XIoT 보안기업 지엔, '가장 위험한 펌웨어 취약점 5선' 리포트 발표

(지엔 제공)

XIoT 보안 전문 기업 지엔(ZIEN, 대표 조영민)이 10일 ‘2025 상반기 가장 위험한 펌웨어 취약점 TOP 5’ 리포트를 공개했다.

이번 리포트는 가정용 공유기, 차량용 인포테인먼트 시스템(IVI), 보안 카메라 등 다양한 IoT 기기에서 발견된 치명적 취약점을 중심으로 실제 공격 시나리오와 예상 피해 사례를 심층 분석했다.

지엔은 2021년 화이트해커 출신 조영민 대표가 설립한 융합 보안 전문 기업으로, 스마트홈, 모빌리티, 스마트시티, 스마트팩토리 등 다양한 분야에 IoT 보안 솔루션을 공급하고 있다.

지난해 국정감사에서는 중국산 IoT 기기의 해킹 시나리오를 직접 시연하며 현실적인 보안 위협을 입증했고, 최근에는 세계적 해킹대회 '폰투온'에서 차량 IVI 시스템의 취약점을 제보해 호평을 받았다.

이번 리포트에서 지엔은 상반기 가장 위험한 5대 취약점을 선정했다. 첫 번째는 A사 공유기의 원격 코드 실행 취약점으로, 인증 없이 악성 명령을 삽입해 공유기 전체를 장악할 수 있으며, 사용자 네트워크 트래픽 감시와 피싱 공격에 악용될 수 있다.

두 번째는 B사 차량 IVI 시스템의 파일 생성 취약점으로, 경로 검증이 미흡해 공격자가 악성파일을 시스템에 삽입할 수 있고, 이는 차량 제어 시스템에 직접적인 피해를 줄 수 있다.

세 번째는 C사 IP 카메라의 원격 명령 실행 취약점이다. 인증 절차 없이도 시스템 명령이 실행되어, 공격자는 카메라를 완전히 통제하거나 봇넷 악성코드에 기기를 편입시킬 수 있다.

네 번째는 D사 로봇청소기의 스트리밍 인증 우회 취약점으로, PIN 입력 없이 인증 토큰만 탈취해도 영상 및 음성 스트리밍에 접근할 수 있다.

다섯 번째는 E사의 EOL(End-of-Life) 기기에서 발견된 명령어 삽입 취약점으로, 제조사 지원이 끝난 기기에서 인증 없이 시스템 명령어가 실행돼 악성코드 감염과 내부망 침입에 악용될 수 있다.

지엔 보안 연구팀은 “2025년 상반기 IoT 보안의 핵심 키워드는 ‘넓어진 공격 표면, 미흡한 기본 보안’”이라며, 인증 우회, 입력값 검증 부재, EOL 기기의 방치가 가장 큰 위험 요인으로 지목된다고 설명했다.

이들 취약점은 대부분 단순한 웹 요청만으로 기기를 장악할 수 있다는 공통점을 지니며, 사생활 침해는 물론 기업망 침투, 랜섬웨어 유포 등 2차 피해로 이어질 수 있다.

조영민 대표는 “IoT 보안 위협은 더는 추상적인 개념이 아니라 일상에서 벌어지는 현실적인 문제”라며 “기업과 개인 모두가 자산 보호를 위해 정기적인 보안 점검과 펌웨어 업데이트를 생활화해야 한다”라고 당부했다.

리포트 전문은 지엔 공식 홈페이지에서 확인할 수 있다.