Pwn2Own Automotive 2026 결과 분석. Tesla 인포테인먼트 해킹, EV 충전기 76개 제로데이 발견, 3년간의 성장 추이, UN R155 규제와 자동차 보안의 현주소.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
Pwn2Own Automotive 2026에서 3일간 76개 제로데이 취약점이 발견됐고 $1,047,000가 지급됐다. 테슬라 인포테인먼트가 뚫렸고, EV 충전기에서 둠(Doom)이 실행됐다. 하드코딩된 자격증명, 명령 주입 등 웹 시대에 해결된 취약점들이 자동차에서 반복되고 있다.
"충전기에서 둠(Doom)이 돌아갑니다."
핀란드 팀 Juurin Oy가 Alpitronic HYC50 충전기 화면에 FPS 게임을 띄우자 관객석에서 환호가 터졌다. 해커 문화의 전통이다. 코드 실행 권한을 증명하는 가장 확실한 방법은 그 장치에서 게임을 돌리는 것이다.
같은 날, Synacktiv 팀은 테슬라 인포테인먼트 시스템에서 root 권한을 획득했다. 3년 연속이다.
이것이 Pwn2Own Automotive 2026, 3일간의 시작이었다.
Pwn2Own 2026 공격 카테고리
Pwn2Own은 Trend Micro의 Zero Day Initiative(ZDI)가 주최하는 세계 최대 규모의 해킹 대회다. "Pwn"(해킹하다)하면 "Own"(소유하다)한다는 의미로, 참가자가 타깃 시스템의 취약점을 실시간으로 시연하면 이 장치와 상금을 가져간다.
핵심 규칙이 있다.
Automotive 카테고리는 2024년에 처음 신설됐다. 매년 도쿄에서 Automotive World 컨퍼런스와 함께 열린다.
| 일차 | 결과 |
|---|---|
| 1일차 (1/21) | 37개 제로데이, $516,500 |
| 2일차 (1/22) | 29개 제로데이, $439,250 |
| 3일차 (1/23) | 10개 제로데이, $91,250 |
합계: 76개 제로데이, $1,047,000
첫날에만 37개의 제로데이가 발견됐다. 2025년 대회 첫날보다 2배 이상 많은 숫자다.
Pwn2Own Automotive은 2024년에 처음 시작됐다. 3년 만에 어떻게 변했는가?
| 연도 | 결과 |
|---|---|
| 2024 (1회) | 49개 제로데이, $1,323,750, 우승: Synacktiv |
| 2025 (2회) | 49개 제로데이, $886,250, 우승: Sina Kheirkhah |
| 2026 (3회) | 76개 제로데이, $1,047,000, 우승: Fuzzware.io |
제로데이 발견 수가 49개에서 76개로 55% 증가(ZDI 공식 집계 기준)했다. 자동차 소프트웨어의 공격 표면이 그만큼 넓어졌다는 의미다.
Synacktiv 팀이 $35,000를 획득했다.
공격 경로는 USB 기반 진입 → 정보 누출(information leak) 취약점으로 메모리 레이아웃 파악 → Out-of-bounds 쓰기 취약점으로 코드 실행 → root 권한 획득이었다.
인포테인먼트 시스템을 장악하면 내비게이션, 카메라, 마이크, 연결된 앱에 접근 가능하다. Synacktiv는 2024년 대회에서도 테슬라를 해킹한 팀이다. 3년 연속 테슬라에서 취약점을 찾아냈다.
