[스타트업人] IoT 기기 보안 취약점 찾아내는 지엔 ‘화이트 해커’ 이야기

IT동아 · 2025.07.18 17:14:48

[IT동아 김예지 기자] ‘스타트업人’은 빠르게 발전하고 성장하는 스타트업 속에서 일하는 사람의 이야기를 담고자 합니다. 정확히는 '그들은 무슨 일을 할까?'라는 궁금함을 풀고자 합니다. 많은 IT 기업이 ‘인재’를 채용하기 위해 치열하게 경쟁하는데, 정작 해당 인재는 그 기업에서 무슨 일을 하는지 궁금하잖아요. 예를 들어, 같은 부서, 같은 직함을 가진 구글의 인재와 페이스북의 인재는 똑같은 일을 할까요?

박한렬 지엔 선임연구원 / 출처=IT동아

매일 사용하는 스마트폰부터 집안의 가전 제품까지, 우리는 상상할 수 없을 만큼 많은 기기가 네트워크로 연결된 사물 인터넷(IoT) 시대에 살고 있다. 스마트홈 기기, 웨어러블 제품, 차량용 기기, 산업용 기기 등 다양한 IoT 기기는 우리 삶을 편리하게 만들지만, 그 이면에는 보안 취약점이 있다. 해커는 연결된 기기의 취약점을 노려 개인정보를 탈취하거나 시스템을 망가뜨린다.

악의적인 공격으로부터 시스템을 보호하기 위해 활동하는 보안 전문가를 ‘화이트 해커’라고 부른다. XIoT 융합 보안 전문 기업 ‘지엔(ZIEN)’에도 IoT 기기의 보안 취약점을 발굴하는 화이트 해커가 있다. 지엔은 국내 IoT 보안 솔루션 개발 기업으로, IoT 보안 자동화 기술과 보안 컨설팅 등을 통합 제공한다. 지엔의 ‘Z-IoT’는 IoT 펌웨어를 자동 분석해 보안 취약점을 정밀하게 탐지하는 대표 솔루션이다. 더불어 지엔은 2025년 8월부터 유럽의 무선기기지침(Radio Equipment Directive, 이하 RED) 규제가 의무화됨에 따라 이에 발맞춰 RED 사이버보안 전용 자동 점검 플랫폼 ‘Z-RED’ 출시를 준비 중에 있다.

지엔의 화이트 해커는 단순한 취약점 발굴을 넘어 기기의 전체 생애주기를 고려한 보안 설계 검증을 담당한다. IT동아는 박한렬 지엔 선임연구원을 만나 IoT 보안의 중요성과 화이트 해커로서의 역할에 대해 물었다.

IoT 보안, 왜 중요하고 어려운가?

다양한 IoT 기기는 우리 삶을 편리하게 만들지만, 그 이면에는 보안 취약점이 있다 / 출처=셔터스톡

IoT 보안은 기존의 웹이나 네트워크 중심 사이버 보안과는 접근 방식부터 다르다. 하드웨어(단말기), 소프트웨어(펌웨어), 네트워크, 클라우드 서버가 모두 상호작용하는 구조로, 각 계층별 보안 위협이 얽혀 있는 까닭이다. 해커가 장비에 물리적으로 접근해 펌웨어의 취약점을 공격하기 때문에 각 계층을 아우르는 통합적이고 선제적인 보안 접근이 필수적이다.

또한 IoT 기기는 메모리와 연산 능력이 제한적이어서 전통적인 보안 솔루션을 적용하기 어려운 경우가 많다. 특히 최신 암호화 알고리즘이나 인증 방식을 구현하기 어려워 경량화된 보안 프로토콜 및 펌웨어 설계가 요구된다.

IoT 기기 펌웨어 분석부터 보안 컨설팅 제공하는 보안 전문가

박한렬 선임연구원은 지엔에서 처음 IoT 보안 분야를 접했다. 그는 “2017년 월패드 해킹 사건을 계기로, 하나의 펌웨어 취약점이 다른 인프라로 연결되면서 사고가 발생하는 과정에 관심이 생겼다”며, “취약점이 실제 사고로 이어지는 과정에서 직접 해킹을 시도하며 연계적인 시나리오를 구성해보는 게 흥미로웠다”고 말했다.

