[데일리시큐]금융보안원, 2025년 전자금융 서비스 버그바운티 실시

뉴스 요약

금융보안원은 전자금융 서비스의 제로데이 취약점을 선제적으로 발견하고 제거하기 위해 2025년 금융권 버그바운티를 실시한다. 누구나 참여 가능하며, 은행, 증권, 보험 등 32개 금융사의 110여 개 서비스를 대상으로 취약점을 신고하면 된다. 참가자들의 집중도 향상을 위해 대상 기관별 접수 기간을 1차(6월)와 2차(9월)로 나누어 운영한다.

핵심 포인트

• 금융권 제로데이 취약점 선제적 발견 및 제거 목표
• 2025년 금융권 버그바운티 실시
• 대한민국 국민 누구나 참여 가능
• 32개 금융사의 110여 개 서비스 대상
• 1차(6월), 2차(9월)로 나누어 운영

기술 세부 내용

1️⃣ Zero-day Vulnerability (제로데이 취약점)

• ️‍ 정의: 소프트웨어 또는 하드웨어의 취약점 중 아직 개발자나 공급업체에 알려지지 않은 취약점. 공격자가 패치가 개발되기 전에 이 취약점을 악용할 수 있기 때문에 매우 위험하다.
• ⚠️ 위험성: 제로데이 공격은 개발자가 패치를 만들 시간이 없기 때문에 방어하기 어렵다. 따라서 데이터 유출, 시스템 손상, 서비스 중단 등 심각한 피해를 초래할 수 있다.
• ️ 탐지 및 방어: 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS), EDR(Endpoint Detection and Response) 등의 보안 솔루션을 사용하여 의심스러운 활동을 모니터링하고 차단하는 것이 중요하다. 버그바운티 프로그램을 통해 제로데이 취약점을 조기에 발견하고 패치하는 것도 효과적인 방어 전략이다.

2️⃣ Bug Bounty Program (버그바운티 프로그램)

• 정의: 기업이나 조직이 자사의 시스템이나 서비스에서 발견된 보안 취약점을 신고한 사람에게 보상금을 지급하는 프로그램.
• 목적: 외부의 보안 전문가 또는 일반 사용자의 도움을 받아 알려지지 않은 취약점을 발견하고 수정하여 보안을 강화하는 것이 목적이다.
• ⚙️ 운영 방식: 참가자는 프로그램에 등록하고, 취약점을 발견하면 정해진 절차에 따라 신고한다. 기업은 신고된 취약점을 검토하고, 유효한 취약점으로 인정되면 보상금을 지급한다. 취약점의 심각도에 따라 보상금 규모가 달라진다.
• 장점: 기업 입장에서는 제한된 내부 리소스로 찾기 어려운 취약점을 발견할 수 있고, 참가자는 자신의 실력을 증명하고 보상금을 받을 수 있다는 장점이 있다.

3️⃣ SaaS (Software as a Service)

• ☁️ 정의: 소프트웨어를 인터넷을 통해 서비스 형태로 제공하는 방식. 사용자는 소프트웨어를 직접 설치하거나 관리할 필요 없이 웹 브라우저 등을 통해 접속하여 사용한다.
• 특징: 구독형 서비스로 제공되며, 필요한 기능에 따라 서비스를 선택하고 사용한 만큼 비용을 지불한다. 유지 보수 및 업데이트는 서비스 제공업체가 담당한다.
• 보안 고려사항: SaaS 환경에서는 데이터가 클라우드에 저장되기 때문에 데이터 보안, 접근 제어, 취약점 관리 등에 대한 철저한 보안 대책이 필요하다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=166438