주요 글로벌 제조사, 현상금 내걸고 보안 취약점 찾는다 작성일 10-23 53 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">'폰투오운 아일랜드' 대회서 실제 제품 대상 해킹 성공 사례 속출</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="6QLo4VHlkW"> <p contents-hash="b04b34ad426f366efc840345a28d97dbdc7b62fa058ae608d03e85beb23cf86e" dmcf-pid="Pxog8fXSoy" dmcf-ptype="general">(지디넷코리아=권봉석 기자)인터넷과 연결된 모든 기기가 사이버 공격의 표적이 되는 상황에서 주요 업체들이 각종 해킹 대회와 현상금 지급으로 보안 사고 방지에 나서고 있다.</p> <p contents-hash="c5ed2a8a738aeb346a2bc4d9c832d64a79f5f46d85121212d94cdcdbce625ce0" dmcf-pid="Q2MRBzSraT" dmcf-ptype="general"><span>매년 전 세계의 화이트 해커와 보안 전문가들이 모여 실제 제품의 취약점을 찾아내는 '폰투오운'(Pwn2Own) 대회는 이러한 현실을 단적으로 보여주는 무대다.</span></p> <figure class="figure_frm origin_fig" contents-hash="cc8121a6f1e96c9eb39cdd225b1d0759cc9955cb6ed8deff68f34771863183e4" dmcf-pid="xVRebqvmNv" dmcf-ptype="figure"> <p class="link_figure"><img alt="'폰투오운 아일랜드 2025' 대회 로고. (사진=제로데이이니셔티브)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/23/ZDNetKorea/20251023161940526zeog.jpg" data-org-width="640" dmcf-mid="KGKqHYjJo1" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/23/ZDNetKorea/20251023161940526zeog.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> '폰투오운 아일랜드 2025' 대회 로고. (사진=제로데이이니셔티브) </figcaption> </figure> <p contents-hash="cc209875e8791e567614dec3b0c525acd3ce92e1004526a68c5643ceb57c5e68" dmcf-pid="yIYGrDPKNS" dmcf-ptype="general">지난 21일부터 아일랜드에서 진행중인 '폰투오운 아일랜드 2025' 대회에서도 네트워크 저장장치(NAS), 사무용 복합기, 스마트 스피커 등 실생활 속 장비들이 주요 타깃이 됐다.</p> <p contents-hash="fc7db8727aae67be3168747c0efdfb4010400fa76eca4e4ae2c5bd91bddf25ab" dmcf-pid="WCGHmwQ9gl" dmcf-ptype="general">다수의 팀이 실제로 관리자 권한 탈취에 성공하며 보안 취약점의 심각성을 입증한 가운데, 주요 제조사는 이번 대회에서 발견된 취약점을 제품 보안 강화에 활용할 예정이다.</p> <p contents-hash="b4f855809624b3174f9b15ad0dbef712cae01068b7995325b57c8939a421dc38" dmcf-pid="YhHXsrx2Nh" dmcf-ptype="general"><strong>보안업체·학계·화이트해커 모여 해킹</strong></p> <p contents-hash="e4022479db7b562993bc2b3ae0d3bf2799517e9357d07feead512efa32a69181" dmcf-pid="GlXZOmMVcC" dmcf-ptype="general">폰투오운은 제로데이이니셔티브(ZDI)와 보안업체 트렌드마이크로가 매년 여는 해킹 대회다. 보안업체와 화이트 해커 팀, 전문가들이 일정 기간 한 데 모여 인터넷과 연결되는 일반 소비자와 기업용 기기의 보안 취약점을 찾는다.</p> <p contents-hash="41d957ddbafd5543fcd2f55226d85e741827afaef8e63d333101217a0a132337" dmcf-pid="HSZ5IsRfgI" dmcf-ptype="general">이 대회에는 실제 제품을 공급하는 제조사가 후원사로 나서 자사 제품의 취약점을 찾아 낸 해커나 전문가에 상금을 지급한다.