금융당국이 화이트해커와 함께 금융권의 보안 취약점을 찾는 '버그바운티'를 대폭 확대한다. 올해는 가상자산사업자와 법인보험대리점(GA)까지 참여 대상을 넓혀 70개 금융회사의 306개 디지털 금융서비스를 점검한다. 새로운 보안 취약점을 발견해 신고하면 건당 최대 1000만원의 포상금이 지급된다.

금융감독원과 금융보안원은 18일 '2026년 금융권 보안취약점 신고포상제(버그바운티)'를 실시한다고 밝혔다.

버그바운티는 외부 전문가와 일반 참가자가 금융회사의 웹사이트, 모바일 애플리케이션, 홈트레이딩시스템(HTS) 등에서 알려지지 않은 보안 취약점을 찾아 신고하면 평가를 거쳐 포상금을 지급하는 제도다. 금융회사가 자체적으로 발견하기 어려운 보안 결함을 외부의 시각으로 선제적으로 찾아내 신속히 보완하도록 돕는 것이 목적이다.

올해는 참여 규모가 크게 늘었다. 점검 대상 금융회사는 지난해 32개사에서 올해 70개사로 119% 증가했다. 은행, 증권, 보험사 등 전통 금융회사뿐 아니라 가상자산사업자와 법인보험대리점까지 처음 포함되면서 총 306개 서비스가 점검 대상에 올랐다.

금융당국이 참여 범위를 확대한 것은 금융권의 인공지능(AI) 활용 확대, 클라우드 전환, 오픈소스 기반 소프트웨어 개발 확산으로 점검해야 할 보안 영역이 빠르게 넓어지고 있기 때문이다. 디지털 금융서비스가 고도화될수록 해킹 위험도 커지는 만큼 외부 전문가의 집단지성을 활용해 잠재적 취약점을 조기에 제거하겠다는 취지다.

대한민국 국민이면 누구나 참여할 수 있다. 참가자는 오는 8월 31일까지 금융보안원의 '금융권 SW 공급망 보안 플랫폼'에 신청한 뒤, 6월 1일부터 8월 31일까지 취약점을 신고하면 된다. 신고 내용은 심사를 거쳐 등급별로 포상되며, 건당 최대 1000만원이 지급된다.

우수 신고자에게는 추가 혜택도 제공된다. 감사장 수여와 함께 향후 금융보안원 입사 지원 시 정보보호 분야에 한해 우대 혜택이 주어진다. 평가 점수에 따라 금융보안원 명예의 전당에도 이름을 올릴 수 있다.

이종오 금융감독원 디지털·IT 부원장보는 "이번 버그바운티는 금융회사가 스스로 잠재적 보안 취약점을 발굴하고 개선하는 자율시정의 기회"라며 "화이트해커의 집단지성을 통해 고도화되는 사이버 위협에 선제적으로 대응하고 금융권 전반의 보안 대응 역량을 실질적으로 강화하는 계기가 되길 기대한다"고 말했다.

금감원과 금융보안원은 앞으로 더 많은 금융회사와 보안 전문가가 참여할 수 있도록 포상과 인센티브를 확대하는 방안을 검토할 계획이다.