“취약점 찾아주면 최대 1000만원”…금융권 보안 ‘화이트해커’ 총력전

[마이데일리 = 최주연 기자] 금융권이 화이트해커를 활용한 ‘선제 보안 점검’ 체계를 대폭 확대한다. 인공지능(AI)과 클라우드, 가상자산 등 디지털 금융 서비스가 빠르게 확산되면서 기존 방식만으로는 보안 취약점 대응에 한계가 있다는 판단에서다.

금융감독원과 금융보안원은 18일 ‘2026년 금융권 보안취약점 신고포상제(버그바운티)’를 공동 운영한다고 밝혔다.

버그바운티는 외부 화이트해커 등이 금융회사의 웹사이트·모바일 앱·홈트레이딩시스템(HTS) 등에서 새로운 보안 취약점을 발견해 신고하면 평가를 거쳐 포상금을 지급하는 제도다. 쉽게 말해 금융회사가 외부 전문가를 활용해 실제 해킹 가능성을 사전에 점검받는 방식이다.

금감원은 최근 금융권의 AI 활용 확대와 클라우드 전환, 오픈소스 기반 소프트웨어(SW) 개발 증가 등으로 보안 점검 필요 영역이 빠르게 늘어나고 있다고 설명했다. 알려지지 않은 취약점을 사전에 발굴·조치함으로써 금융권 전반의 사이버 리스크 대응 역량을 높이겠다는 취지다.

올해는 참여 범위도 대폭 확대됐다. 기존 은행·증권·보험사 중심에서 벗어나 가상자산 사업자와 법인보험대리점(GA)까지 포함됐다. 취약점 탐지 대상 역시 지난해 32개사에서 올해 70개사로 두 배 이상 늘었으며, 점검 대상 서비스도 총 306개로 확대됐다.

참가자는 다음 달 1일부터 오는 8월 31일까지 금융보안원 ‘금융권 SW 공급망 보안 플랫폼’을 통해 취약점을 신고할 수 있다. 평가 결과에 따라 건당 최대 1000만원의 포상금이 지급되며, 우수 신고자에게는 추가 인센티브도 제공된다.

금융권에서는 이번 조치를 단순 이벤트성 보안 캠페인보다는 디지털 금융 전반의 보안 패러다임 변화로 보는 분위기다. 과거에는 사고 발생 이후 대응에 초점이 맞춰졌다면, 최근에는 외부 전문가와 화이트해커를 활용해 잠재 위험을 사전에 차단하는 방식으로 빠르게 전환되고 있다는 설명이다.

특히 가상자산과 모바일 금융, 오픈 API 기반 서비스가 확대되면서 금융회사들의 사이버 공격 노출 범위 자체가 이전보다 훨씬 넓어졌다는 분석도 나온다.

이종오 금융감독원 디지털·IT 부원장보는 “화이트해커의 집단지성을 통해 고도화되는 사이버 위협에 선제적으로 대응함으로써 금융권 전반의 보안 대응 역량을 실질적으로 강화하는 계기가 되기를 기대한다”고 말했다.