박한렬 지엔 선임연구원 / 출처=IT동아

현재 그는 지엔 연구개발(R&D) 부서에서 제품 기획·설계부터 출시, 유지보수 전 과정에 걸쳐 보안이 체계적으로 적용되도록 지원한다. IoT 기기 펌웨어를 분석하고, 보안 취약점을 식별한다. 실제 공격을 가정한 위협 시나리오를 설계하고, 제품에 적용된 프로토콜이나 인증 방식을 분석해 취약점을 선제적으로 점검한다. 지엔의 ‘Z-IoT’, ‘Z-RED’ 등 보안 솔루션 고도화도 담당한다. 박한렬 선임연구원은 “단순한 취약점 탐지보다는 구조적 약점을 자동으로 분석하고, 이상 행위를 식별 및 대응하는 기술 개발에 초점을 두고 있다”고 설명했다.

지엔은 기업에서 의뢰받은 제품의 취약점을 분석해 보안 컨설팅을 제공한다. 때로는 자체적으로 제품을 구매해 취약점을 찾고, 한국인터넷진흥원(KISA) 등 기관 및 기업에 제보하기도 한다. 다루는 범위는 월패드, 도어락, 로봇 청소기, 스마트 워치 등 스마트홈 기기부터 자율주행차 인포테인먼트(IVI)·제어기 시스템, 산업용 OT(ICS OT) 장비까지 다양하다. 와이파이, 블루투스 등을 포함해 통신으로 연결되는 기기는 전부 대상이다.

IoT 기기 제조사는 초기 생산 단계뿐만 아니라 추후 펌웨어 업데이트 시 지엔의 솔루션으로 제품을 테스트하고, 주기적으로 취약점을 점검할 수 있다. 박한렬 선임연구원은 “최고 보안 등급을 목표하는 제조사도 있지만, 강제성이 없어 보안에 취약한 제품이 여전히 많다. 특히 국내 규제가 미흡한 외산 제품에서 자주 발견된다”고 덧붙였다.

화이트 해커에게 가장 중요한 역량은?

지엔의 ‘Z-IoT’는 IoT 펌웨어를 자동 분석해 보안 취약점을 정밀하게 탐지하는 대표 솔루션이다 / 출처=지엔

그렇다면 지엔에서 중요하게 여기는 화이트 해커의 역할은 무엇일까. 박한렬 선임연구원은 ‘재현 가능한 공격 시나리오 설계 역량’을 강조한다. 이는 실제 환경에서 취약점이 어떻게 악용될 수 있는지 파악하는 능력이다. IoT 기기가 해킹될 경우 연쇄적인 취약점을 야기할 수 있기 때문에 단순히 취약점 발견에서 그치지 않고 연계되는 전체 공격 경로를 이해해야 한다는 설명이다.

예컨대, IP 카메라를 해킹해 관리자 권한을 획득하는 행위는 그 자체로 끝나지 않는다. 집안의 공유기까지 침투해 넓어진 공격 범위에 도달하면 실질적인 공격이 된다. 이러한 이유로 연계성을 가진 재현 가능한 시나리오가 필요한 것. 박한렬 선임연구원은 “시나리오는 매우 다양하게 나온다. 이러한 시나리오를 통해 외부까지의 연결을 확인하고, 펌웨어 설계 초기부터 보안 문제를 해결하는 조치를 취할 수 있게 된다”고 말했다.

지엔에서의 IoT 보안 경력을 바탕으로 박한렬 선임연구원은 ‘사이버보안챌린지(스마트홈) 2022’에서 1위, ‘사이버보안챌린지(스마트시티) 2023’에서 IITP원장상을 수상하기도 했다. 또한 미국 라스베이거스에서 매년 개최되는 세계 최대 규모 해킹 대회 ‘DEF CON 32 IoT Village’에서 블랙박스 보안 위협 분석 결과를 발표하고, 자동차 보안 분야 해킹 대회 ‘Pwn2Own Automotive 2025’에서 인포테인먼트(IVI) 원격 코드 실행(RCE) 실시간 시연을 선보였다.

IoT 제조사, 초기 제품 설계 중요

박한렬 지엔 선임연구원 / 출처=IT동아

박한렬 선임연구원은 IoT 기기 제조사의 초기 제품 설계의 중요성을 강조했다. 그는 “서버가 기기의 펌웨어를 자동으로 가져오는 과정에서 보안 설계가 부실하면 공격자가 펌웨어를 쉽게 추출할 수 있다”며, “제품 기획 단계부터 보안 코딩을 반영해 개발해야 한다. 구현이 쉽지 않고 개발 기간이 늘어날 수 있지만, 장기적으로는 비용 절감 효과가 크다”고 말했다.

