V&V / 모의해킹 — 실전 보안
Pwn2Own 뉴스를 보고 자주 나오는 말
"76개 제로데이면 우리 차 타도 되는 건가요?"
"EV 충전기 화면에 게임을 설치했다고요? 그게 차량 보안이랑 무슨 관계인가요?"
"Pwn2Own에서 뚫린 취약점은 실제로 악용되나요?"
"결국 자동차 보안은 다 구멍 투성이라는 얘기 아닌가요?"
2026년 1월, 도쿄에서 단 3일 만에 76개의 제로데이가 발견됐다. 상금은 $1,047,000.
숫자만 보면 충격적이다. 하지만 자동차 사이버보안 엔지니어가 이 대회에서 봐야 할 것은 숫자가 아니다. 어디서 뚫렸는가, 그리고 왜 거기서 뚫렸는가다.
숫자만 보면 충격적이다. 하지만 자동차 사이버보안 엔지니어가 이 대회에서 봐야 할 것은 숫자가 아니다. 어디서 뚫렸는가, 그리고 왜 거기서 뚫렸는가다.
Pwn2Own Automotive란 무엇인가
Pwn2Own은 Trend Micro의 Zero Day Initiative(ZDI)가 주관하는 세계 최대 규모의 취약점 발견 대회다. 보안 연구자들이 공개되지 않은 취약점과 실제 동작하는 공격 코드를 이용해 완전히 패치된 제품을 해킹하면 상금과 함께 취약점이 공식 등록된다. 제조사는 공개 전에 패치를 개발할 시간(통상 90일)을 받는다.
자동차 분야는 2024년부터 별도 트랙으로 분리됐다. 그 이유는 단순하다 — 자동차가 거대한 소프트웨어 시스템이 됐기 때문이다. 올해가 세 번째 대회였다.
ℹ️ Pwn2Own Automotive 2026 개요 (Bleeping Computer, VicOne 보도 기반)
일시: 2026년 1월 21~23일 / 장소: 일본 도쿄 Automotive World 박람회
주최: Trend Micro Zero Day Initiative (ZDI), VicOne 공동
총 참가 시도: 73건 / 발견된 제로데이: 76개 / 총 상금: $1,047,000
주요 공격 대상: IVI 시스템(Tesla, Alpine, Kenwood), EV 충전기(ChargePoint, Alpitronic, Phoenix Contact), 차량 OS(Automotive Grade Linux)
일시: 2026년 1월 21~23일 / 장소: 일본 도쿄 Automotive World 박람회
주최: Trend Micro Zero Day Initiative (ZDI), VicOne 공동
총 참가 시도: 73건 / 발견된 제로데이: 76개 / 총 상금: $1,047,000
주요 공격 대상: IVI 시스템(Tesla, Alpine, Kenwood), EV 충전기(ChargePoint, Alpitronic, Phoenix Contact), 차량 OS(Automotive Grade Linux)
Pwn2Own Automotive 2026 — 확인된 수치
76개
3일간 발견된 신규 제로데이. 전년(49개) 대비 55% 증가
$1.047M
총 지급 상금. 역대 Pwn2Own Automotive 최고액
73건
참가 시도 건수. 역대 최다 참가
누가 얼마에 무엇을 뚫었나 — 확인된 결과
| 팀 | 상금 | 주요 공격 대상 |
|---|---|---|
| Fuzzware.io (Master of Pwn) | $215,500 | Phoenix Contact CHARX SEC-3150, ChargePoint Home Flex, Grizzl-E Smart 40A EV 충전기 |
| Team DDOS | $100,750 | IVI 시스템 다수 |
| Synacktiv | $85,000 | Tesla IVI — USB 기반 공격으로 OOB Write + 정보 유출 체인 |
| Sina Kheirkhah (Summoning Team) | $40,000 | Kenwood DNR1007XR, ChargePoint Home Flex, Alpine iLX-F511 |
| Juurin Oy | $20,000 | EV 충전기 — TOCTOU 취약점으로 화면에 Doom 설치 |
💡 EV 충전기에 Doom 게임이 설치됐다
Juurin Oy 팀은 TOCTOU(Time-of-Check to Time-of-Use) 취약점을 이용해 EV 충전기 화면에 게임 Doom을 설치하는 것을 시연했다. $20,000 상금과 함께 4 Master of Pwn 포인트를 획득했다. 게임 설치 자체가 위험한 것이 아니라 — 임의 코드 실행이 가능한 취약점이 EV 충전 인프라에 존재한다는 것이 핵심이다.
