국제 해킹 대회 실패 경험 토대로 전략 재정비
리스크 관리 중요성 부각
지엔이 국내 최대 해킹 컨퍼런스 ‘닷핵 2025’에서 IoT 보안 분석 프로젝트에서의 한계와 이를 극복한 전략적 접근 사례를 발표했다. 발표는 지난해 국제 해킹 대회 ‘Pwn2Own Ireland 2024’ 참가 과정에서 겪은 기술적 한계와 분석 전략의 미흡함을 기반으로 분석 체계 전반을 재정비한 내용을 중심으로 진행됐다.
발표를 맡은 박한렬 지엔 선임 연구원은 당시 실패 원인을 구체적으로 공유하고 실전 경험에서 도출한 전략 수립 및 리스크 관리 방안의 중요성을 강조했다. 박 연구원은 IoT 기기의 아키텍처와 구성 요소가 기기마다 다르기 때문에 기기별 맞춤형 분석 전략이 필수라고 밝혔다. 특히, 해외 장비 분석 과정에서 고장 발생 시 장비 확보와 수리에 시간과 비용이 과도하게 소요된 점을 언급하면서 프로젝트 초기부터 체계적인 리스크 관리 체계 구축이 중요하다고 설명했다.
이번 발표는 일반적인 성공 사례가 아닌 실제 실패 경험과 보완 과정을 가감 없이 공개한 점에서 현장 보안 전문가와 연구자들의 높은 관심을 받았다. 발표 내용은 분석 범위 설정, 장비 선정 기준, 사전 리스크 식별과 대응 전략 등 프로젝트 기반 분석 전략의 전 과정을 다뤘다.
지엔은 해당 경험을 토대로 Pwn2Own Tokyo 2025 대회에서 사용자 인증 없이 원격 코드 실행 취약점을 시연하는 데 성공했다. 박한렬 연구원은 사이버보안챌린지 2022 스마트홈 해킹 대회 우승, 2023 스마트팩토리 해킹 대회 4위, DEFCON 2024 IoT Village 발표, KVE·CVE 취약점 다수 제보 등 다양한 실적을 보유한 IoT 보안 분야 전문가로, 현장 중심의 분석 역량을 꾸준히 축적하고 있다.
박한렬 지엔 선임 연구원은 “이번 발표는 IoT 보안 연구를 준비하는 학생과 연구자들에게 실패에서 얻은 교훈과 실질적인 분석 전략을 공유함으로써 향후 연구와 프로젝트 성공의 발판이 될 정보를 제공하고자 했다”고 말했다.
지엔 조영민 대표는 “보안 분야에서 한계와 시행착오 공유는 기술적 통찰력 확보는 물론, 업계 전반의 대응 역량을 끌어올리는 중요한 자산”이라며 “앞으로도 실전에서 얻은 인사이트와 전략을 바탕으로 보안 커뮤니티와의 협업을 확대하고 미래 위협에 대한 선제적 대응을 주도해 나갈 것”이라고 밝혔다.
헬로티 구서경 기자 |