이어 그는 “보안 업데이트 시 전체 펌웨어 교체가 필요한 경우가 많으므로, 초기 설계부터 OTA(Over-the-Air, 무선 통신의 소프트웨어나 설정을 업데이트하는 기술) 업데이트 체계와 무결성 검증 기능(시스템의 신뢰성을 보장하는 기능)을 내장해야 한다”고 말했다. 더불어 기업이 외부 보안 전문가로부터 취약점 보고서를 받아 처리하는 취약점 공개 정책(Vulnerability Disclosure Program, 이하 VDP)의 설정도 제시했다.

박한렬 선임연구원은 “보안 인증을 받은 제품이라도 추후 신기능을 추가할 때 해커가 침투할 수 있는 부분은 계속 나타날 수 있다. 지속적인 보안 모니터링과 침투 테스트를 병행하며 개발 및 운영해야 궁극적으로 안전한 제품을 만들 수 있다”고 말했다.

지엔, 최신 규제 RED 지원…”세계 보안 표준 도구될 것”

지엔의 ‘Z-IoT’는 IoT 펌웨어를 자동 분석해 보안 취약점을 정밀하게 탐지하는 대표 솔루션이다 / 출처=지엔

올해 박한렬 선임연구원은 RED 규제 대응을 위한 지엔의 Z-RED 분석 엔진 고도화에 주력하고 있다. 2025년 8월부터 유럽에 스마트 워치, 스마트폰 등 무선 기기를 판매하는 제조사는 RED 지침에 따라 무선 주파수에 대한 사이버 보안 규제를 충족해야 한다. Z-RED는 기업의 RED 적합성 판단을 돕는 솔루션으로, 인공지능(AI) 기반으로 적합성을 분석하고, 작성 템플릿 등 기술 문서를 자동 검토한다.

또한 일회성에 그치지 않고 규제 업데이트 내용을 지속 반영하며, 규제 통과 여부와 관계없이 이력 관리를 지원한다. 박한렬 선임연구원은 “세계 인증기관과의 협력으로 인증 획득에 소요되는 시간 및 비용을 단축할 수 있을 것”이라고 말했다. 지엔은 사전에 자가 진단 웹사이트를 마련할 마련할 예정이다.

향후 지엔은 국내 시장에서의 성장을 발판삼아 미국, 유럽 등 해외에도 진출할 계획이다. 박한렬 선임연구원은 IoT 보안 위협이 정교하고 복합적으로 진화하는 가운데, 지엔이 IoT 보안의 선구자 역할을 해내겠다는 포부를 밝혔다. 그는 “아직 IoT 보안 산업 규모가 크지 않아 자료 부족 등 겪는 어려움도 있다. 많은 보안 전문가들이 이 분야에 관심을 갖고 참여했으면 좋겠다”고 말했다.

마지막으로 그는 “앞으로도 지엔에서 보안 분석 체계를 고도화하고, 자동화 기술 개발에 집중하겠다. 선제적인 위협 탐지 및 대응 기술을 확보하고, 보안 컨설팅 및 전문 교육도 제공해 산업 전반의 IoT 보안 수준 향상에 보탬이 되겠다”며, “Z-IoT와 Z-RED 등 지엔의 솔루션이 국내를 넘어 세계 IoT 보안 표준 대응 도구로 자리잡을 수 있도록 기술적 완성도를 높이는 데 기여하고 싶다”고 말했다.

IT동아 김예지 기자 (yj@itdonga.com)

사용자 중심의 IT 저널 - IT동아 (it.donga.com)

