
|---|---|
| BellaCPP: Charming Kitten의 C++ 기반 BellaCiao 변종 분석 (0) | 2024.12.29 |
| 제로트러스트 보안모델 도입 사례와 전망 (0) | 2024.12.29 |
| 개인정보 유출에 따른 금융사 제재와 카카오페이 사례 분석 (3) | 2024.12.29 |
| 콜드 데이터로 인한 자원 낭비와 데이터 관리 혁신 (0) | 2024.12.29 |