[스타트업人] IoT 기기 보안 취약점 찾아내는 지엔 ‘화이트 해커’ 이야기

[IT동아 김예지 기자] ‘스타트업人’은 빠르게 발전하고 성장하는 스타트업 속에서 일하는 사람의 이야기를 담고자 합니다. 정확히는 '그들은 무슨 일을 할까?'라는 궁금함을 풀고자 합니다. 많은 IT 기업이 ‘인재’를 채용하기 위해 치열하게 경쟁하는데, 정작 해당 인재는 그 기업에서 무슨 일을 하는지 궁금하잖아요. 예를 들어, 같은 부서, 같은 직함을 가진 구글의 인재와 페이스북의 인재는 똑같은 일을 할까요?

박한렬 지엔 선임연구원 / 출처=IT동아

매일 사용하는 스마트폰부터 집안의 가전 제품까지, 우리는 상상할 수 없을 만큼 많은 기기가 네트워크로 연결된 사물 인터넷(IoT) 시대에 살고 있다. 스마트홈 기기, 웨어러블 제품, 차량용 기기, 산업용 기기 등 다양한 IoT 기기는 우리 삶을 편리하게 만들지만, 그 이면에는 보안 취약점이 있다. 해커는 연결된 기기의 취약점을 노려 개인정보를 탈취하거나 시스템을 망가뜨린다.

악의적인 공격으로부터 시스템을 보호하기 위해 활동하는 보안 전문가를 ‘화이트 해커’라고 부른다. XIoT 융합 보안 전문 기업 ‘지엔(ZIEN)’에도 IoT 기기의 보안 취약점을 발굴하는 화이트 해커가 있다. 지엔은 국내 IoT 보안 솔루션 개발 기업으로, IoT 보안 자동화 기술과 보안 컨설팅 등을 통합 제공한다. 지엔의 ‘Z-IoT’는 IoT 펌웨어를 자동 분석해 보안 취약점을 정밀하게 탐지하는 대표 솔루션이다. 더불어 지엔은 2025년 8월부터 유럽의 무선기기지침(Radio Equipment Directive, 이하 RED) 규제가 의무화됨에 따라 이에 발맞춰 RED 사이버보안 전용 자동 점검 플랫폼 ‘Z-RED’ 출시를 준비 중에 있다.

지엔의 화이트 해커는 단순한 취약점 발굴을 넘어 기기의 전체 생애주기를 고려한 보안 설계 검증을 담당한다. IT동아는 박한렬 지엔 선임연구원을 만나 IoT 보안의 중요성과 화이트 해커로서의 역할에 대해 물었다.

IoT 보안, 왜 중요하고 어려운가?

다양한 IoT 기기는 우리 삶을 편리하게 만들지만, 그 이면에는 보안 취약점이 있다 / 출처=셔터스톡

IoT 보안은 기존의 웹이나 네트워크 중심 사이버 보안과는 접근 방식부터 다르다. 하드웨어(단말기), 소프트웨어(펌웨어), 네트워크, 클라우드 서버가 모두 상호작용하는 구조로, 각 계층별 보안 위협이 얽혀 있는 까닭이다. 해커가 장비에 물리적으로 접근해 펌웨어의 취약점을 공격하기 때문에 각 계층을 아우르는 통합적이고 선제적인 보안 접근이 필수적이다.

또한 IoT 기기는 메모리와 연산 능력이 제한적이어서 전통적인 보안 솔루션을 적용하기 어려운 경우가 많다. 특히 최신 암호화 알고리즘이나 인증 방식을 구현하기 어려워 경량화된 보안 프로토콜 및 펌웨어 설계가 요구된다.

IoT 기기 펌웨어 분석부터 보안 컨설팅 제공하는 보안 전문가

박한렬 선임연구원은 지엔에서 처음 IoT 보안 분야를 접했다. 그는 “2017년 월패드 해킹 사건을 계기로, 하나의 펌웨어 취약점이 다른 인프라로 연결되면서 사고가 발생하는 과정에 관심이 생겼다”며, “취약점이 실제 사고로 이어지는 과정에서 직접 해킹을 시도하며 연계적인 시나리오를 구성해보는 게 흥미로웠다”고 말했다.

