펌웨어 취약점 노리는 IoT 해킹 공격 막으려면

IT동아

2025.03.27 18:51:20

조회 2189 추천 23 댓글 7

[IT동아 김예지 기자] 우리는 일상에서 수많은 사물인터넷(IoT) 기기를 접한다. 2023년도 기준 167억 개에 달하는 IoT 기기는 2030년에는 400억 개에 이를 것으로 전망된다. 스마트홈부터 산업 현장의 첨단 설비까지 IoT는 편리함을 제공하지만, 늘어난 만큼 많은 보안 위협에 노출되고 있다.

조영민 지엔 대표는 ‘IoT 보안 혁신 : 디바이스 식별과 이상행위 탐지’를 주제로 발표했다 / 출처=IT동아

‘XIoT(사이버 기능과 물리적 기능을 갖춘 모든 장비를 아우르는 확장된 IoT 기술)’를 지향하는 융합 보안 전문기업 지엔(ZIEN)은 이에 발맞춰 IoT 산업에서 발생할 수 있는 보안 위협 사전 예방 솔루션을 제시했다. 인공지능(AI) 기반 IoT 기기 식별 및 실시간 보안 탐지 통합 플랫폼 ‘Z-Sentinel’과 XIoT 펌웨어 보안 자동 점검 클라우드 기반 보안 서비스(SECaaS) ‘Z-IoT’이다.

지난 3월 21일까지 개최된 ‘제24회 세계 보안 엑스포 & 제13회 전자정부 정보보호 솔루션 페어(SECON & eGISEC 2025)’의 ‘전자정부 정보보호 컨퍼런스’에서 조영민 지엔 대표는 ‘IoT 보안 혁신 : 디바이스 식별과 이상행위 탐지’를 주제로 발표했다. 조영민 대표는 최근 발생하고 있는 IoT 기기 및 서비스 보안 사고를 소개하며, IoT 기기 보안의 중요성을 강조했다.

IoT 보안 위협, 개인 사생활 침해부터 생명 위협까지

IoT 기기를 노린 해킹 공격은 개인 정보 유출 및 사회적 문제를 야기한다. 대표적으로 2016년 미라이(Mirai) 봇넷 악성코드가 IoT 기기를 대거 해킹한 디도스(DDoS) 공격은 세계적으로 큰 파장을 일으켰다. 국내에서는 2021년 월패드 해킹을 통해 약 40여 만 가구의 사생활이 유출된 사고 이후, IoT 보안의 중요성이 부각됐다.

해커는 도어락, 블랙박스, 드론, 로봇청소기 등 일상 기기를 해킹, 민감 데이터를 탈취해 사생활을 침해한다 / 출처=셔터스톡

스마트홈, 스마트 의료, 스마트시티, 자율주행차 등 다양한 분야에서 보안 사고가 잇따르고 있다. 해커는 도어락, 블랙박스, 드론, 로봇청소기 등 일상 기기를 해킹, 민감 데이터를 탈취해 사생활을 침해한다. 예컨대, 지난해 에코백스의 로봇청소기가 블루투스 해킹으로 원격으로 마이크와 카메라가 무단으로 제어해 사용자의 사적 대화를 유출하고, 집안 내부를 무단 촬영하는 사고가 발생했다. 또한 테슬라 등 자율주행차에서 블루투스 칩셋 및 게이트웨이를 해킹한 사례와 같이 사용자의 생명을 위협하는 단계의 사고도 발생하고 있다.

이러한 가운데, 해외뿐만 아니라 국내에서는 국가 차원에서 IoT 보안 규제를 강화하고 있지만, 기존에 발견되지 못했던 취약점을 노리는 새로운 공격들이 등장하고 있다. 조영민 대표는 “IoT에 대한 보안 규제가 계속 강화가 되고 있지만, 실제 현장에서의 보안은 아직 미흡한 상태”라고 지적했다.