Juurin Oy 팀은 TOCTOU(Time-of-Check to Time-of-Use) 취약점을 이용해 EV 충전기 화면에 게임 Doom을 설치하는 것을 시연했다. $20,000 상금과 함께 4 Master of Pwn 포인트를 획득했다. 게임 설치 자체가 위험한 것이 아니라 — 임의 코드 실행이 가능한 취약점이 EV 충전 인프라에 존재한다는 것이 핵심이다.
왜 ECU가 아니라 IVI와 EV 충전기에서 뚫렸는가
결과를 보면 패턴이 있다. 브레이크·조향 ECU가 아니라 인포테인먼트(IVI)와 EV 충전기가 집중 공격 대상이 됐다. 우연이 아니다.
❌ 자동차 해킹 = 브레이크나 조향 ECU를 직접 공격하는 것이다
✅ 공격자는 외부 연결이 많은 곳을 먼저 노린다 — IVI, 충전기, 클라우드가 더 매력적인 진입점이다
브레이크 ECU를 직접 공격하려면 차량 내부 네트워크까지 진입해야 한다. 반면 IVI는 Wi-Fi, Bluetooth, USB, 인터넷 브라우저, 앱 스토어 등 외부와 연결되는 인터페이스가 수십 개다. EV 충전기는 인터넷에 연결된 상시 가동 장치다. 공격자 입장에서 공격 경로가 훨씬 넓고 원격에서도 접근 가능하다.
IVI 시스템 내부를 보면 사실상 Linux 또는 Android 기반 컴퓨터다. 브라우저 엔진, Wi-Fi 스택, Bluetooth 스택, USB 드라이버, 앱 런타임이 모두 들어있다. 일반 IT 보안에서 알려진 공격 기법들이 그대로 적용 가능하다. 자동차 전용 기술이 아니어도 뚫을 수 있다는 뜻이다.
⚠️ EV 충전 인프라가 새로운 공격 표면으로 부상하고 있다
올해 대회에서 가장 주목할 변화는 EV 충전기가 주요 공격 대상으로 자리 잡았다는 점이다. 충전기는 인터넷에 상시 연결되고, 차량과 통신하며, 결제 시스템과 연동된다. 차량 ECU보다 외부 공격에 노출된 시간이 훨씬 길다. V2G(Vehicle-to-Grid) 기능이 확산되면 충전기 취약점이 차량까지 영향을 줄 수 있는 경로가 생긴다.
올해 대회에서 가장 주목할 변화는 EV 충전기가 주요 공격 대상으로 자리 잡았다는 점이다. 충전기는 인터넷에 상시 연결되고, 차량과 통신하며, 결제 시스템과 연동된다. 차량 ECU보다 외부 공격에 노출된 시간이 훨씬 길다. V2G(Vehicle-to-Grid) 기능이 확산되면 충전기 취약점이 차량까지 영향을 줄 수 있는 경로가 생긴다.
76개 취약점 — 이것이 나쁜 소식인가
의외로 꼭 그렇지는 않다. 두 가지 관점에서 볼 필요가 있다.
Pwn2Own의 취약점 처리 흐름
1
화이트햇 연구자가 취약점 발견 — 악용이 목적이 아니라 발견이 목적. 실제 동작하는 공격 코드를 시연하지만 대회 규칙 안에서 진행된다.
2
ZDI가 제조사에 공식 통보 — 취약점 상세 내용이 해당 제조사(Tesla, ChargePoint, Alpine 등)에 전달된다. 공개 전 패치 개발 기간(통상 90일)이 주어진다.