</p> <figure class="figure_frm origin_fig" contents-hash="7fdb5e1a650caf94a0a10939b1a38a225747a0284d62046525fc5adb42ea67f7" dmcf-pid="Xv51COe4oO" dmcf-ptype="figure"> <p class="link_figure"><img alt="자동차 인포테인먼트 취약점을 이용한 해킹 사례. (사진=VicOne)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/23/ZDNetKorea/20251023161941844yjqh.jpg" data-org-width="640" dmcf-mid="9CzuWTgRN5" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/23/ZDNetKorea/20251023161941844yjqh.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 자동차 인포테인먼트 취약점을 이용한 해킹 사례. (사진=VicOne) </figcaption> </figure> <p contents-hash="b3aa0caf3927f22afac3868c9089096129917c62e1edf4a1b11f260f7b0147d2" dmcf-pid="ZT1thId8ks" dmcf-ptype="general">지난 1월 하순 일본 도쿄에서 진행된 '폰투오운 오토모티브 2025'에서는 완성차 업체 스바루의 원격 시동과 제어 서비스 '스타링크'(Starlink)를 비롯해 자동차 내 인포테인먼트 시스템과 전기차 충전기 등 다양한 기기의 보안 취약점이 발견됐다.</p> <p contents-hash="040603375e375246a421ee86a2bf0c25d14a42cef0be084380adc923f97bce3d" dmcf-pid="5ytFlCJ6gm" dmcf-ptype="general"><strong>21일부터 아일랜드서 '펀투오운' 행사 진행</strong></p> <p contents-hash="c6b15ed58c3ce17de7a0246a26b73515308de9d79d3008fdbb93b549935917b7" dmcf-pid="1WF3ShiPgr" dmcf-ptype="general">지난 21일(이하 현지시각)부터 아일랜드에서 진행중인 '펀투오운 아일랜드 2025' 행사에서는 캐논과 시놀로지, 큐냅 등 다양한 제조사 제품의 보안을 무력화하려는 시도가 이어지고 있다.</p> <p contents-hash="afad4c2b030f2edfe79f03a969666665ce51f86ca41e7e7c1b84b7268d2427cf" dmcf-pid="tY30vlnQjw" dmcf-ptype="general">시놀로지와 큐냅은 하드디스크 드라이브와 SSD 등 저장장치를 내부/외부 네트워크와 연결하는 네트워크 저장장치(NAS), 데이터 백업 어플라이언스(전용 기기) 등을 공급한다.</p> <figure class="figure_frm origin_fig" contents-hash="bf992d048dd858e6ee3aca02caf667b9b826589fbb27447f64bc9521e58b9ea6" dmcf-pid="FG0pTSLxkD" dmcf-ptype="figure"> <p class="link_figure"><img alt="시놀로지 네트워크 저장장치 'DS925+' 해킹을 시도하는 폰투오운 대회 참가자들. (사진=제로데이이니셔티브)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/23/ZDNetKorea/20251023161943117pogn.jpg" data-org-width="640" dmcf-mid="2pZHmwQ9cZ" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/23/ZDNetKorea/20251023161943117pogn.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 시놀로지 네트워크 저장장치 'DS925+' 해킹을 시도하는 폰투오운 대회 참가자들. (사진=제로데이이니셔티브) </figcaption> </figure> <p contents-hash="64dc490f96d6d31caae770481866b44910b620f76b2265e00aa1a3d432de8ac6" dmcf-pid="3bPQ7UCEaE" dmcf-ptype="general">또 캐논은 소규모 사무실용 복합기에 인터넷을 연결해 프린터 기능 공유나 문서 스캔 기능 등을 수행한다. 이들 기기의 보안을 해제하면 기업이나 조직, 가정 내 네트워크에 침입하거나 저장된 파일과 데이터에 접근할 수 있다.