박한렬 지엔 선임연구원 / 출처=IT동아

현재 그는 지엔 연구개발(R&D) 부서에서 제품 기획·설계부터 출시, 유지보수 전 과정에 걸쳐 보안이 체계적으로 적용되도록 지원한다. IoT 기기 펌웨어를 분석하고, 보안 취약점을 식별한다. 실제 공격을 가정한 위협 시나리오를 설계하고, 제품에 적용된 프로토콜이나 인증 방식을 분석해 취약점을 선제적으로 점검한다. 지엔의 ‘Z-IoT’, ‘Z-RED’ 등 보안 솔루션 고도화도 담당한다. 박한렬 선임연구원은 “단순한 취약점 탐지보다는 구조적 약점을 자동으로 분석하고, 이상 행위를 식별 및 대응하는 기술 개발에 초점을 두고 있다”고 설명했다.

지엔은 기업에서 의뢰받은 제품의 취약점을 분석해 보안 컨설팅을 제공한다. 때로는 자체적으로 제품을 구매해 취약점을 찾고, 한국인터넷진흥원(KISA) 등 기관 및 기업에 제보하기도 한다. 다루는 범위는 월패드, 도어락, 로봇 청소기, 스마트 워치 등 스마트홈 기기부터 자율주행차 인포테인먼트(IVI)·제어기 시스템, 산업용 OT(ICS OT) 장비까지 다양하다. 와이파이, 블루투스 등을 포함해 통신으로 연결되는 기기는 전부 대상이다.

IoT 기기 제조사는 초기 생산 단계뿐만 아니라 추후 펌웨어 업데이트 시 지엔의 솔루션으로 제품을 테스트하고, 주기적으로 취약점을 점검할 수 있다. 박한렬 선임연구원은 “최고 보안 등급을 목표하는 제조사도 있지만, 강제성이 없어 보안에 취약한 제품이 여전히 많다. 특히 국내 규제가 미흡한 외산 제품에서 자주 발견된다”고 덧붙였다.

화이트 해커에게 가장 중요한 역량은?

지엔의 ‘Z-IoT’는 IoT 펌웨어를 자동 분석해 보안 취약점을 정밀하게 탐지하는 대표 솔루션이다 / 출처=지엔

그렇다면 지엔에서 중요하게 여기는 화이트 해커의 역할은 무엇일까. 박한렬 선임연구원은 ‘재현 가능한 공격 시나리오 설계 역량’을 강조한다. 이는 실제 환경에서 취약점이 어떻게 악용될 수 있는지 파악하는 능력이다. IoT 기기가 해킹될 경우 연쇄적인 취약점을 야기할 수 있기 때문에 단순히 취약점 발견에서 그치지 않고 연계되는 전체 공격 경로를 이해해야 한다는 설명이다.

예컨대, IP 카메라를 해킹해 관리자 권한을 획득하는 행위는 그 자체로 끝나지 않는다. 집안의 공유기까지 침투해 넓어진 공격 범위에 도달하면 실질적인 공격이 된다. 이러한 이유로 연계성을 가진 재현 가능한 시나리오가 필요한 것. 박한렬 선임연구원은 “시나리오는 매우 다양하게 나온다. 이러한 시나리오를 통해 외부까지의 연결을 확인하고, 펌웨어 설계 초기부터 보안 문제를 해결하는 조치를 취할 수 있게 된다”고 말했다.

지엔에서의 IoT 보안 경력을 바탕으로 박한렬 선임연구원은 ‘사이버보안챌린지(스마트홈) 2022’에서 1위, ‘사이버보안챌린지(스마트시티) 2023’에서 IITP원장상을 수상하기도 했다. 또한 미국 라스베이거스에서 매년 개최되는 세계 최대 규모 해킹 대회 ‘DEF CON 32 IoT Village’에서 블랙박스 보안 위협 분석 결과를 발표하고, 자동차 보안 분야 해킹 대회 ‘Pwn2Own Automotive 2025’에서 인포테인먼트(IVI) 원격 코드 실행(RCE) 실시간 시연을 선보였다.

