글로벌 무대서 독보적인 해킹 실력으로 업계 최고 수준 기술력 입증
[보안뉴스 박은주 기자] 사이버 보안 기업 스틸리언(대표 박찬암)이 아일랜드에서 열린 세계 최대 제로데이 해킹대회인 ‘폰투온(Pwn2Own)’에서 영상감시시스템 제품들의 보안 취약점을 성공적으로 공략했다고 28일 밝혔다.
▲스틸리언이 폰투온 해킹대회에서 제로데이 취약점 해킹에 성공했다[이미지=스틸리언]
폰투온은 사용자가 자주 접하는 장비나 솔루션을 주요 공격 대상으로 삼는다. 대중이 체감할 수 있는 유명 제품을 선정해 해킹을 시도하는 것이 대회의 주요 콘셉트이다. 여기서 발견되는 제로데이 취약점 정보는 제조사 및 개발사에만 전달되고, 패치가 나오고 일정 시간이 지난 후에 구체적인 내용이 공개된다.
스틸리언 팀은 대회 첫날 유비쿼티 네트웍스(Ubiquiti Networks)의 유비쿼티 AI 불렛 카메라(Ubiquity AI Bullet)를 해킹해 루트 셸을 획득했다. 루트 셸은 시스템 내 최상위 권한으로, 이를 통해 해당 장치를 완전히 제어할 수 있다. 이어 셋째 날에는 로렉스 테크놀로지(Lorex Technology)의 로렉스 2K 와이파이 보안 카메라(Lorex 2K Indoor Wi-Fi) 해킹에도 성공했다.
대회는 김도현 선제대응팀장을 포함한 △구본근 △김종민 △이주영 △이주협 △임원빈 선임 연구원과 모바일연구팀의 △진국현 선임 연구원이 팀을 구성했다. 스틸리언팀은 총 3만 3,750달러(약 4,600만원) 상당의 상금을 획득하며, 글로벌 무대에서 독보적인 해킹 실력을 선보이고 업계 최고 수준 기술력을 입증했다. 스틸리언은 2023년 토론토에서 열린 폰투온 대회에서도 와이즈캠v3(Wyze Cam v3)의 취약점을 발견해, 1만 5,000달러(약 2,000만원)의 상금을 획득한 경력이 있다.
스틸리언은 글로벌 최고 수준의 해커들로 구성된 사이버 보안 회사다. 주요 사업은 △모바일 앱 보안 솔루션 앱수트(AppSuit) △보안 컨설팅 △해킹 및 보안 기술 R&D 등이 있다. 공공기관, 금융사, 글로벌 대기업 등 다양한 영역의 고객사를 300곳 이상 확보했다.
스틸리언 김도현 선제대응팀장은 “대회 특수성으로 인해 연구 결과가 한순간에 물거품이 될 수 있음에도 불구하고 팀원의 열정과 헌신 덕분에 글로벌 무대에서 좋은 성과를 거두게 되어 매우 기쁘다”며, “앞으로도 도전과 연구를 지속해 나갈 것”이라고 말했다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>