구글 애플 MS 테슬라가 사이버 보안 대회 폰투온에서 해커에게 제품 해킹시키는 이유

빅테크 구글, 애플, MS, 테슬라는 제품의 취약점을 미리 알아내 보안을 강화하고 비용을 줄이려고 글로벌 사이버 보안 대회인 폰투온에서 제품을 해킹한 해커에게 해당 제품과 수억 원의 상금까지 준다. 삼성전자도 폰투온에 갤럭시 S23을 걸고 참여한 적 있다. 

해커 참여하는 글로벌 보안 대회 폰투온

폰투온(Pwn2Own)은 해커가 참여하는 글보벌 보안 대회이다. 주최는 미국의 3Com TippingPoint가 한다. 2010년 3월 캐나다 밴쿠버에서 처음 개최되었고 대회 첫날 구글이 크롬을 첫 번째로 해킹한 해커에게 2만 달러의 상금과 크롬북을 제시했다.
 

폰투온. secnews.gr

 
 폰투온 대회에는 해킹 대상에 따라 OS부문, 웹 브라우저 부문, 스마트폰 부문 등 다양한 카테고리가 있고 빠르게 변화하는  IT업계 특성상 매년 새로운 항목이 추가되고 변경된다. 
 
 그래서 최근 AI 열풍이 불면서 클라우드와 함께 가상화 서비스에 대한 기업의 관심이 특이 높아졌다. 참가 기업이 늘면서 차량 기업만을 대상으로 폰투온 오토모티브가 일본에서 2024년 1월 처음 개최되었다. 
 
 대회의 이름 PWN TO OWN은 Ieet에서 취약점을 이용해 권한을 얻어낸다는 의미로 사용하던 OWN과 OWN에서 오타로 인해 파생된 PWN을 조합해서 붙여졌다. 
 
 폰투온에서 해킹은 실제 제품을 대상으로 하며 대회 현장에서 해당 취약점이 실제로 작동한다는 것을 시현할 수 있어야 한다. 폰투온의 특징은 현재 IT업계 추세에 매우 민감하다. 
 
 데스크톱 소프트웨어가 중심인 메인 대회 장소는 캐나다 밴쿠버이다. 시간이 지남에 따라 다른 국가에서 모바일, 임베디드 대상으로 하는 대회가 별도로 분리되어 개최되고 있다. 
 
 한국인으로서는 경이로운 이정훈 해커가 2014년 iPhone 5S 사파리 브라우저 해킹에 성공했고 2015년에 크롬, IE11, Safari  최신 버전을 전부 해킹해서 총 상금 225,000 달러를 받았다.
 
 2024년 3월 정 광운 씨가 티오리(Theori)라는 팀 이름으로 참가해 VM웨어 가상화 서비스를 해킹에 성공해서 상금과 제품을 받았다. 특히 윈도 11과 우분투 리눅스 환경을 연계하는데 추가적으로 성공해서 초 13만 5천 달러(약 1억 8천만 원)의 상품을 받았다.
 

빅테크가 폰투온 대회에서 해커에게 취약점 찾게 하는 이유

전자 제품의 취약점은 해커가 악용하기 마련이라 미리 발견해서 조치를 취하는 편이 기업에게 보안이나 비용면에서 유리하다.
 
 제품의 정보가 공개되지 않으면 역설적이게도 오히려 보안환경이 개선되지 않아 급격하게 발전하는 사이버 위협에 더 취약하다. 국내에서도 보안에 대한 인식이 바뀌고 있으나 여전히 많은 기업들이 정보 공개를 하지 않는 것이 최선이라고 생각한다.
 
 반면 빅테크 MS나 구글의 경우는 폰투온뿐 아니라 제품의 취약점을 보고할 경우 위험도에 따라 최대 수억 원의 보상금을 제공하는 현상금 제도까지 운영 중이다. 
 
함께 읽으면 좋은 글
https://togethergoodeffect.tistory.com/entry/2024년-유럽연합과-미국-정부와-소비자들도-애플의-독점-문제-제기

맺음말

빅테크 구글, 애플, MS 테슬라는 제품의 취약점을 미리 알아내 보안을 강화하고 비용을 줄이려고 글로벌 사이버 보안 대회인 폰투온에서 제품을 해킹한 해커에게 해당 제품과 수억 원의 상금까지 준다. 삼성전자도 폰투온에 갤럭시 S23을 걸고 참여한 적 있다.