3
제조사 패치 개발 및 배포 — 90일 내에 패치를 개발해야 한다. 완료되지 않으면 ZDI가 취약점을 공개한다.
4
공개 또는 CVE 등록 — 패치 완료 후 또는 90일 경과 후 공개된다. 이를 통해 업계 전체가 유사 취약점을 점검할 수 있다.
이 프로세스에서 중요한 것은 악의적인 공격자가 아니라 보안 연구자가 먼저 발견했다는 점이다. 제조사 입장에서는 나쁜 결과가 나왔더라도 이것이 최선의 시나리오다 — 패치할 시간이 주어지기 때문이다.
✅ Pwn2Own이 자동차 보안에 기여하는 방식
2024년 첫 대회부터 지금까지 총 200개 이상의 제로데이가 이 대회를 통해 발견됐다. 상당수가 패치됐다. 악의적인 해커가 이 취약점들을 먼저 발견해 조용히 악용하는 것보다, 공개 대회에서 발견돼 패치되는 것이 소비자에게 훨씬 낫다.
2024년 첫 대회부터 지금까지 총 200개 이상의 제로데이가 이 대회를 통해 발견됐다. 상당수가 패치됐다. 악의적인 해커가 이 취약점들을 먼저 발견해 조용히 악용하는 것보다, 공개 대회에서 발견돼 패치되는 것이 소비자에게 훨씬 낫다.
그러나 76개는 빙산의 일각이다
3일간 76개가 발견됐다는 것은 76개만 존재한다는 의미가 아니다. 연구자들이 3일 안에 찾아낼 수 있었던 것이 76개라는 의미다. 현대 SDV 플랫폼은 수억 줄의 코드로 구성된다. 코드가 있는 곳에 버그가 있다.
그래서 진짜 중요한 질문은 이것으로 바뀐다.
"취약점이 존재하는가?"가 아니라
"취약점이 발견됐을 때 얼마나 빠르게 분석하고 패치하고 배포할 수 있는가?"
Pwn2Own이 ISO/SAE 21434와 R155에 던지는 질문
이 대회 결과를 보면 왜 R155가 차량 출시 이후의 운영 단계를 CSMS 범위에 포함시켰는지가 명확해진다.
21434 Clause 15 — Continual Cybersecurity Activities (지속적 사이버보안 활동)
1
취약점 정보 수집·모니터링 — NVD, CVE, Auto-ISAC, Pwn2Own 같은 대회 결과까지 포함. 새로 발견된 취약점이 내 제품에 영향을 주는지 지속적으로 모니터링해야 한다.
2
영향 분석 — 발견된 취약점이 내 차량의 어떤 컴포넌트에 영향을 주는지, Attack Feasibility가 달라지는지 평가한다. TARA 업데이트 여부 판단.
3
취약점 대응 — 패치 개발, OTA 배포, 고객 통보. R155는 이 전체 프로세스를 CSMS의 일부로 요구한다.
4
사고 대응 — 실제 악용이 발생했을 때 대응 체계. 누가 무엇을 언제까지 해야 하는지 사전에 정의되어 있어야 한다.
ℹ️ 올해 Pwn2Own 결과가 TARA에 주는 시사점
EV 충전기가 주요 공격 대상이 됐다는 것은 V2G·충전 인프라가 차량 TARA의 Item Boundary에 포함되어야 할 수 있음을 시사한다. 충전기를 통한 차량 공격 경로(Attack Path)를 TARA에서 다루고 있는지 점검해볼 필요가 있다. USB 기반 Tesla 공격(Synacktiv)은 물리적 접근 위협 시나리오의 현실성도 다시 확인시킨다.
EV 충전기가 주요 공격 대상이 됐다는 것은 V2G·충전 인프라가 차량 TARA의 Item Boundary에 포함되어야 할 수 있음을 시사한다. 충전기를 통한 차량 공격 경로(Attack Path)를 TARA에서 다루고 있는지 점검해볼 필요가 있다. USB 기반 Tesla 공격(Synacktiv)은 물리적 접근 위협 시나리오의 현실성도 다시 확인시킨다.
