주요 글로벌 제조사, 현상금 내걸고 보안 취약점 찾는다

인터넷과 연결된 모든 기기가 사이버 공격의 표적이 되는 상황에서 주요 업체들이 각종 해킹 대회와 현상금 지급으로 보안 사고 방지에 나서고 있다.

매년 전 세계의 화이트 해커와 보안 전문가들이 모여 실제 제품의 취약점을 찾아내는 '폰투오운'(Pwn2Own) 대회는 이러한 현실을 단적으로 보여주는 무대다.

지난 21일부터 아일랜드에서 진행중인 '폰투오운 아일랜드 2025' 대회에서도 네트워크 저장장치(NAS), 사무용 복합기, 스마트 스피커 등 실생활 속 장비들이 주요 타깃이 됐다.

다수의 팀이 실제로 관리자 권한 탈취에 성공하며 보안 취약점의 심각성을 입증한 가운데, 주요 제조사는 이번 대회에서 발견된 취약점을 제품 보안 강화에 활용할 예정이다.

보안업체·학계·화이트해커 모여 해킹

폰투오운은 제로데이이니셔티브(ZDI)와 보안업체 트렌드마이크로가 매년 여는 해킹 대회다. 보안업체와 화이트 해커 팀, 전문가들이 일정 기간 한 데 모여 인터넷과 연결되는 일반 소비자와 기업용 기기의 보안 취약점을 찾는다.

이 대회에는 실제 제품을 공급하는 제조사가 후원사로 나서 자사 제품의 취약점을 찾아 낸 해커나 전문가에 상금을 지급한다.

지난 1월 하순 일본 도쿄에서 진행된 '폰투오운 오토모티브 2025'에서는 완성차 업체 스바루의 원격 시동과 제어 서비스 '스타링크'(Starlink)를 비롯해 자동차 내 인포테인먼트 시스템과 전기차 충전기 등 다양한 기기의 보안 취약점이 발견됐다.

21일부터 아일랜드서 '펀투오운' 행사 진행

지난 21일(이하 현지시각)부터 아일랜드에서 진행중인 '펀투오운 아일랜드 2025' 행사에서는 캐논과 시놀로지, 큐냅 등 다양한 제조사 제품의 보안을 무력화하려는 시도가 이어지고 있다.

시놀로지와 큐냅은 하드디스크 드라이브와 SSD 등 저장장치를 내부/외부 네트워크와 연결하는 네트워크 저장장치(NAS), 데이터 백업 어플라이언스(전용 기기) 등을 공급한다.

또 캐논은 소규모 사무실용 복합기에 인터넷을 연결해 프린터 기능 공유나 문서 스캔 기능 등을 수행한다. 이들 기기의 보안을 해제하면 기업이나 조직, 가정 내 네트워크에 침입하거나 저장된 파일과 데이터에 접근할 수 있다.

NAS·레이저 복합기 관리자 권한 탈취 성공

21일에는 베트남과 일본 해킹 팀이 캐논 컬러 레이저 복합기 'MF654Cdw'의 메모리 관련 보안 취약점을 파고 드는데 성공했다. 해킹에 성공한 팀은 각각 2만 달러, 1만 달러 상당 상금을 확보했다.

시놀로지가 올해 출시한 최신 제품인 개인용 NAS '비스테이션 플러스', '디스크스테이션 DS925+'도 공격을 피해가지 못했다. 비스테이션 플러스 운영체제를 해킹해 관리자 권한을 확보한 한 팀은 4만 달러 상금을 확보했다.

이외에 블루투스 내장 스마트 전구, 스마트 스피커 등 다양한 제품의 보안 취약점이 드러났다. 22일에는 삼성전자 갤럭시S25의 보안 취약점을 이용해 관리자 권한을 확보한 사례도 등장했다.

'버그 바운티'로 미처 발견 못한 취약점 선제 대응

주요 업체는 펀투오운 뿐만 아니라 보안 취약점을 발견하는 개인이나 보안 회사에 보상금 등을 지급하는 '버그 바운티' 프로그램도 진행중이다.

외부 공격으로 약점이 노출돼 입는 피해를 미연에 방지할 수 있어 결과적으로는 유형 무형의 비용 지출을 줄일 수 있다는 것이 가장 큰 이유다.

스펙터, 멜트다운 등 프로세서 보안 관련 문제로 홍역을 치른 인텔은 버그 바운티 프로그램으로 지난 2024년 전체 취약점의 53%를 발견하는 성과를 거뒀다.

주요 기업들, 취약점 보완·보안 강화 예정

펀투오운 아일랜드 대회로 보안 취약점을 발견한 주요 기업들은 향후 제품과 서비스 보안을 강화할 예정이다. 보안 패치나 업데이트는 물론 제품 개발 과정의 보안 강화도 예상된다.

관련기사