스틸리언, 폰투온(Pwn2Own) 2023서 취약점 익스플로잇 성공
Wyze Cam v3 해킹으로 최상위 권한 획득

[보안뉴스 박은주 기자] 사이버 보안 기업 스틸리언(대표 박찬암)이 캐나다 토론토에서 열린 글로벌 해킹 대회 폰투온(Pwn2Own) 2023에서 Wyze Cam v3 제품의 보안 취약점을 발견해 해킹에 성공했다고 30일 밝혔다.


폰투온은 매년 열리는 글로벌 해킹 대회로, 사용자들이 자주 접하는 장비나 솔루션들이 주요 공격 대상이 된다. 대중이 크게 체감할 수 있을 만한 유명 제품을 선정해 해킹을 시도하는 것이 대회의 주요 콘셉트이다.

주로 애플, 구글, 삼성 등 세계적으로 유명한 IT 기업 제품이 대상이다. 애플 아이폰 14, 삼성 갤럭시 S23과 같은 스마트폰을 포함하여 △프린터 △라우터 △NAS(Network Attached Storage) 장치 △홈 자동화 허브 △영상 감시 시스템 △스마트 스피커 등 다양한 카테고리로 나뉜다.

스틸리언은 영상 감시 시스템 카테고리의 Wyze Cam v3을 대상으로 취약점을 발견했다. 이후 취약점을 공격하는 익스플로잇을 개발해 해킹에 성공하고 루트 셸을 생성했다. 루트 셸은 시스템에서 최상위 권한 획득을 의미한다. 루트 셸 생성으로 해당 장치를 완전히 제어할 수 있다. 이에 관한 자세한 취약점 정보는 제조사와 개발사에만 전달된다.


대회는 김도현 스틸리언 선제대응팀장을 포함해 △선제대응팀의 임원빈, 박기태, 오세준, 구본근 선임연구원 △모바일연구팀의 문형일, 배원욱 선임연구원 △연구사업팀의 장재훈, 박성준 선임연구원이 함께 팀을 꾸려 참여했다. 스틸리언은 이번 수상으로 15,000달러(약 2,000만 원)의 상금을 획득했다고 밝혔다.

스틸리언 김도현 선제대응팀장은 “당장의 상금이나 수상도 기쁘지만, 더욱 큰 의미를 찾은 것이 이번 대회의 성과”라며, “함께 즐겁게 연구할 수 있는 환경을 조성하고 이를 지속하기 위한 노력의 결과가 구체적인 성과로 나타나 매우 기쁘다”고 말했다.

한편, 스틸리언은 글로벌 최고 수준의 해커들로 구성된 사이버 보안 회사다. 주요 사업은 △모바일 앱 보안 솔루션 앱수트(AppSuit) △보안 컨설팅 △해킹 및 보안 기술 R&D 등이 있다. 공공기관, 금융사, 글로벌 대기업 등 다양한 영역의 고객사를 300여 곳 이상 확보했다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>