[스타트업人] IoT 기기 보안 취약점 찾아내는 지엔 ‘화이트 해커’ 이야기

IT동아 · 2025.07.18 17:14:48

[IT동아 김예지 기자] ‘스타트업人’은 빠르게 발전하고 성장하는 스타트업 속에서 일하는 사람의 이야기를 담고자 합니다. 정확히는 '그들은 무슨 일을 할까?'라는 궁금함을 풀고자 합니다. 많은 IT 기업이 ‘인재’를 채용하기 위해 치열하게 경쟁하는데, 정작 해당 인재는 그 기업에서 무슨 일을 하는지 궁금하잖아요. 예를 들어, 같은 부서, 같은 직함을 가진 구글의 인재와 페이스북의 인재는 똑같은 일을 할까요?

박한렬 지엔 선임연구원 / 출처=IT동아

매일 사용하는 스마트폰부터 집안의 가전 제품까지, 우리는 상상할 수 없을 만큼 많은 기기가 네트워크로 연결된 사물 인터넷(IoT) 시대에 살고 있다. 스마트홈 기기, 웨어러블 제품, 차량용 기기, 산업용 기기 등 다양한 IoT 기기는 우리 삶을 편리하게 만들지만, 그 이면에는 보안 취약점이 있다. 해커는 연결된 기기의 취약점을 노려 개인정보를 탈취하거나 시스템을 망가뜨린다.

악의적인 공격으로부터 시스템을 보호하기 위해 활동하는 보안 전문가를 ‘화이트 해커’라고 부른다. XIoT 융합 보안 전문 기업 ‘지엔(ZIEN)’에도 IoT 기기의 보안 취약점을 발굴하는 화이트 해커가 있다. 지엔은 국내 IoT 보안 솔루션 개발 기업으로, IoT 보안 자동화 기술과 보안 컨설팅 등을 통합 제공한다. 지엔의 ‘Z-IoT’는 IoT 펌웨어를 자동 분석해 보안 취약점을 정밀하게 탐지하는 대표 솔루션이다. 더불어 지엔은 2025년 8월부터 유럽의 무선기기지침(Radio Equipment Directive, 이하 RED) 규제가 의무화됨에 따라 이에 발맞춰 RED 사이버보안 전용 자동 점검 플랫폼 ‘Z-RED’ 출시를 준비 중에 있다.

지엔의 화이트 해커는 단순한 취약점 발굴을 넘어 기기의 전체 생애주기를 고려한 보안 설계 검증을 담당한다. IT동아는 박한렬 지엔 선임연구원을 만나 IoT 보안의 중요성과 화이트 해커로서의 역할에 대해 물었다.

IoT 보안, 왜 중요하고 어려운가?

다양한 IoT 기기는 우리 삶을 편리하게 만들지만, 그 이면에는 보안 취약점이 있다 / 출처=셔터스톡

IoT 보안은 기존의 웹이나 네트워크 중심 사이버 보안과는 접근 방식부터 다르다. 하드웨어(단말기), 소프트웨어(펌웨어), 네트워크, 클라우드 서버가 모두 상호작용하는 구조로, 각 계층별 보안 위협이 얽혀 있는 까닭이다. 해커가 장비에 물리적으로 접근해 펌웨어의 취약점을 공격하기 때문에 각 계층을 아우르는 통합적이고 선제적인 보안 접근이 필수적이다.

또한 IoT 기기는 메모리와 연산 능력이 제한적이어서 전통적인 보안 솔루션을 적용하기 어려운 경우가 많다. 특히 최신 암호화 알고리즘이나 인증 방식을 구현하기 어려워 경량화된 보안 프로토콜 및 펌웨어 설계가 요구된다.

IoT 기기 펌웨어 분석부터 보안 컨설팅 제공하는 보안 전문가

박한렬 선임연구원은 지엔에서 처음 IoT 보안 분야를 접했다. 그는 “2017년 월패드 해킹 사건을 계기로, 하나의 펌웨어 취약점이 다른 인프라로 연결되면서 사고가 발생하는 과정에 관심이 생겼다”며, “취약점이 실제 사고로 이어지는 과정에서 직접 해킹을 시도하며 연계적인 시나리오를 구성해보는 게 흥미로웠다”고 말했다.