🔧 이번 대회에서 보안 엔지니어가 주목해야 할 것
EV 충전기가 차량 TARA 범위에 들어오기 시작했다 — 충전기는 ISO/SAE 21434의 직접적인 적용 대상이 아니다. 하지만 충전기 취약점이 차량에 영향을 줄 수 있는 경로가 생긴다면 TARA에서 이 경로를 다뤄야 한다. 특히 OEM이 자체 충전 네트워크를 운영하는 경우라면 더욱 그렇다.
USB 기반 공격이 여전히 유효하다 — Synacktiv가 Tesla IVI를 USB 공격으로 뚫었다. USB 인터페이스는 "물리적 접근이 필요하니 위협 수준이 낮다"고 보는 경향이 있는데, 이번 결과는 USB가 여전히 현실적인 공격 벡터임을 보여준다. 정비소, 딜러, 발레파킹 상황을 가정한 물리적 접근 위협 시나리오를 TARA에서 어떻게 다루고 있는지 점검할 필요가 있다.
취약점 발견은 계속 늘어날 것이다 — 2024년 49개 → 2025년 49개 → 2026년 76개. 참가자가 늘고 연구가 깊어질수록 발견되는 취약점도 늘어난다. "우리 제품은 Pwn2Own에 나오지 않으니 괜찮다"는 것은 근거가 없다. 발견되지 않았을 뿐이다.
76개의 제로데이는 자동차 보안이 실패했다는 증거가 아니다.
차량이 이제 클라우드·모바일·OTA·소프트웨어 플랫폼과 연결된 시스템이 됐다는 증거다.
중요한 것은 취약점이 없는 차량을 만드는 것이 아니라 — 취약점이 발견됐을 때 빠르게 찾고, 분석하고, 패치하고, 배포할 수 있는 체계를 갖추는 것이다.
그것이 R155와 CSMS가 존재하는 이유고, 21434 Clause 15가 강조하는 이유다.
핵심 요약
1
Pwn2Own Automotive 2026 — 3일간 76개 제로데이, $1,047,000 상금 — 역대 최다 제로데이, 역대 최고 상금. Tesla IVI, EV 충전기, 차량 OS가 주요 타깃이었다. (Bleeping Computer, VicOne 공식 보도 기반)
2
EV 충전기가 새로운 주요 공격 대상으로 부상했다 — Fuzzware.io가 EV 충전기만으로 $215,500을 획득. 충전 인프라가 차량 사이버보안의 새로운 공격 표면이 됐다.
3
공격자는 연결이 많은 곳을 먼저 노린다 — IVI와 충전기는 Wi-Fi·Bluetooth·인터넷·USB 등 외부 인터페이스가 많다. 브레이크 ECU보다 훨씬 넓은 공격 표면이다.
4
76개 발견은 나쁜 소식이 아니다 — 단, 빙산의 일각이다 — 화이트햇이 먼저 찾아 제조사에 통보하는 구조. 하지만 발견된 것이 전부가 아니다.
5
R155·21434 Clause 15가 요구하는 것이 바로 이것이다 — 취약점 모니터링 → 영향 분석 → 패치 → OTA 배포 체계. 출시 이후가 더 중요해지는 시대다.
반응형
'차량 사이버보안 > V&V + 모의해킹' 카테고리의 다른 글
| 시큐어코딩 Rule 수천 개, 이걸 진짜 다 검증한다고?— 자동차 보안 V&V의 현실 (0) | 2026.05.27 |
|---|---|
| Verification와 Validation은 뭐가 다를까?— ISO/SAE 21434에서 가장 헷갈리는 두 개념 (1) | 2026.05.27 |
| 자동차 보안 테스트는 왜 ‘완벽할 수 없을까’— Residual Risk와 현실적인 보안의 한계 (0) | 2026.05.27 |
| 차량 Penetration Test는 왜 일반 IT 해킹과 다를까?— 자동차 보안 테스트가 어려운 진짜 이유 (0) | 2026.05.27 |
| 자동차 사이버보안 테스트는 실제로 무엇을 할까?— ISO/SAE 21434 Clause 11의 현실 (0) | 2026.05.27 |