</p> <p contents-hash="9362f30998c3a242fab529b87c698af7779a752cf664b8ae0e260fd5e21e092d" dmcf-pid="0KQxzuhDak" dmcf-ptype="general"><strong>NAS·레이저 복합기 관리자 권한 탈취 성공</strong></p> <p contents-hash="43cc367fd64c712224a558b4b3bf4db13f70d24031fd6164578fbde919734e21" dmcf-pid="p9xMq7lwac" dmcf-ptype="general">21일에는 베트남과 일본 해킹 팀이 캐논 컬러 레이저 복합기 'MF654Cdw'의 메모리 관련 보안 취약점을 파고 드는데 성공했다. 해킹에 성공한 팀은 각각 2만 달러, 1만 달러 상당 상금을 확보했다.</p> <figure class="figure_frm origin_fig" contents-hash="7a220fb6112b7a2b5d37d1f2e7e325600191ad7708fcb3c20e7067c27ad2fc7d" dmcf-pid="U2MRBzSroA" dmcf-ptype="figure"> <p class="link_figure"><img alt="보안 취약점으로 해킹에 노출된 캐논 컬러 레이저 복합기 'MF654Cdw'. (사진=제로데이이니셔티브)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/23/ZDNetKorea/20251023161944529igrb.jpg" data-org-width="640" dmcf-mid="VtLi2KWIkX" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/23/ZDNetKorea/20251023161944529igrb.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 보안 취약점으로 해킹에 노출된 캐논 컬러 레이저 복합기 'MF654Cdw'. (사진=제로데이이니셔티브) </figcaption> </figure> <p contents-hash="9961f4807a89df396ff52255f519b0f98155f0e94cc4cc27aba207f14453f472" dmcf-pid="uVRebqvmAj" dmcf-ptype="general">시놀로지가 올해 출시한 최신 제품인 개인용 NAS '비스테이션 플러스', '디스크스테이션 DS925+'도 공격을 피해가지 못했다. 비스테이션 플러스 운영체제를 해킹해 관리자 권한을 확보한 한 팀은 4만 달러 상금을 확보했다.</p> <figure class="figure_frm origin_fig" contents-hash="4e58264979b78e56f1e6cb94022776e0a6f05db23358cfed8f67a22fcfa690e0" dmcf-pid="7fedKBTscN" dmcf-ptype="figure"> <p class="link_figure"><img alt="해킹에 노출된 삼성전자 갤럭시S25. (사진=제로데이이니셔티브)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/23/ZDNetKorea/20251023161945789ibkq.jpg" data-org-width="640" dmcf-mid="fDnLf2GhkH" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/23/ZDNetKorea/20251023161945789ibkq.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 해킹에 노출된 삼성전자 갤럭시S25. (사진=제로데이이니셔티브) </figcaption> </figure> <p contents-hash="6b0c050602e96e4b6447c95439a3327923ce6c1ca8aff6c454d060f01b80e415" dmcf-pid="z4dJ9byOoa" dmcf-ptype="general">이외에 블루투스 내장 스마트 전구, 스마트 스피커 등 다양한 제품의 보안 취약점이 드러났다. 22일에는 삼성전자 갤럭시S25의 보안 취약점을 이용해 관리자 권한을 확보한 사례도 등장했다.</p> <p contents-hash="fea993aa253a98455ed0e9078cfe59e8042e532653858da6ef0510c12680af60" dmcf-pid="q8Ji2KWIog" dmcf-ptype="general"><strong>'버그 바운티'로 미처 발견 못한 취약점 선제 대응</strong></p> <p contents-hash="93d7a9cbbe75e5f7194bda38aa4b4908deb8dae25d0973bb383b816c12904fe6" dmcf-pid="B6inV9YCNo" dmcf-ptype="general">주요 업체는 펀투오운 뿐만 아니라 보안 취약점을 발견하는 개인이나 보안 회사에 보상금 등을 지급하는 '버그 바운티' 프로그램도 진행중이다.