| 충전기 | 공격 내용 |
|---|---|
| Alpitronic HYC50 | Juurin Oy가 TOCTOU 레이스 컨디션으로 Doom 실행, Fuzzware.io가 OOB 쓰기로 $60,000 |
| ChargePoint Home Flex | Team DDOS가 명령 주입으로 $40,000. 이후 Fuzzware.io와 Sina Kheirkhah도 독립적으로 해킹 |
| Grizzl-E Smart 40A | 가장 많은 팀이 도전. 펌웨어에 비밀번호가 그대로 박혀있는 하드코딩 자격증명(CWE-798) 발견 |
| Phoenix Contact CHARX | 6개 팀이 성공. 인증 우회, 권한 상승, DoS, 명령 주입 등 다양한 취약점 |
| IVI 시스템 | 공격 내용 |
|---|---|
| Alpine iLX-F511 | 가장 많은 팀이 성공한 IVI. 스택 기반 버퍼 오버플로우 반복 발견 |
| Kenwood DNR1007XR | 이미 알려진 n-day와 새로운 제로데이 동시 발견. 기존 패치가 불완전했음을 의미 |
| Sony XAV-9500ES | Synacktiv가 3개 취약점을 체이닝하여 root 코드 실행 달성 |
| 항목 | 내용 |
|---|---|
| 팀명 | Fuzzware.io |
| 포인트 | 28점 (Master of Pwn) |
| 총 상금 | $215,500 |
Fuzzware.io의 멤버는 Tobias Scharnowski, Felix Buchmann, Kristian Covic. 이들은 독일 CISPA 헬름홀츠 정보보안 센터 출신으로, 펌웨어 퍼징(fuzzing) 전문가다. 2022년 USENIX Security에서 IoT 펌웨어 퍼징 도구 "Fuzzware"를 발표한 바 있다.
우승의 핵심은 하나의 제품이 아닌 여러 벤더의 충전기를 연속으로 해킹한 것이다. Autel($50,000), Alpitronic($60,000), Phoenix Contact($50,000), ChargePoint($30,000) — 4개 벤더의 충전기를 모두 뚫었다.
76개 제로데이에서 가장 빈번하게 등장한 취약점 유형:
| 취약점 유형 | 빈도 |
|---|---|
| 명령 주입 (CWE-78) | 가장 빈번 |
| 스택/힙 버퍼 오버플로우 (CWE-121/122) | 다수 |
| Out-of-bounds 쓰기/읽기 (CWE-787/125) | 다수 |
| 하드코딩된 자격증명 (CWE-798) | 충전기에서 반복 |
| 인증 누락/우회 (CWE-306) | 충전기에서 반복 |
주목할 점은 웹 애플리케이션에서 2000년대에 이미 해결된 취약점들이 자동차와 EV 충전기에서 반복되고 있다는 것이다. 하드코딩된 자격증명, 명령 주입, 인증 누락은 보안 기초에 해당한다.
왜 반복될까?
자동차 산업은 전통적으로 기계공학 중심이었다. 소프트웨어 보안 문화가 웹/클라우드 업계보다 10년 이상 뒤처져 있다. 개발 주기도 다르다. 웹 서비스는 취약점 발견 시 즉시 패치하지만, 자동차 펌웨어는 OTA 인프라가 없으면 리콜 수준의 대응이 필요하다.
자동차 사이버보안은 더 이상 선택이 아니다.
| 규제 | 내용 |
|---|---|
| UN R155 (2022~) | UNECE가 제정한 자동차 사이버보안 관리 시스템(CSMS) 의무화. EU, 한국, 일본 등 적용 |
| ISO/SAE 21434 | 차량 수명주기 전체에 걸친 사이버보안 엔지니어링 국제 표준 |
2024년 7월부터 EU에서 판매되는 모든 신차는 UN R155 인증이 의무다. 사이버보안 관리 체계 없이는 형식 승인 자체가 불가능하다.
Pwn2Own에서 발견된 76개 취약점은 이 규제의 실효성을 시험대에 올린다. 충전기에서 하드코딩된 비밀번호가 발견됐다는 것은, 규제가 존재해도 실제 구현 수준은 아직 미흡하다는 증거다.
벤더의 책임도 명확하다. Pwn2Own 규칙에 따라 발견된 취약점은 벤더에 보고되며, 90일 내 패치를 개발해야 한다. 이번에 발견된 76개 취약점은 2026년 4월경 상세 내용이 공개될 예정이다.
| 항목 | 권장 사항 |
|---|---|
| 소프트웨어 업데이트 | 차량 및 충전기 펌웨어 즉시 적용 |
| USB 기기 | 출처 불명 USB 연결 금지 |
| 충전기 선택 | 보안 업데이트를 제공하는 제품 선택 |
| 차량 연결 앱 | 불필요한 권한 최소화 |
Pwn2Own은 Zero Day Initiative(ZDI)가 주관하는 해킹 대회로, 발견된 모든 제로데이는 벤더에 90일의 패치 기간이 주어진다. 이 기간이 지나면 취약점 정보가 공개된다. 2026년 대회에서 76개의 제로데이가 발견됐다는 것은, 세계 최대 소프트웨어 기업들의 제품에서 76개의 이전에 알려지지 않은 취약점이 존재했다는 의미다.