IoT 제조사, 초기 제품 설계 중요

박한렬 지엔 선임연구원 / 출처=IT동아

박한렬 선임연구원은 IoT 기기 제조사의 초기 제품 설계의 중요성을 강조했다. 그는 “서버가 기기의 펌웨어를 자동으로 가져오는 과정에서 보안 설계가 부실하면 공격자가 펌웨어를 쉽게 추출할 수 있다”며, “제품 기획 단계부터 보안 코딩을 반영해 개발해야 한다. 구현이 쉽지 않고 개발 기간이 늘어날 수 있지만, 장기적으로는 비용 절감 효과가 크다”고 말했다.

이어 그는 “보안 업데이트 시 전체 펌웨어 교체가 필요한 경우가 많으므로, 초기 설계부터 OTA(Over-the-Air, 무선 통신의 소프트웨어나 설정을 업데이트하는 기술) 업데이트 체계와 무결성 검증 기능(시스템의 신뢰성을 보장하는 기능)을 내장해야 한다”고 말했다. 더불어 기업이 외부 보안 전문가로부터 취약점 보고서를 받아 처리하는 취약점 공개 정책(Vulnerability Disclosure Program, 이하 VDP)의 설정도 제시했다.

박한렬 선임연구원은 “보안 인증을 받은 제품이라도 추후 신기능을 추가할 때 해커가 침투할 수 있는 부분은 계속 나타날 수 있다. 지속적인 보안 모니터링과 침투 테스트를 병행하며 개발 및 운영해야 궁극적으로 안전한 제품을 만들 수 있다”고 말했다.

지엔, 최신 규제 RED 지원…”세계 보안 표준 도구될 것”

지엔의 ‘Z-IoT’는 IoT 펌웨어를 자동 분석해 보안 취약점을 정밀하게 탐지하는 대표 솔루션이다 / 출처=지엔

올해 박한렬 선임연구원은 RED 규제 대응을 위한 지엔의 Z-RED 분석 엔진 고도화에 주력하고 있다. 2025년 8월부터 유럽에 스마트 워치, 스마트폰 등 무선 기기를 판매하는 제조사는 RED 지침에 따라 무선 주파수에 대한 사이버 보안 규제를 충족해야 한다. Z-RED는 기업의 RED 적합성 판단을 돕는 솔루션으로, 인공지능(AI) 기반으로 적합성을 분석하고, 작성 템플릿 등 기술 문서를 자동 검토한다.

또한 일회성에 그치지 않고 규제 업데이트 내용을 지속 반영하며, 규제 통과 여부와 관계없이 이력 관리를 지원한다. 박한렬 선임연구원은 “세계 인증기관과의 협력으로 인증 획득에 소요되는 시간 및 비용을 단축할 수 있을 것”이라고 말했다. 지엔은 사전에 자가 진단 웹사이트를 마련할 마련할 예정이다.

향후 지엔은 국내 시장에서의 성장을 발판삼아 미국, 유럽 등 해외에도 진출할 계획이다. 박한렬 선임연구원은 IoT 보안 위협이 정교하고 복합적으로 진화하는 가운데, 지엔이 IoT 보안의 선구자 역할을 해내겠다는 포부를 밝혔다. 그는 “아직 IoT 보안 산업 규모가 크지 않아 자료 부족 등 겪는 어려움도 있다. 많은 보안 전문가들이 이 분야에 관심을 갖고 참여했으면 좋겠다”고 말했다.

마지막으로 그는 “앞으로도 지엔에서 보안 분석 체계를 고도화하고, 자동화 기술 개발에 집중하겠다. 선제적인 위협 탐지 및 대응 기술을 확보하고, 보안 컨설팅 및 전문 교육도 제공해 산업 전반의 IoT 보안 수준 향상에 보탬이 되겠다”며, “Z-IoT와 Z-RED 등 지엔의 솔루션이 국내를 넘어 세계 IoT 보안 표준 대응 도구로 자리잡을 수 있도록 기술적 완성도를 높이는 데 기여하고 싶다”고 말했다.

IT동아 김예지 기자 (yj@itdonga.com)