박한렬 지엔 선임연구원 / 출처=IT동아

현재 그는 지엔 연구개발(R&D) 부서에서 제품 기획·설계부터 출시, 유지보수 전 과정에 걸쳐 보안이 체계적으로 적용되도록 지원한다. IoT 기기 펌웨어를 분석하고, 보안 취약점을 식별한다. 실제 공격을 가정한 위협 시나리오를 설계하고, 제품에 적용된 프로토콜이나 인증 방식을 분석해 취약점을 선제적으로 점검한다. 지엔의 ‘Z-IoT’, ‘Z-RED’ 등 보안 솔루션 고도화도 담당한다. 박한렬 선임연구원은 “단순한 취약점 탐지보다는 구조적 약점을 자동으로 분석하고, 이상 행위를 식별 및 대응하는 기술 개발에 초점을 두고 있다”고 설명했다.

지엔은 기업에서 의뢰받은 제품의 취약점을 분석해 보안 컨설팅을 제공한다. 때로는 자체적으로 제품을 구매해 취약점을 찾고, 한국인터넷진흥원(KISA) 등 기관 및 기업에 제보하기도 한다. 다루는 범위는 월패드, 도어락, 로봇 청소기, 스마트 워치 등 스마트홈 기기부터 자율주행차 인포테인먼트(IVI)·제어기 시스템, 산업용 OT(ICS OT) 장비까지 다양하다. 와이파이, 블루투스 등을 포함해 통신으로 연결되는 기기는 전부 대상이다.

IoT 기기 제조사는 초기 생산 단계뿐만 아니라 추후 펌웨어 업데이트 시 지엔의 솔루션으로 제품을 테스트하고, 주기적으로 취약점을 점검할 수 있다. 박한렬 선임연구원은 “최고 보안 등급을 목표하는 제조사도 있지만, 강제성이 없어 보안에 취약한 제품이 여전히 많다. 특히 국내 규제가 미흡한 외산 제품에서 자주 발견된다”고 덧붙였다.

화이트 해커에게 가장 중요한 역량은?

지엔의 ‘Z-IoT’는 IoT 펌웨어를 자동 분석해 보안 취약점을 정밀하게 탐지하는 대표 솔루션이다 / 출처=지엔

그렇다면 지엔에서 중요하게 여기는 화이트 해커의 역할은 무엇일까. 박한렬 선임연구원은 ‘재현 가능한 공격 시나리오 설계 역량’을 강조한다. 이는 실제 환경에서 취약점이 어떻게 악용될 수 있는지 파악하는 능력이다. IoT 기기가 해킹될 경우 연쇄적인 취약점을 야기할 수 있기 때문에 단순히 취약점 발견에서 그치지 않고 연계되는 전체 공격 경로를 이해해야 한다는 설명이다.

예컨대, IP 카메라를 해킹해 관리자 권한을 획득하는 행위는 그 자체로 끝나지 않는다. 집안의 공유기까지 침투해 넓어진 공격 범위에 도달하면 실질적인 공격이 된다. 이러한 이유로 연계성을 가진 재현 가능한 시나리오가 필요한 것. 박한렬 선임연구원은 “시나리오는 매우 다양하게 나온다. 이러한 시나리오를 통해 외부까지의 연결을 확인하고, 펌웨어 설계 초기부터 보안 문제를 해결하는 조치를 취할 수 있게 된다”고 말했다.

지엔에서의 IoT 보안 경력을 바탕으로 박한렬 선임연구원은 ‘사이버보안챌린지(스마트홈) 2022’에서 1위, ‘사이버보안챌린지(스마트시티) 2023’에서 IITP원장상을 수상하기도 했다. 또한 미국 라스베이거스에서 매년 개최되는 세계 최대 규모 해킹 대회 ‘DEF CON 32 IoT Village’에서 블랙박스 보안 위협 분석 결과를 발표하고, 자동차 보안 분야 해킹 대회 ‘Pwn2Own Automotive 2025’에서 인포테인먼트(IVI) 원격 코드 실행(RCE) 실시간 시연을 선보였다.