Tesla 해킹은 차량의 인포테인먼트 시스템을 통한 원격 코드 실행이었다. CAN 버스 접근까지 달성한 팀은 상금 50만 달러를 받았다. 이는 커넥티드 카의 사이버 보안이 물리적 안전과 직결된다는 것을 다시 한번 증명했다.
Chrome과 Safari의 V8/JavaScriptCore 엔진 취약점은 매년 반복된다. JIT(Just-In-Time) 컴파일러의 타입 혼동(Type Confusion) 버그가 2026년에도 가장 많이 발견됐다. Microsoft Teams와 Zoom에서는 WebRTC 스택의 힙 오버플로우가 원격 코드 실행으로 이어졌다. 화상 회의 참여만으로 감염이 가능한 시나리오가 시연됐다.
Pwn2Own에서 공개된 76개 제로데이는 빙산의 일각이다. 합법적 취약점 시장에서 Tesla나 브라우저 제로데이의 가치는 10만-50만 달러 수준이지만, 비합법 시장에서는 이보다 5-10배 높은 가격에 거래된다. Zerodium의 공개 가격표에 따르면 iOS 원격 코드 실행 익스플로잇은 최대 200만 달러다.
Pwn2Own의 의의는 이런 제로데이를 합법적 경로로 공개하여 벤더에게 패치 기회를 제공하는 것이다. 2024년 대회에서 공개된 취약점은 평균 90일 이내에 패치됐다. 대회에서 공개되지 않았다면 이 취약점들은 APT 그룹이나 감시 업체에 판매되어 훨씬 오랜 기간 악용됐을 것이다.
Tesla의 참여가 주목받는 이유는 자동차가 물리적 안전에 직결되기 때문이다. Pwn2Own Automotive에서 시연된 공격은 인포테인먼트 시스템 장악, CAN 버스 접근, 충전 인프라 조작을 포함한다. 커넥티드 카의 공격 표면은 전통적 IT 시스템보다 넓고, 패치 배포가 OTA 업데이트에 의존하므로 취약 기간이 길다.
Pwn2Own Automotive에서 시연된 Tesla 해킹은 실험실 환경이지만, 실제 위협으로 연결될 가능성이 높다. 2024년 연구자들은 Tesla Model 3의 인포테인먼트 시스템을 통해 CAN 버스에 접근하고, 차량의 조향과 제동에 영향을 미칠 수 있음을 증명했다.
전기차 충전 인프라도 새로운 공격 표면이다. 충전기와 차량 간 통신 프로토콜(ISO 15118)에서 인증서 검증 취약점이 발견됐다. 악성 충전기가 차량의 결제 정보를 탈취하거나, 차량 펌웨어에 악성 업데이트를 주입할 수 있다.
UNECE WP.29 규정은 2024년부터 신차에 사이버보안 관리 체계(CSMS)를 의무화했다. 차량 수명 전 기간에 걸쳐 취약점 관리, 보안 업데이트, 침해 대응 체계를 유지해야 한다. Pwn2Own 같은 대회는 이 체계의 실효성을 검증하는 중요한 역할을 한다.
Pwn2Own 2026에서는 AI 기반 취약점 탐지 도구의 활용도 주목받았다. 일부 참가자는 퍼징(Fuzzing) 과정에 LLM을 통합하여 코드 구조를 분석하고 취약 지점을 예측하는 방식으로 제로데이를 발견했다. 이는 공격자와 방어자 모두 AI를 활용하는 시대의 도래를 보여준다.
취약점과 공격 관련 글
관련 보안 주제
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.