“고민보다 GO!”... ‘Pwn2Own’ 무대 밟은 언더독 화이트해커의 생생한 기록

김동희 연구원, 제로데이 취약점 발굴부터 현장 시연까지 ‘Pwn2Own Automotive’ 실전 노하우 전수
AI 활용한 자동화 분석 환경 구축 및 ‘오픈클로’ 보안 신뢰 모델 등 최신 보안 리서치 트렌드 공유

[보안뉴스 조재호 기자] “대회를 준비하며 수많은 물리적 제약과 예기치 못한 변수에 부딪혔지만, 다각도의 공격 표면(Attack Surface)을 끈질기게 분석하며 돌파구를 찾았습니다. 글로벌 무대를 향한 도전이 고민된다면 망설이지 말고 ‘GO’ 하세요.”

김동희 연구원이 글로벌 해킹 대회 ‘Pwn2Own Automotive 2026’ 무대를 누비고 돌아와 남긴 도전의 메시지다. OWASP(Open Web Application Security Project) 서울 챕터가 3월 31일 서울 강남구 디캠프(D.CAMP) 선릉에서 개최한 2026년 3번째 오프라인 세미나에서는 이처럼 화이트해커들의 생생한 실전 노하우와 치열한 고민이 집중적으로 다뤄졌다.

‘최신 보안 리서치 트렌드- Pwn2Own·OpenClaw’를 주제로 열린 이번 행사는 김동희 연구원의 ‘Underdog's Road to Pwn2Own’ 발표로 포문을 열었다. 2019년 차세대 보안리더 양성 프로그램(BoB) 8기를 수료한 뒤 5년간 오펜시브 리서치 분야에서 경력을 쌓아온 그는, 2025년 12월 퇴사 후 팀원들과 함께 팀을 꾸려 출사표를 던졌다.

Pwn2Own은 취약점을 발견하고 이를 현장에서 시연해 상금을 획득하는 대회다. 자동차 부문은 테슬라, 인포테인먼트, 전기차(EV) 충전기 등을 대상으로 참여한다. 김 연구원은 목표 선정부터 연구, 취약점 발굴, 익스플로잇 개발, 그리고 반복적인 환경 테스트로 이어지는 치열한 준비 과정을 상세히 설명했다.

전기차 충전기인 ‘CHARX SEC-3150’의 외부 노출 포트와 실제 방화벽 정책을 비교 분석함으로써 공격 지점을 도출하는 기술적 통찰력을 공유해 참석자들의 큰 호응을 얻었다. 분석 과정에서 AI를 활용한 노하우도 소개해 눈길을 끌었다.

김 연구원은 ‘클로드 코드’를 적극적으로 사용하되, 반복되는 권한 요청 및 보안 문제를 해결하기 위해 별도의 도커(Docker) 환경을 구축해 자동화된 분석 시스템을 운영했다고 밝혔다.

발표 말미에는 구글 크롬(Google Chrome) 등을 타깃으로 하는 ‘Typhoonpwn 2026’ 참가 계획을 밝히며 청중들의 도전을 거듭 독려했다.

두 번째 세션에서는 보안 컨설팅 기업 디보(Dvuln)와 에테르 AI(Aether AI)의 대표인 제이미 오 라일리(Jamie O'Reilly)가 ‘AI 주도 보안 및 엔터프라이즈 과제’에 대해 발표했다. 15세에 호주 거리에서 해커들의 공격을 지켜보며 보안에 입문했다는 독특한 이력을 가진 그는, 현재 자율형 AI 에이전트 플랫폼 ‘오픈클로’의 시큐리티 어드바이저로 활동 중이다.

제이미 대표는 AI를 활용함으로써 취약점 발견부터 실제 공격까지 걸리는 시간이 단 1~2일 이내로 단축된 현실을 짚어보고, 실제 호주 디지털 운전면허증의 보안 제어를 우회한 사례를 소개했다.

그는 시스템보다 개발자와 빌드 파이프라인을 노리는 인적 취약점의 위험성을 경고하며, 오픈클로가 지향하는 △투명성 △로드맵 △코드 리뷰 △트리아지 중심의 ‘4단계 신뢰 프로그램’을 기업의 새로운 방어 전략으로 제시했다.

이번 세미나는 AI라는 강력한 도구를 손에 쥔 공격자들에 맞서, 국내외 화이트해커들이 어떤 실전적인 고민과 도전을 이어가고 있는지 확인해준 자리였다.

[조재호 기자(zephyr@boannews.com)]

우리나라 정보보호 수준 향상을 위해 이재명 정부에게 가장 바라는 점은 무엇인가요?
	ISMS 등 보안 인증 제도 실효성 개선
	AI 보안, 양자보안 등 보안 기술 연구개발 지원 확대
	중소 기업 보안 지원 확대
	기업 보안 예산 비율 의무화
	국가 정보보호 거버넌스 체계 정비
	기타(댓글로)