IoT 제조사, 초기 제품 설계 중요

박한렬 지엔 선임연구원 / 출처=IT동아

박한렬 선임연구원은 IoT 기기 제조사의 초기 제품 설계의 중요성을 강조했다. 그는 “서버가 기기의 펌웨어를 자동으로 가져오는 과정에서 보안 설계가 부실하면 공격자가 펌웨어를 쉽게 추출할 수 있다”며, “제품 기획 단계부터 보안 코딩을 반영해 개발해야 한다. 구현이 쉽지 않고 개발 기간이 늘어날 수 있지만, 장기적으로는 비용 절감 효과가 크다”고 말했다.

이어 그는 “보안 업데이트 시 전체 펌웨어 교체가 필요한 경우가 많으므로, 초기 설계부터 OTA(Over-the-Air, 무선 통신의 소프트웨어나 설정을 업데이트하는 기술) 업데이트 체계와 무결성 검증 기능(시스템의 신뢰성을 보장하는 기능)을 내장해야 한다”고 말했다. 더불어 기업이 외부 보안 전문가로부터 취약점 보고서를 받아 처리하는 취약점 공개 정책(Vulnerability Disclosure Program, 이하 VDP)의 설정도 제시했다.

박한렬 선임연구원은 “보안 인증을 받은 제품이라도 추후 신기능을 추가할 때 해커가 침투할 수 있는 부분은 계속 나타날 수 있다. 지속적인 보안 모니터링과 침투 테스트를 병행하며 개발 및 운영해야 궁극적으로 안전한 제품을 만들 수 있다”고 말했다.

지엔, 최신 규제 RED 지원…”세계 보안 표준 도구될 것”

지엔의 ‘Z-IoT’는 IoT 펌웨어를 자동 분석해 보안 취약점을 정밀하게 탐지하는 대표 솔루션이다 / 출처=지엔

올해 박한렬 선임연구원은 RED 규제 대응을 위한 지엔의 Z-RED 분석 엔진 고도화에 주력하고 있다. 2025년 8월부터 유럽에 스마트 워치, 스마트폰 등 무선 기기를 판매하는 제조사는 RED 지침에 따라 무선 주파수에 대한 사이버 보안 규제를 충족해야 한다. Z-RED는 기업의 RED 적합성 판단을 돕는 솔루션으로, 인공지능(AI) 기반으로 적합성을 분석하고, 작성 템플릿 등 기술 문서를 자동 검토한다.

또한 일회성에 그치지 않고 규제 업데이트 내용을 지속 반영하며, 규제 통과 여부와 관계없이 이력 관리를 지원한다. 박한렬 선임연구원은 “세계 인증기관과의 협력으로 인증 획득에 소요되는 시간 및 비용을 단축할 수 있을 것”이라고 말했다. 지엔은 사전에 자가 진단 웹사이트를 마련할 마련할 예정이다.

향후 지엔은 국내 시장에서의 성장을 발판삼아 미국, 유럽 등 해외에도 진출할 계획이다. 박한렬 선임연구원은 IoT 보안 위협이 정교하고 복합적으로 진화하는 가운데, 지엔이 IoT 보안의 선구자 역할을 해내겠다는 포부를 밝혔다. 그는 “아직 IoT 보안 산업 규모가 크지 않아 자료 부족 등 겪는 어려움도 있다. 많은 보안 전문가들이 이 분야에 관심을 갖고 참여했으면 좋겠다”고 말했다.

마지막으로 그는 “앞으로도 지엔에서 보안 분석 체계를 고도화하고, 자동화 기술 개발에 집중하겠다. 선제적인 위협 탐지 및 대응 기술을 확보하고, 보안 컨설팅 및 전문 교육도 제공해 산업 전반의 IoT 보안 수준 향상에 보탬이 되겠다”며, “Z-IoT와 Z-RED 등 지엔의 솔루션이 국내를 넘어 세계 IoT 보안 표준 대응 도구로 자리잡을 수 있도록 기술적 완성도를 높이는 데 기여하고 싶다”고 말했다.