번호	제목	글쓴이	작성일	조회	추천
설문	반응이 재밌어서 자꾸만 놀리고 싶은 리액션 좋은 스타는?	운영자	25/07/28	-	-
5645	[생활 속 IT] “범죄 악용 NO” 안전하게 지하철 물품 보관하려면 또타라커 앱	IT동아	08.01	23	0
5644	[투자를IT다] 2025년 7월 5주차 IT기업 주요 소식과 시장 전망	IT동아	08.01	23	0
5643	[농업이IT(잇)다] 그린씨드 “유통 관리 플랫폼으로 생산부터 유통까지 데이터 기반 농업 구축할 것”	IT동아	08.01	28	0
5642	[크립토퀵서치] 거래소의 가상자산 대여 서비스, 금융당국이 우려하는 이유는? [1]	IT동아	08.01	2399	1
5641	[리뷰] AI·고연산 처리에 최적, AMD 라이젠 스레드리퍼 9980X	IT동아	08.01	47	0
5640	유튜브는 왜 인급동을 없앴을까? [10]	IT동아	08.01	2903	1
5639	[동국대 캠퍼스타운 2025] 모먼트컬처, 통합형 전시 기술로 미디어아트 새 역사 쓴다	IT동아	08.01	45	0
5638	[생성 AI 길라잡이] 교사들이 직접 만든 생성 AI 기반 교육 플랫폼 ‘우리 아이(AI)’	IT동아	08.01	46	0
5637	“AI 반도체는 GPU 대안 아닌 새로운 방향··· 메모리 접근해 LPU 차별화”	IT동아	07.31	128	0
5636	[스케일업] 릿툰 [1] 도영민 대표 “서비스 시작 전, 안정적인 사업 구조를 구축하라”	IT동아	07.31	122	0
5635	[스케일업] 퍼슬리 [1] 케어닥 “사업의 도구와 본질 구분하고, 성장 단계별 목표 세워라”	IT동아	07.31	121	0
5634	[서울과기대 초창패 2025] 하이퍼센트 “백룸 시리즈로 글로벌 게임 시장에 도전장”	IT동아	07.31	74	0
5633	[KIDP 울산] 클로이수 “우리의 칠보, 세계인 사로잡을 ‘K럭셔리’될 것”	IT동아	07.31	71	0
5632	틱톡 “이용자 신뢰·안전 위해 2조 7600억 원 투자”	IT동아	07.30	88	0
5631	[주간스타트업동향] 펴다, 투자 경진대회 '공명전' 최종 우승 外	IT동아	07.30	5196	0
5630	[스케일업] 우트 [1] 매드해터 "사업 방향은 명확하게, 브랜드·마케팅은 집요하게"	IT동아	07.30	99	0
5629	“비트코인 ETF, 명확한 제도적 기반 필요”	IT동아	07.30	112	0
5628	사람마다 다른 車 보험료...절감하는 방법은?	IT동아	07.30	89	0
5627	[리뷰] 가장 진화한 NAS용 HDD, 웨스턴디지털 WD Red Pro 26TB HDD	IT동아	07.29	147	0
5626	‘HBM 메모리 수요 입증’ SK하이닉스 실적으로 내다본 인공지능 반도체 시장 흐름은?	IT동아	07.29	171	0
5625	[자동차와 法] 도로 위 그림자 ‘車 보험사기’ 수법과 대응 방법	IT동아	07.29	1959	0
5624	[스케일업] KIRA [1] 콜라이더 “에듀 핀테크 기업으로 성장하려면 전략적 접근이 중요하다”	IT동아	07.29	119	0
5623	LG유플러스, “보이스피싱 예방 풀패키지 구축…해킹 서버 추적·실시간 조치”	IT동아	07.29	128	0
5622	[스타트업을 위한 회계·세무] 스톡옵션과 주식의 차이는?	IT동아	07.29	118	0
5621	[2025 초격차 스타트업 1000+ 프로젝트] SBA·포스코, 친환경 링크업 참여 스타트업 선정	IT동아	07.29	110	0
5620	[2025 초격차 스타트업 1000+ 프로젝트] 차세대 에너지 시대 주도할 링크업 프로그램 스타트업 4곳 선정	IT동아	07.29	113	0
5619	[주간투자동향] 로앤컴퍼니, 500억 원 규모 시리즈C2 투자 유치 外	IT동아	07.28	2073	0
5618	공유누리, 네이버·카카오 예약 서비스 확대에도 편리하지 않은 이유	IT동아	07.28	139	0
5617	[스케일업] 도미노이펙트 [1] 아시안허브 "외국인 요양보호사, 실무·소통 능력 갖추도록"	IT동아	07.28	124	0
5616	[2025 초격차 스타트업 1000+ 프로젝트] 로봇 미래 이끌 링크업 프로그램 스타트업 3곳 선정	IT동아	07.28	122	0
5615	단통법 폐지, 스마트폰 싸게 사려면 알아야 할 점 총정리 [3]	IT동아	07.28	7368	2
5614	[2025 초격차 스타트업 1000+ 프로젝트] 피지컬 AI 로봇 시대 이끌 링크업 프로그램 5곳 선정	IT동아	07.28	116	0
5613	[2025 초격차 스타트업 1000+ 프로젝트] SBA “미래 모빌리티 링크업 10곳 협업 지원”	IT동아	07.28	105	0
5612	[민원제로] 5. 불만에 대한 첫 응대가 중요하다	IT동아	07.28	112	0
5611	[스케일업] 넥톤 [1] 프로미티어스 “기업 업무 자동화 솔루션, KPI로 의사결정자 사로잡아야”	IT동아	07.28	106	0
5610	“집에서 하는 재활운동 게임 잼잼400, 재활 패러다임 바꾼다” 김정은 잼잼테라퓨틱스 대표	IT동아	07.28	110	0
5609	웹 사이트를 앱처럼 이용하려면 이렇게! [이럴땐 이렇게!]	IT동아	07.28	176	0
5608	[투자를IT다] 2025년 7월 4주차 IT기업 주요 소식과 시장 전망	IT동아	07.25	284	0
5607	[생성 AI 길라잡이] 생성형 AI로 마인드맵을 ‘웜시컬’	IT동아	07.25	275	0
5606	부킹닷컴 “여행자 감정까지 자극하는 교묘한 해킹 시도 차단해 보안 강화” [3]	IT동아	07.25	6587	0
5605	[농업이IT(잇)다] 딜리버리랩 “소상공인 신선식품 라스트 마일 간소화하는 오더히어로”	IT동아	07.25	251	0
5604	[스케일업] 안심하이 [1] 프로미티어스 “스타트업에게 매출은 숫자 이상의 의미”	IT동아	07.25	246	0
5603	LG AI연구원, 퓨리오사AI·프렌들리AI와 함께 '엑사원 4.0 생태계' 만든다	IT동아	07.24	5899	2
5602	부킹닷컴 “생성 AI로 여행자 요구사항 예측하고 충족하는 방식 혁신”	IT동아	07.24	310	1
5601	SBA “HD현대삼호와 해양·로봇·AI 초격차 이끌 스타트업 모집”	IT동아	07.24	285	0
5600	서울시·SBA "하이서울기업, 신북방 딛고 세계 시장으로"	IT동아	07.24	301	0
5599	[IT신상공개] ‘내 등만 사계절 쾌적해지는 방법’ 소니 레온 포켓 프로	IT동아	07.23	386	0
5598	[IT애정남] 외장하드만 꽂으면 느려지는 키보드, 원인이 뭘까요?	IT동아	07.23	998	0
5597	[리뷰] 색다른 디자인과 버튼 조작 방식, 낫싱 헤드폰(1) [4]	IT동아	07.23	7901	2
5596	[ETF Q&A] 중국의 대표지수 ETF에는 어떤 종류가 있나요?	IT동아	07.23	304	0
뉴스	'착한 사나이' 이동욱X박훈X이문식X한재영의 ‘살벌’ 대면! 본격 정면 대결 예고	디시트렌드	07.31

