스틸리언, 세계 최대 제로데이 해킹대회 ‘폰투온’서 취약점 해킹 성공

[사진=스틸리언]

[이뉴스투데이 이승준 기자] 스틸리언은 아일랜드에서 열린 세계 최대 제로데이 해킹대회인 ‘폰투온(Pwn2Own)’에서 영상감시시스템 제품들의 보안 취약점을 성공적으로 공략했다고 28일 밝혔다.

폰투온은 사용자가 자주 접하는 장비나 솔루션을 주요 공격 대상으로 삼는다. 대중이 체감할 수 있는 유명 제품을 선정해 해킹을 시도하는 것이 이 대회의 주요 콘셉트다. 여기서 발견되는 제로데이 취약점 정보는 제조사·개발사들에게만 전달되고, 패치가 나오고 일정 시간이 지난 후에 구체적인 내용이 공개된다.

스틸리언 팀은 대회 첫날 유비쿼티 네트웍스(Ubiquiti Networks)의 유비쿼티 AI 불렛 카메라(Ubiquity AI Bullet)를 해킹해 루트 셸을 획득했다. 루트 셸은 시스템 내 최상위 권한으로, 이를 통해 해당 장치를 완전히 제어할 수 있다. 셋째 날에는 로렉스 테크놀로지(Lorex Technology)의 로렉스 2K 와이파이 보안 카메라(Lorex 2K Indoor Wi-Fi) 해킹에도 성공했다.

대회는 김도현 선제대응팀장을 포함한 구본근·김종민·이주영·이주협·임원빈 선임연구원과 모바일연구팀의 진국현 선임연구원이 팀을 구성해 참여했다. 스틸리언 팀은 총 3만3750 달러(한화 약 4600만원) 상당의 상금을 획득했다.

스틸리언은 지난해 토론토에서 열린 폰투온 대회에서도 와이즈캠v3(WyzeCam v3)의 취약점을 발견해 1만5000달러(약 2000만원)의 상금을 획득한 바 있다.

김도현 스틸리언 선제대응팀장은 “대회의 특수성으로 인해 연구 결과가 한순간에 물거품이 될 수 있음에도 불구하고 팀원들의 열정과 헌신 덕분에 글로벌 무대에서 좋은 성과를 거두게 돼 매우 기쁘다”며 “앞으로도 도전과 연구를 지속해 나갈 것”이라고 말했다.