PetoWorks팀, Pwn2Own Ireland 2025서 Canon 프린터 제로데이 성공
- Pwn2Own Ireland 2025에서 73개 0Day에 102만 달러 상금 지급
- PetoWorks팀 Pwn2Own에서 Canon 프린터 0-Day 성공
73개 제로데이 공개
2025년 10월 아일랜드 코크(Cork)에서 열린 글로벌 보안 경연대회 Pwn2Own Ireland 2025가 성황리에 막을 내렸다. 이번 행사는 트렌드마이크로(Trend Micro)의 Zero Day Initiative(ZDI) 가 주관했으며, 전 세계 보안 연구자와 화이트해커, 보안 기업 연구소, 주요 제조사들이 대거 참여했다. 대회는 실환경 임베디드 장비를 대상으로 제로데이(미공개 취약점) 공격을 시연하는 실전형 보안 대회로, 올해는 총 73개의 신규 제로데이 취약점이 공개되며 역대 최대 규모로 기록됐다.
총상금 102만 달러, 실전 공격 체인 경쟁 치열
ZDI는 이번 대회를 통해 총 1,024,750달러(약 14억 원)의 상금을 지급했다. 첫날에만 34개의 새로운 취약점이 공개됐으며, 연구자들은 프린터·NAS·스마트홈·라우터·IoT 기기 등 다양한 범주의 장비를 해킹했다.
가장 높은 상금인 10만 달러는 QNAP Qhora-322 라우터와 QNAP TS-453E NAS를 연쇄 공격한 ‘SOHO Smashup’ 카테고리의 익스플로잇을 체인한 팀에게 돌아갔다. 그 외에도 Synology DP320 백업 어플라이언스, Sonos Era 300 스마트 스피커, 삼성 Galaxy S25 익스플로잇 각각이 5만 달러씩을 차지했다.
홈 오토메이션 기기인 Home Assistant Green의 제로데이 공격에는 4만·2만·1만2500달러가 지급됐으며, Philips Hue Bridge 해킹은 4만 달러, Canon 및 HP 프린터 공격은 각각 2만 달러, 1만 달러의 보상금을 기록했다.
한국 PetoWorks, Canon 레이저 복합기 제로데이 성공
주목할 만한 성과는 한국의 보안 연구팀 PetoWorks가 Canon의 레이저 복합기 imageCLASS MF654Cdw 모델을 대상으로 한 익스플로잇에 성공한 것이다.
PetoWorks는 네트워크 인터페이스 프로토콜 처리 과정에서 권한 상승 취약점과 코드 실행 체인을 기반으로 제한된 시간 안에 제로데이를 안정적으로 재현했다. 현장 검증을 통과한 해당 제로데이는 즉시 ZDI를 통해 Canon 본사에 전달됐으며, Canon은 향후 펌웨어 업데이트를 통해 문제를 수정할 예정이다.
PetoWorks는 “국제 무대에서 한국 연구팀의 기술력을 입증할 수 있어 기쁘다”며 “준비 기간은 짧았지만, 실전 환경에서의 분석 경험이 큰 도움이 됐다”고 소감을 밝혔다.
‘1백만 달러 WhatsApp 제로클릭’ 시연 무산
이번 대회에서 가장 큰 관심을 모았던 시연은 메타(Meta)가 후원한 WhatsApp 제로클릭(remote code execution) 익스플로잇이었다. 해당 공격은 사용자의 조작 없이 메시지 수신만으로 원격 코드 실행이 가능한 것으로, 성공 시 상금 100만 달러가 책정돼 있었다.
그러나 중국 출신으로 알려진 연구자 Eugene(닉네임 3ugen3, Team Z3)이 마지막 날 시연을 철회하면서 대회장은 아쉬움과 논란이 뒤섞였다. ZDI 측은 “연구자가 ‘공개 시연을 위한 완성도 부족’을 이유로 철회했다”고 밝혔으며, 메타 역시 “유효한 연구 결과는 검토 중이며 협력에 감사한다”고 공식 입장을 전했다.
이 사건은 대회 일정 지연과 함께 보안 업계 내에서 기술적 신뢰성에 대한 논의로 이어졌다. 일각에서는 “Pwn2Own의 투명한 공개 시연 원칙이 유지된 것이 오히려 대회의 신뢰도를 높였다”는 평가도 나왔다.
글로벌 해킹 경쟁의 현재와 의미
Pwn2Own은 2007년 브라우저 해킹 대회로 시작해 현재는 자동차, 산업 제어 시스템, IoT, 클라우드 등으로 영역을 확장했다. 특히 이번 아일랜드 대회는 네트워크 장비와 임베디드 시스템, 스마트홈 기기 등 현실 기반 디바이스의 보안을 점검하는 데 중점을 두었다.
ZDI 관계자 더스틴 차일즈(Dustin Childs)는 “대회에서 공개된 제로데이는 단순한 해킹 시연이 아니라, 실제 기업과 사용자가 직면할 수 있는 위협을 사전에 발견하고 산업 전반의 보안을 강화하기 위한 과정”이라고 강조했다.
올해 대회는 결과적으로 한국 PetoWorks의 Canon 제로데이 성공과 Team Z3의 WhatsApp 시연 철회라는 이슈가 우리의 관심을 끌만한 주제였다. Pwn2Own Ireland 2025는 해커의 기술적 도전과 기업의 보안 협력이 교차하는 장으로서, 다음 해 대회에서는 보다 높은 수준의 실전 해킹 경쟁이 예고되고 있다.
Related Materials
- Hackers earn $1,024,750 for 73 zero-days at Pwn2Own Ireland 2025, 2025년
- Pwn2Own Ireland 2025: $1M Reward for 73 Zero-Day Exploits, 2025년
- Pwn2Own Ireland 2025 Offers $1 Million Reward For WhatsApp Zero-Click Exploit, 2025년
- Pwn2Own Ireland 2025: The Hacks, The Winners, and The Payouts, 2025년
- Zero Day Initiative — Pwn2Own Ireland 2025: Day One Results, 2025년
문가용 기자
문가용 기자