최근 방문

즐겨찾기

즐겨찾기 갤러리

이미지 올리기 이용안내

갤러리 이슈박스, 최근방문 갤러리

연관 갤러리

개념글 리스트

차단하기

[IT동아 갤러리]

갤러리 본문 영역

IoT 보안, 왜 중요하고 어려운가?

IoT 기기 펌웨어 분석부터 보안 컨설팅 제공하는 보안 전문가

화이트 해커에게 가장 중요한 역량은?

IoT 제조사, 초기 제품 설계 중요

지엔, 최신 규제 RED 지원…”세계 보안 표준 도구될 것”

▶ SKT 유심해킹 최종 조사결과 발표 “5년간 7000억 원 투자 약속”▶ “인공지능 시대의 보안을 강조하다” 코드게이트 2025▶ 지스케일러 “제로 트러스트와 AI 결합해 강력한 보안 제공”

추천 비추천

댓글 영역

① NFT 발행

② NFT 구매

하단 갤러리 리스트 영역

왼쪽 컨텐츠 영역

갤러리 리스트 영역

페이지 이동

오른쪽 컨텐츠 영역

알림 설정

알림

디시콘 리스트

디시콘

디시콘 검색결과(0)

인기 디시콘

▶ SKT 유심해킹 최종 조사결과 발표 “5년간 7000억 원 투자 약속”▶ “인공지능 시대의 보안을 강조하다” 코드게이트 2025 ▶ 지스케일러 “제로 트러스트와 AI 결합해 강력한 보안 제공”