해커가 IoT 기기를 해킹하는 방법

IoT 기기는 하드웨어(HW), 모바일 앱, 클라우드 서버, 게이트웨이 등의 요소로 구성되며, 각 단계마다 인증과 펌웨어(SW)를 통해 작동한다. 해커는 먼저 하드웨어를 파악해 루트(Root) 권한을 획득하고, 펌웨어 및 서비스를 분석해 취약점을 공격하는 방식으로 IoT 기기를 해킹한다. 조영민 대표는 “특히 펌웨어는 대다수의 취약점이 발견되는 주요 지점이다. 결국 IoT 해킹을 막으려면, 1차적으로 각 기기에 대한 식별 및 모니터링이 필요하며, 더불어 펌웨어의 보안 취약점을 지속적으로 발견해 보안성을 강화하는 것이 중요하다”고 주장했다.

제로데이(Zero-Day) 점검 결과 확인 및 취약 소스 코드 / 출처=지엔

구체적으로, 해커는 IoT 하드웨어의 PCB 기판에서 IC칩을 통해 데이터 시트 정보를 수집한다. 데이터 시트는 개발을 돕기 위한 상세한 가이드라인을 포함하기 때문에 기기 이해력을 높인다. 이를 바탕으로 해커는 디버깅 인터페이스(스크립트 내 에러를 검출해 제거하도록 지원하는 도구)에 접근해 기기를 장악한다.

다음으로 IoT 기기의 모든 제어를 담당하는 펌웨어 추출을 완료한 뒤, 파일 시스템을 분석해 취약점을 찾아 공격을 시도한다. 조영민 대표는 오픈소스 점검에 대해서도 강조하며, “펌웨어에 80% 이상의 오픈소스가 탑재되는데, 이미 알려진 오프소스들은 취약점도 알려져 있기 때문에 위협에 노출되기 쉽다. 따라서 알려진 보안 취약점 공개 영역 조사를 통해 IoT 기기의 취약점을 사전 제거해야 한다”고 덧붙였다.

지엔, AI 기반 IoT 보안 솔루션 제시

‘Z-Sentinel’은 지엔의 AI 기반 제로트러스트 IoT 보안 플랫폼으로, IoT 기기를 자동으로 식별하고, AI가 네트워크 기반 취약점 및 이상 행위를 분석해 실시간으로 보안 위협을 탐지 및 대응한다. 또한 보안 장비와 연동해 발견된 취약점을 차단한다. 이는 에이전트를 설치하지 않고 시스템을 통합 대시보드에서 관리하여 운영 부담을 줄이는 에이전트리스 방식으로 제공된다.

XIoT 펌웨어 보안 자동 점검 솔루션 ‘Z-IoT’ / 출처=지엔

‘Z-IoT’는 XIoT 펌웨어 보안 자동 점검 솔루션으로, IoT 기기 내 펌웨어의 보안 취약점을 빠르고 정확하게 식별해 사고를 예방한다. 조영민 대표는 “펌웨어를 솔루션에 업로드하면, 보안 분석 서버에서 패스워드, 암호화 파일, 실행 파일, 오픈 소스, 제로데이 취약점(개발자가 인지하지 못한 소프트웨어 취약점)을 자동으로 분석해 맞춤형 보안 가이드를 제공한다”며, “Z-IoT는 보안 관리에 드는 시간 및 비용을 기존 수동 점검 대비 약 75%·98%씩 감축시켰으며, 특히 제로데이 취약점을 발견하기 위한 리버스 엔지니어링(장치 또는 시스템의 기술적인 원리를 그 구조 분석을 통해 발견하는 과정)에 많은 시간이 소요되는데, 이 과정을 자동화했다”고 설명했다.

한편, 지엔은 지난 1월에 개최된 국제 해킹 대회 ‘폰투온 오토모티브 2025 (Pwn2Own Automotive)’에서 차량 인포테인먼트 제로데이 취약점 발견에 성공해 수상을 기록했다. 또한 지난 8월 ‘2024 데프콘(DEF CON 32)’에서 차량용 블랙박스 8종을 분석해 총 30여 개의 제로데이 취약점을 발견했다. 또한 ‘Hack the TV(‘V hacking CTF 부문)’에서는 30개 팀 중 1등을 차지한 바 있다.

안전한 IoT 환경 구축을 위해 정부, 기업, 개인의 지속적인 관심이 필요한 때다. 이날 조영민 대표는 “공공기관 등 보안 인력이 효율적으로 보안 시스템을 관리할 수 있도록 돕겠다. 향후 북미, 유럽 등 해외 시장 진출을 본격화하고, 거대언어모델(LLM) 등 신규 솔루션 개발에도 나서겠다”고 말했다.

