금융감독원과 금융보안원이 디지털 금융 서비스의 무결성을 확보하기 위해 '2026년 금융권 보안취약점 신고포상제'를 실시하며 참여 대상을 70개사 306개 서비스로 대폭 확장한다. 화이트해커가 발견한 보안 약점에 대해 건당 최대 1,000만 원의 포상금을 지급하며, 올해부터는 가상자산사업자와 법인보험대리점까지 점검 범위를 넓혀 금융 생태계 전반의 방어력을 강화한다. 이번 조치는 AI 활용과 클라우드 전환으로 고도화되는 사이버 위협에 선제적으로 대응하기 위한 민관 합동 보안 전략의 일환이다.

금융감독원과 금융보안원은 금융권의 디지털 전환 가속화에 따른 사이버 리스크를 사전에 차단하기 위해 외부 전문가의 시각에서 취약점을 발굴하는 '2026년 금융권 보안취약점 신고포상제(버그바운티)'를 공동 운영한다. 이번 프로그램은 금융회사가 운영하는 웹사이트, 모바일 애플리케이션, 홈트레이딩시스템(HTS) 등 대고객 디지털 서비스 전반을 대상으로 하며, 외부 화이트해커의 집단지성을 활용해 보안 사각지대를 제거하는 데 목적을 둔다. 금융당국은 이를 통해 알려지지 않은 취약점을 능동적으로 시정하고 금융권의 자율적인 보안 역량이 실질적으로 상향 평준화될 것으로 기대하고 있다.

올해 버그바운티의 가장 큰 특징은 참여 기관의 양적 확대와 질적 다양화를 동시에 꾀했다는 점에 있다. 기존의 은행, 금융투자, 보험 등 전통적인 금융 영역을 넘어 가상자산사업자(VASP)와 법인보험대리점(GA) 등으로 참여 범위를 대폭 넓혔다. 취약점 탐지 대상 기업은 지난해 32개사에서 올해 70개사로 두 배 이상 증가했으며, 점검 대상 서비스 또한 총 306개에 달해 역대 최대 규모로 진행한다. 이는 디지털 금융의 접점이 다변화됨에 따라 보안 사고 발생 시 파급력이 큰 신규 업권까지 철저하게 관리하겠다는 당국의 의지가 반영된 결과다.

금융권 내 인공지능(AI) 도입과 클라우드 기반 시스템 전환이 가속화되면서 보안 점검이 필요한 영역은 과거보다 훨씬 광범위해지고 복잡해졌다. 특히 오픈 소스 기반의 소프트웨어(SW) 개발이 확산됨에 따라 공급망 보안의 중요성이 커지고 있으며, 이에 대응하기 위한 능동적인 취약점 발굴 체계가 필수적인 상황이다. 금감원은 이러한 기술적 변화에 발맞춰 화이트해커들이 창의적인 방식으로 새로운 보안 허점을 찾아낼 수 있도록 유도하고, 이를 통해 확보한 데이터를 바탕으로 금융회사가 사이버 위협에 선제 대응할 수 있는 기회를 제공한다.

참여를 희망하는 보안 전문가나 화이트해커는 오는 8월 31일까지 금융보안원의 '금융권 SW 공급망 보안 플랫폼'을 통해 신청할 수 있으며 누구나 참여가 가능하다. 취약점 접수 기간은 다음 달 1일부터 8월 31일까지로 정해졌으며, 신고된 취약점은 전문 평가위원회의 엄격한 심사를 거쳐 등급에 따라 건당 최대 1,000만 원의 포상금을 차등 지급한다. 우수한 성과를 낸 신고자에게는 포상금 외에도 관련 기준에 따른 추가 인센티브를 부여하여 실력 있는 화이트해커들의 적극적인 참여를 독려할 계획이다.

일각에서는 외부 인력에 의한 취약점 탐지가 금융 시스템의 안정성에 일시적인 부담을 줄 수 있거나, 단순한 신고 남발로 인해 행정 효율성이 저하될 수 있다는 우려를 제기하기도 한다. 그러나 금융당국은 체계적인 신고 플랫폼 운영과 정교한 평가 가이드라인을 통해 유효한 제보만을 선별함으로써 이 같은 부작용을 최소화한다는 방침이다. 오히려 폐쇄적인 보안 점검 방식에서 벗어나 외부의 시각을 적극 수용하는 것이 장기적으로는 금융 시스템의 신뢰도를 높이고 보안 비용을 절감하는 효율적인 방안이라는 평가가 지배적이다.

이종오 금융감독원 디지털·IT 부원장보는 "이번 버그바운티는 '사전 예방적 디지털 리스크 감독방안'의 하나로 추진되는 것이며, 금융회사 스스로 잠재적 보안 취약점을 발굴하고 개선하는 자율 시정의 기회가 될 것"이라고 강조했다. 그는 이어 "화이트해커의 집단지성을 통해 고도화되는 사이버 위협에 선제적으로 대응함으로써 금융권 전반의 보안 대응 역량을 실질적으로 강화하는 계기가 되기를 기대한다"고 덧붙였다. 이는 규제 중심의 감독에서 벗어나 시장 참여자들과의 협업을 통해 보안 생태계를 조성하겠다는 정책적 방향성을 시사한다.

금융감독원과 금융보안원은 안전한 디지털 금융 환경 조성을 위해 버그바운티 제도를 일회성 행사에 그치지 않고 지속적으로 확대 운영할 예정이다. 이를 위해 향후 참여 금융회사의 수를 더욱 늘리고 실력 있는 보안 전문가들이 지속적으로 유입될 수 있도록 인센티브 구조를 고도화하는 방안을 검토하고 있다. 금융권 전반의 보안 무결성을 확보하는 것은 단순한 기술적 과제를 넘어 국가 금융 경쟁력과 직결되는 사안인 만큼, 당국은 버그바운티를 통한 자율 보안 체계 확립에 행정력을 집중할 계획이다.