지엔, 글로벌 해킹대회 폰투온서 車 인포테인먼트 해킹 시연

[이데일리 김범준 기자] 보안 기업 지엔(ZIEN)은 글로벌 해킹대회 ‘폰투온 오토모티브 2025’에서 차량 인포테인먼트 해킹에 성공했다고 3일 밝혔다.

지엔 ‘폰투온 오토모티브 2025’ 현장 모습.(사진=지엔)

폰투온은 ZDI(Zero Day Initiative)가 주최하는 글로벌 해킹 대회로, 자동차 업계의 보안 취약점을 찾고 개선하는 것을 목표로 한다. 이번 행사는 지난 1월 22일부터 24일까지 일본 도쿄에서 열렸다.

행사 참가자들은 인포테인먼트, 테더링 장치, 진단 시스템 등 차량의 다양한 장치들의 보안 취약점을 찾아 시연하는 자리를 가졌다. 발견된 취약점은 제조사에 보고돼 실제 차량의 보안 개선에 활용된다.

지엔 연구팀은 행사장에서 일본 켄우드사의 차량 인포테인먼트 기기의 헤드 유닛을 분석, 명령어 삽입 공격을 통해 시스템 권한 탈취 및 관리자 권한을 획득하는 과정을 성공적으로 시연했다. 탈취한 권한을 통해 추가 분석을 진행하고 시스템 내 메모리 충돌을 발생시켰으며, 시스템 제어 코드를 실행해 관리자 권한을 획득했다.

폰투온 관계자는 “지엔이 보안 취약점과 관련해 작성한 화이트페이퍼가 대회에서 제출된 자료 중 가장 수준이 높았다”면서 “다음 폰투온에도 지엔팀이 참가하길 바란다”고 호평한 것으로 전해졌다.

지엔 연구팀은 지난해 주최측에 IVI(In-Vehicle Infotainment)의 알려지지 않은 취약점을 제보해 폰투온의 참가 자격을 받았다. IVI는 내비게이션, 차량 상태 모니터링, 전화 통화 등의 기능을 통합한 차량 내 인포테인먼트 시스템이다. IVI는 복수의 디바이스와 상시 연결되는 만큼 자동차 보안의 핵심 및 취약 요소로 꼽힌다.

조영민 지엔 대표는 “이번 폰투온 행사 참여가 지엔의 가능성과 기술력을 입증하는 데에 큰 이정표가 됐다”며 “이번 경험을 토대로 글로벌 시장에서 기술 선도 기업으로서 입지를 다지겠다”고 말했다.