보안 전문 기업 페토웍스(PetoWorks)가 세계 최고 권위의 해킹 대회인 ‘Pwn2Own(폰투온)’에서 2년 연속 타깃 시스템 공략에 성공하며 글로벌 수준의 보안 연구 역량을 증명했다. 페토웍스는 지난 1월 23일 일본 도쿄에서 막을 내린 ‘Pwn2Own Automotive 2026’에 참가해 다수의 취약점을 시연하고 상금을 획득하며 종합 순위 4위(Global Rank #4)를 기록했다. 실전 보안 검증의 최전선에 있는 트렌드마이크로의 제로 데이 이니셔티브(ZDI)가 주관하는 Pwn2Own은 실제 상용 제품을 대상으로 알려지지 않은 취약점(Zero-day)을 찾아내 공격을 시연하는 대회다.
이번 Automotive 도쿄 대회는 테슬라(Tesla) 등 글로벌 기업의 후원 하에 진행됐으며, 단순한 차량 내부망 해킹을 넘어 전기차(EV) 충전 인프라와 커넥티드 시스템 전반으로 보안 검증 범위를 확대한 것이 특징이다. 페토웍스는 이번 대회에서 자동차 보안의 핵심으로 떠오르는 ‘충전 인프라’와 ‘인포테인먼트 시스템’을 집중 공략했다.
페토웍스는 전기차 충전 제어기(EVSE) 내의 복잡한 통신 프로토콜과 펌웨어를 분석해 EV 충전 인프라(Phoenix Contact, Grizzl-E) 시스템 제어권을 탈취하는 데 성공했다. 또한 차량 내·외부를 연결하는 게이트웨이 역할을 하는 IVI 시스템(Kenwood)에서도 유효한 취약점을 입증했다. 이는 페토웍스가 지난 2025년 아일랜드 대회에서 캐논(Canon) 사의 프린터를 공략한 데 이어 올해는 자동차 및 전력 인프라 분야로 기술적 스펙트럼을 성공적으로 확장했음을 의미한다. 하드웨어와 소프트웨어가 결합된 임베디드 환경에 대한 깊은 이해 없이는 불가능한 성과다.
이번 대회의 성과는 단순히 상금을 획득했다는 사실을 넘어 급변하는 모빌리티 환경에서 페토웍스의 연구가 갖는 산업적 가치를 보여준다. 최근 자동차 산업이 SDV(Software Defined Vehicle)로 전환됨에 따라 차량은 외부와 끊임없이 데이터를 주고받는 ‘거대한 IoT 기기’가 됐다. 특히 페토웍스가 집중한 EV 충전기는 전력망(Smart Grid)과 결제 시스템이 연동된 국가 핵심 인프라로, 해킹 시 단순 고장을 넘어 대규모 정전이나 데이터 유출 등 사회적 재난으로 이어질 수 있는 고위험 영역이다.
페토웍스는 이번 대회를 통해 이러한 고난도 타깃의 취약점을 선제적으로 발견하고 증명함으로써 제조사가 미처 파악하지 못한 보안 사각지대를 해소하는 데 기여했다. 이는 공격자 관점(Offensive Security)의 실증적 연구가 미래 모빌리티 생태계의 안전성을 확보하는 데 필수적인 요소임을 재확인시킨 계기가 됐다. 페토웍스는 이번 대회에서 발견된 취약점 정보를 벤더사에 제공해 보안 패치 개발을 지원하는 한편, 앞으로도 모빌리티 및 스마트 인프라 분야의 고도화된 위협을 선제적으로 탐지하는 심층 연구를 지속해 나갈 계획이다.
){kind=small}
){kind=small}
){kind=small}
){kind=small}