IT동아 김예지 기자 (yj@itdonga.com)

사용자 중심의 IT 저널 - IT동아 (it.donga.com)

▶ [뉴스줌인] 허가 없이 쓰는 비면허 주파수, 어떻게 활용되나 ▶ [르포] AI가 주도하는 보안 시장…세계 보안 엑스포 ▶ AI로 진화한 사이버 위협 확산…‘보안 사각지대 노린다’

고정닉 0

원본 첨부파일 4본문 이미지 다운로드

전체 댓글 0개

등록순

본문 보기

타인의 권리를 침해하거나 명예를 훼손하는 댓글은 운영원칙 및 관련 법률에 제재를 받을 수 있습니다.
Shift+Enter 키를 동시에 누르면 줄바꿈이 됩니다.

갤러리 리스트
번호	제목	글쓴이	작성일	조회	추천
설문	술 마시면 실수가 많을 것 같은 스타는?	운영자	25/04/14	-	-
5177	[생성 AI 길라잡이] '인공지능으로 더 멋진 문서를 만든다' 캔바 비주얼 스위트 2.0	IT동아	04.18	67	0
5176	모양이 비슷한 도로표지판 의미 살펴보니	IT동아	04.18	5694	1
5175	[리뷰] 게이밍 노트북∙태블릿이 하나로, 에이수스 ROG 플로우 Z13(GZ302)	IT동아	04.18	77	0
5174	[IT하는법] 스마트폰 속의 민증, '모바일 신분증' 만드는 법	IT동아	04.18	109	0
5173	[KESIA 프리팁스] 레졸루션, 'AI 기반 PCB 비전 검사'로 제조혁신 돕는다	IT동아	04.18	72	0
5172	[크립토퀵서치] 미국 관세 정책에 가상자산 시장이 요동치는 이유는?	IT동아	04.18	66	0
5171	“청년 창업 허브 넘어 메카로 성장시킬 것” 손문규 강동구 청년해냄센터 센터장	IT동아	04.18	68	0
5170	SBA·한국문화예술위원회, 예술·기술 융복합 및 산업 거점 활성화에 맞손	IT동아	04.18	69	0
5169	SBA 서울창업허브 “초격차 개방형 혁신, 스타트업 세계화”	IT동아	04.18	73	0
5168	이용자 편의성 강화하는 가상자산 거래소	IT동아	04.17	108	0
5167	[월간자동차] 25년 3월, 신차 등록 증가세…기아 쏘렌토 5개월 연속 판매 1위	IT동아	04.17	5213	0
5166	“인공지능으로 창작 방식 재정의할 것” 로버트 카왈스키 캔바 제품 총괄	IT동아	04.17	102	0
5165	[서평] 인생 선배가 전하는 현실적인 조언과 격려 - [동 트기 전 새벽이 가장 어둡다]	IT동아	04.17	90	0
5164	AI 벤치마크, 온전히 신뢰할 수 있을까	IT동아	04.16	134	0
5163	[주간스타트업동향] 넥스트페이먼츠, 모네리스와 파트너십 체결 外	IT동아	04.16	159	0
5162	김성훈 업스테이지 대표, "워크 인텔리전스로 일하는 방법, 새로운 방향 만들겠다"	IT동아	04.16	127	0
5161	55인치 실내 디스플레이·에어 라이드 서스펜션 탑재…‘더 뉴 에스컬레이드’ 출시	IT동아	04.16	333	0
5160	[IT애정남] 지원 종료 앞둔 윈도 10, 계속 써도 되나요? [1]	IT동아	04.16	2344	1
5159	미국 반도체ㆍIT 기기 관세 면제? 분류만 바뀔 뿐, 달라진 것은 없었다	IT동아	04.16	153	0
5158	[ETF/퇴직연금 Q&A] 퇴직연금으로 투자할 수 없는 ETF	IT동아	04.16	4956	0
5157	“가상자산 산업, 명확한 업 구분과 그에 따른 합리적인 규제 필요”	IT동아	04.16	115	0
5156	코헤시티 “백업 솔루션 넘어 AI 데이터 분석 기업으로 도약”	IT동아	04.16	112	0
5155	월드, ‘프리 플래그십’ 팝업 오픈···오브·월드ID 체험 기회 제공	IT동아	04.15	148	0