IT동아 김예지 기자 (yj@itdonga.com)

사용자 중심의 IT 저널 - IT동아 (it.donga.com)

번호	제목	글쓴이	작성일	조회	추천
설문	취미 부자여서 결혼 못 할 것 같은 스타는?	운영자	26/01/19	-	-
공지	주간 인기 디시콘 추가 안내	운영자	26/01/19	-	-
6494	네이버 탈락시킨 '프롬 스크래치' 잣대··· 기술 효율보다 독자성 택한 과기부	IT동아	19:52	4	0
6493	[뉴스줌인] 한층 실속 더한 가성비폰 ‘포코 M8 5G’ 출시, 갤럭시 A36과 비교하면?	IT동아	18:55	3	0
6492	[신차공개] 제네시스 ‘GV60 마그마’·’2026 G70∙G70 슈팅 브레이크’ 출시	IT동아	18:45	6	0
6491	[정석희의 기후 에너지 인사이트] 2. 기후변화의 바이블? IPCC 보고서 '제대로' 활용하기 [2]	IT동아	17:10	180	0
6490	아디다스 러닝 앱, 한국 정식 출시···나이키 NRC 아성 위협할까	IT동아	16:39	5	0
6489	‘속도보다 체감 품질 중요’…2025년 5G 품질 성적표 살펴보니	IT동아	15:30	5	0
6488	SBA·K-DATA '서울형 R&D 기업 데이터 보증’으로 성장 사다리 잇는다	IT동아	14:32	7	0
6487	엔비디아 DLSS 4.5 “2세대 트랜스포머 모델로 게임 그래픽 가속” [11]	IT동아	01.17	1175	1
6486	“물 들어올 때 노 젓자” 금융당국, 외환ㆍ자본시장 혁신 나선다	IT동아	01.16	43	0
6485	AI 열풍에 ‘금값’ 된 PC 부품, 기다림만이 답은 아니다	IT동아	01.16	150	0
6484	서울지하철, 신형 교통카드 키오스크 설치…17년 만에 무엇이 바뀌었나 [7]	IT동아	01.16	1773	4
6483	[IT하는법] 스마트폰 모바일 데이터 사용량을 제한하려면?	IT동아	01.16	103	0
6482	생성형을 넘어 에이전트로…공공 행정 분야 AI 2.0 전환 박차	IT동아	01.16	39	0
6481	연이은 보안 사고, 사이버보험 도움될까…통신사 보안 서비스는?	IT동아	01.16	1038	0
6480	[스타트업리뷰] 기업 채용 업무 효율성 높이는 세컨드팀 ‘AI면접관’	IT동아	01.16	25	0
6479	[써니모모의 '육십 먹고 생성AI'] 3. 디카/스마트폰 사진으로 애니메이션 만들기	IT동아	01.15	36	0
6478	[시승기] 전기차 시장에 등장한 또 하나의 선택지…'기아 EV4'	IT동아	01.15	34	0
6477	[경북대 X IT동아] 네오덱스 "개구기에서 의료 AI까지, 치의학계의 '퍼스트 무버' 될 것"	IT동아	01.15	134	0
6476	칩셋, 카메라, 가격...내달 발표 갤럭시 S26의 '3대 변수' [21]	IT동아	01.15	1407	54
6475	전통금융권과 손잡는 디지털자산 거래소, 2026년 지각 변동 예고	IT동아	01.15	38	0
6474	운전면허 벌점으로 정지·취소까지···KB국민은행·티맵서 확인하는 법	IT동아	01.15	38	0
6473	1월 22일 시행 예정되는 ‘AI 기본법’, 기업들은 준비됐나 [3]	IT동아	01.15	619	2
6472	“미국 우선주의” 트럼프 미디어가 발행한 ETF는 특별한가?	IT동아	01.14	54	0
6471	[주간스타트업동향] 딥인사이트, CES 2026서 '디멘뷰' 전시 성료 外	IT동아	01.14	113	0
6470	'오픈인프라서밋'으로 확인한 카카오클라우드의 고가용성·이중화 전략	IT동아	01.14	43	0
6469	소서릭스 AI 홈 오토메이션 SOL, CES 혁신상 수상 [SBA CES]	IT동아	01.14	38	0
6468	"개선된 챗봇으로 맞춤 상담" 따릉이 앱, 어떻게 달라졌나 [2]	IT동아	01.14	575	1
6467	[경북대 X IT동아] 노코드 AI 한계 넘어 앱·웹 생성부터 운영까지 자동화…‘엠바스’	IT동아	01.14	93	0
6466	“가상이 아닌 현실” 피지컬 AI 시대 알린 CES 2026	IT동아	01.13	52	0
6465	[위클리AI] 구글, 애플·월마트 손잡았다···글로벌 영향력 확대	IT동아	01.13	44	0
6464	[자동차와 法] 새해 교통안전 관련 제도 무엇이 달라지나	IT동아	01.13	45	0
6463	‘해킹 맛집’ 오명 쓴 대한민국, 2026년 AI 보안 과제는	IT동아	01.13	221	0
6462	한국에서 태어나 세계로 향한다…르노코리아 크로스오버 ‘필랑트’ 데뷔	IT동아	01.13	700	0
6461	정부 '2026 경제성장전략' 발표···디지털자산 제도권 진입 본격화	IT동아	01.13	43	0
6460	[생활 속 IT] 병원마다 다른 비급여 진료비, 한눈에 비교하기	IT동아	01.13	1366	4
6459	[K-스페이스 퀀텀 점프] 1. 우주항공청의 리모델링이 필요하다	IT동아	01.13	41	0
6458	[투자를IT다] 2026년 1월 2주차 IT기업 주요 소식과 시장 전망	IT동아	01.12	50	0
6457	[신차공개] 현대차 '더 뉴 스타리아 EV'·기아 '더 기아 EV2' 최초 공개	IT동아	01.12	78	0
6456	[뉴스줌인] 롤러형 물걸레 단 로보락의 신형 로봇청소기, 뭐가 다르지?	IT동아	01.12	72	0
6455	[주간투자동향] 라이드플럭스, 200억 원 규모 프리 IPO 투자 유치 外	IT동아	01.12	593	1
6454	[리뷰] “휴대용 지포스 RTX 5070 Ti” 에이수스 ROG XG 모바일 GC34R-034	IT동아	01.09	71	0
6453	2026년 새로운 청년 혜택, 무엇이 있을까?	IT동아	01.09	57	0
6452	새해 달라지는 교통 관련 제도 살펴보니	IT동아	01.09	931	2
6451	[CES 2026] CES 2026에서 주목받은 오디오 기기는?	IT동아	01.09	38	0
6450	그린리본, CES 2026서 환자 중심 임상 리크루팅 플랫폼 ‘그린스카우트’ 성과 공개 [SBA CES]	IT동아	01.09	42	0
6449	가상자산 거래소 과태료 처분, 법령준수 역량 강화 필요	IT동아	01.09	115	0
6448	PC 부품값 폭등 시대, 클라우드 PC가 해법 될까? [12]	IT동아	01.09	839	1
6447	[CES 2026] 로닉, 피지컬 AI 기반 AI 디스펜서 기술로 글로벌 F&B기업에 ‘눈도장’	IT동아	01.09	96	0
6446	SBA "CES 글로벌 이노베이션 포럼, 세계 창업계 이목 집중" [SBA CES]	IT동아	01.09	44	0
6445	[CES 2026] 전장 기업, 부품 공급자에서 미래차 생태계 핵심 플레이어로 부상	IT동아	01.08	62	0