</p> <p contents-hash="116436fe31ae84dab2e5732a329fc18134cbcdf36b8f6182f2522bcb00c7acae" dmcf-pid="bPnLf2GhjL" dmcf-ptype="general">외부 공격으로 약점이 노출돼 입는 피해를 미연에 방지할 수 있어 결과적으로는 유형 무형의 비용 지출을 줄일 수 있다는 것이 가장 큰 이유다.</p> <figure class="figure_frm origin_fig" contents-hash="2c5dd5919639be68fa23cbf9253380fa23b748f141ec98a9ef09bf9a705a524c" dmcf-pid="KQLo4VHlan" dmcf-ptype="figure"> <p class="link_figure"><img alt="인텔이 보안 연구자를 대상으로 제공하는 '서킷 브레이커 프로그램' 로고. (사진=인텔)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/23/ZDNetKorea/20251023161947133vqsf.jpg" data-org-width="600" dmcf-mid="4pZ5IsRfAG" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/23/ZDNetKorea/20251023161947133vqsf.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 인텔이 보안 연구자를 대상으로 제공하는 '서킷 브레이커 프로그램' 로고. (사진=인텔) </figcaption> </figure> <p contents-hash="fa19f27d5c4ba3140d68a2463e292e522518631aaf18c81f8060894385a3a2f0" dmcf-pid="9xog8fXSNi" dmcf-ptype="general">스펙터, 멜트다운 등 프로세서 보안 관련 문제로 홍역을 치른 인텔은 버그 바운티 프로그램으로 지난 2024년 전체 취약점의 53%를 발견하는 성과를 거뒀다.</p> <p contents-hash="952bde1acb44c0d5117750a4c74d13ba8cf1fb264c37f8f47858338df4e4f038" dmcf-pid="2Mga64ZvoJ" dmcf-ptype="general"><strong>주요 기업들, 취약점 보완·보안 강화 예정</strong></p> <p contents-hash="ee6e8782607d5c7e8962ad715edcfacab0c5129d1d95665d367ddf0432deb157" dmcf-pid="VRaNP85Tcd" dmcf-ptype="general">펀투오운 아일랜드 대회로 보안 취약점을 발견한 주요 기업들은 향후 제품과 서비스 보안을 강화할 예정이다. 보안 패치나 업데이트는 물론 제품 개발 과정의 보안 강화도 예상된다.</p> <p contents-hash="ec585194e518269478e37de5bcc7f66348b385c6da9b902676030c0dd1b5db82" dmcf-pid="fwSvcjV7je" dmcf-ptype="general">23일 시놀로지 관계자는 "시놀로지는 Pwn2Own 행사를 후원하고 있으며 보안 관련 학계·업계 전문가와 협력해 제품 보안 강화할 수 있게 돼 기쁘다"고 설명했다.</p> <p contents-hash="91771b04ea92a4e0fe9411cac84979cdc9f564df4fd7b5ce5869ebf1abb0353b" dmcf-pid="4rvTkAfzAR" dmcf-ptype="general">이어 "이번 행사를 통해 공개된 보안 취약점 관련 세부 정보는 심각도, 영향 범위, 패치 제공 여부 등 여러 요소를 종합적으로 고려해 공개할 것"이라고 부연했다.</p> <p contents-hash="e8b5555f222d3647f32b9f647d773a06648f6bfcdf46694a29ccaf388b7be989" dmcf-pid="8mTyEc4qcM" dmcf-ptype="general">권봉석 기자(bskwon@zdnet.co.kr)</p> </section> </div> <p class="" data-translation="true">Copyright © 지디넷코리아. 무단전재 및 재배포 금지.</p> 관련자료 이전 [김영욱의 테크&가젯] 폰보다 비싼 주변기기 XR…애플·메타도 난항인데 ‘갤럭시 XR’ 통할까? 10-23 다음 '金金金金' 아시아 신기록 황선우, 200m 역사상 7번째로 빠른 남자! 전국체전 통산 4번째 MVP 등극! 10-23 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