5154	[자동차와 法] 첨단 교통단속 기술의 빛과 그림자	IT동아	04.15	146	0
5153	[기고] AI와 미래 산업기술 - 1. AI 시대를 맞는 전통 산업 엔지니어의 '뉴 마이웨이'	IT동아	04.15	586	0
5152	재부팅ㆍ소프트웨어 종료 불편함 없이 PC 1대로 여럿이 쓰고 싶다면 이렇게! [이럴땐 이렇게!]	IT동아	04.14	186	0
5151	경량 스포츠카 제조사 ‘로터스’ 77년 역사 장식한 슈퍼카 살펴보니 [5]	IT동아	04.14	2612	1
5150	[뉴스줌인] 카톡에 사진/문서 올려 프린터 출력, '엡손 프린톡' 이모저모	IT동아	04.14	160	0
5149	[투자를IT다] 2025년 4월 2주차 IT기업 주요 소식과 주가 흐름	IT동아	04.14	145	0
5148	[기고] 인테리어와 IT기술의 융합 - '잇테리어'의 시대	IT동아	04.14	5177	1
5147	퓨리오사AI 찾은 이재명 전 당대표, "AI 현장에서 새로운 희망이 보인다"	IT동아	04.14	150	0
5146	[생성 AI 길라잡이] 해커인 척 LLM 취약점 찾아낸다, AI 레드팀 [1]	IT동아	04.11	7749	0
5145	[리뷰] 눈까지 즐거운 야외용 블루투스 스피커, 브리츠 BZ-MG9	IT동아	04.11	276	0
5144	[KESIA 프리팁스] 바이브에이아이 “SaaS 기반 개인화 AI 서비스로 글로벌 공략”	IT동아	04.11	262	0
5143	[생활 속 IT] 동네 전문가, 카카오맵으로 찾는다	IT동아	04.11	221	0
5142	[민원제로] 1. "제가 그 유명한 진상 민원인입니다만...!"	IT동아	04.11	218	0
5141	씨너렉스 “확장성 뛰어난 ‘초정밀 위성항법 장치’로 자율주행 시대 맞이할 것” [2]	IT동아	04.11	4855	1
5140	농림축산식품부, '농촌융복합 창업 활성화' 사업으로 가치 혁신 나선다	IT동아	04.11	222	0
5139	세종미래경제포럼 “지산학연 고도화, 지역 상생 산업계 구축”	IT동아	04.11	178	0
5138	[생활 속 IT] 라인에서 실시간 통역 기능 사용하는 방법	IT동아	04.10	1940	1
5137	AI로 무장한 이통3사, 보이스피싱 탐지 기술 강화한다	IT동아	04.10	195	0
5136	자동차 보험 비교 2.0 써보니··· '실결제 가격 오차범위 내로 줄어'	IT동아	04.10	187	0
5135	[IT애정남] 파일이 열려 있어 작업을 완료하지 못할 때 해결법은? [2]	IT동아	04.10	973	1
5134	무선 게이밍 기어로 게임 즐기려면 ‘지연 시간’이 중요하다	IT동아	04.10	179	0
5133	[생활 속 IT] 직접 만들어 본 카카오톡 펑, 쓸모 있는 기능일까?	IT동아	04.10	1984	0
5132	델, ‘AI 레디’ 서버 및 스토리지 신제품 다수 선보여	IT동아	04.09	1949	0
5131	[신차공개] BMW ‘뉴 i4 eDrive40’·KGM ‘토레스 EVX ALPHA’ 출시	IT동아	04.09	2030	1
5130	업비트·빗썸, 가상자산 시장 회복으로 2024년 실적 개선	IT동아	04.09	181	0
5129	[주간스타트업동향] 팜스태프, 농산물 부가가치 높인 ‘하토마 잼’ 출시 外	IT동아	04.09	181	0
5128	[IT하는법] 일회성으로 전화번호 저장할 땐, '태그 추가'로 해결하자	IT동아	04.09	217	0
뉴스	태민, ‘노제와 열애설’ 후 첫 심경 “어떻게 진실 전할까 고민”	디시트렌드	04.19