XIoT 융합 보안 전문 기업 (주)지엔이 9일 국내 최대 해킹 컨퍼런스 ‘닷핵(DotHack) 2025’에서 IoT 보안 분석 프로젝트에서의 한계와 이를 극복한 전략적 접근 사례를 발표했다.
이번 발표는 지엔이 지난해 참가했던 국제 해킹 대회 ‘Pwn2Own Ireland 2024’에서 직면한 기술적 한계와 분석 전략의 미흡함을 진단하고, 이를 계기로 수립한 분석 범위 설정, 장비 선정 기준, 리스크 관리 체계에 대한 재정립 과정을 중심으로 진행됐다.
발표를 진행한 박한렬 선임 연구원은 당시 프로젝트 실패 원인을 구체적으로 공개하며, 실전에서의 실패 요인 분석이 향후 성공 전략 수립에 결정적 토대가 됐다고 설명했다.
박 연구원은 “IoT 기기는 아키텍처와 구성 요소가 다양하기 때문에 기기별 맞춤형 분석 전략이 필수적”이라며, “단순한 기술적 분석을 넘어 프로젝트 초기 단계부터 체계적인 전략 수립이 성공의 열쇠가 된다”고 강조했다. 또한 “특히 해외 장비의 경우, 분석 중 예상치 못한 고장이 발생하면 장비 확보와 수리에 시간과 비용이 과도하게 소요될 수 있다는 점에서 리스크 관리의 중요성을 절감했다”고 덧붙였다.
발표 현장에는 박 연구원의 실패 경험 공유에 대해 뜨거운 관심이 이어졌다. 특히 일반적인 성공 사례 중심 발표와 달리, 실제 프로젝트에서 마주한 한계와 실수를 밝히고 이를 보완하는 과정을 가감없이 드러낸 것에 많은 보안 전문가들과 연구자들이 공감과 호응을 보냈다.
지엔은 2024년 대회 경험을 바탕으로 Pwn2Own Tokyo 2025 대회에 체계화된 전략을 적용한 결과, 사용자 인증 없는 원격 코드 실행 취약점 시연에 성공하며 의미 있는 성과를 거두었다.
박한렬 선임연구원은 사이버보안챌린지 2022 스마트홈 해킹 대회 우승, 2023 스마트팩토리 해킹 대회 4위, DEFCON 2024 IoT Village 발표, KVE·CVE 다수 제보 등 국내외에서 다양한 실적을 쌓아온 IoT 보안 분야 전문가다. 특히 실제 장비 기반의 취약점 분석 경험과 국제 보안 커뮤니티와의 협업 경험을 기반으로, 현장 중심의 연구 역량을 지속적으로 강화해 왔다.
박 연구원은 “이번 발표는 IoT 보안 연구를 준비하는 학생과 연구자들에게 실패에서 얻은 교훈과 실질적인 분석 전략을 공유함으로써, 향후 연구와 프로젝트 성공의 발판이 될 정보를 제공하고자 했다”고 발표 의의를 밝혔다.
지엔 조영민 대표는 “보안 분야에서의 한계와 시행착오 공유는 기술적 통찰력 확보는 물론, 업계 전반의 대응 역량을 끌어올리는 중요한 자산”이라며 “앞으로도 실전에서 얻은 인사이트와 전략을 바탕으로, 보안 커뮤니티와의 협업을 확대하고 미래 위협에 대한 선제적 대응을 주도해 나갈 것”이라고 전했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