최근 방문

즐겨찾기

즐겨찾기 갤러리

이미지 올리기 이용안내

갤러리 이슈박스, 최근방문 갤러리

연관 갤러리

개념글 리스트

차단하기

[IT동아 갤러리]

갤러리 본문 영역

IoT 보안, 왜 중요하고 어려운가?

IoT 기기 펌웨어 분석부터 보안 컨설팅 제공하는 보안 전문가

화이트 해커에게 가장 중요한 역량은?

IoT 제조사, 초기 제품 설계 중요

지엔, 최신 규제 RED 지원…”세계 보안 표준 도구될 것”

▶ SKT 유심해킹 최종 조사결과 발표 “5년간 7000억 원 투자 약속”▶ “인공지능 시대의 보안을 강조하다” 코드게이트 2025▶ 지스케일러 “제로 트러스트와 AI 결합해 강력한 보안 제공”

추천 비추천

댓글 영역

① NFT 발행

② NFT 구매

하단 갤러리 리스트 영역

왼쪽 컨텐츠 영역

갤러리 리스트 영역

페이지 이동

오른쪽 컨텐츠 영역

알림 설정

알림

디시콘 리스트

디시콘

디시콘 검색결과(0)

인기 디시콘

▶ SKT 유심해킹 최종 조사결과 발표 “5년간 7000억 원 투자 약속”▶ “인공지능 시대의 보안을 강조하다” 코드게이트 2025 ▶ 지스케일러 “제로 트러스트와 AI 결합해 강력한 보안 제공”