일본 도쿄에서 열린 Pwn2Own Automotive(폰투오운 자동차) 2024 해킹 대회에서 총 48개의 제로데이 취약점이 발견됐고 총 상금은 110만1,500달러에 달했다. 1위 팀은 시낵티브(Synacktiv) 팀이 차지했다.

우승을 차지한 시낵티브 팀은 대회 첫날, 테슬라 모뎀을 루팅하는 데 성공해 29만 5천 달러의 상금을 거머쥐었고 이후 3개의 체인을 활용해 총 7개의 제로데이를 악용하고 Ubiquiti Connect EV와 JuiceBox 40 스마트 EV 충전소를 해킹하는데 성공했다.

둘째 날에도 시낵티브는 샌드박스 탈출을 위해 제로데이 버그 2개를 체인으로 연결해 테슬라 인포테인먼트 시스템을 성공적으로 공격해 10만 달러의 상금을 획득했다.

시낵티브 팀은 공격 대상을 테슬라에만 국한하지 않았다. 이들은 오토모티브 그레이드 리눅스 운영 체제에 대한 기술을 바탕으로 세 개의 체인 제로데이 익스플로잇을 통해 3만5,000달러를 추가로 획득했다.

이틀간의 치열한 경쟁을 통해 참가자들은 총 48개의 제로데이를 찾아냈다.

오토모티브 월드 자동차 컨퍼런스 기간에 열린 이번 해킹 대회는 전기차 충전기, 인포테인먼트 시스템, 안드로이드 오토모티브 OS 및 블랙베리 QNX와 같은 자동차 운영 체제 등 다양한 시스템을 대상으로 진행되었다. 전기차 시장의 선두주자인 테슬라는 자사 모델인 테슬라 모델 3/Y와 모델 S/X 시스템에 보안 허점을 발견하게 됐다.

대회가 종료된 후 트렌드마이크로 제로데이 이니셔티브가 제로데이를 공개하기 전에 공급업체는 90일 동안 제조업체가 취약점을 해결하고 잠재적인 사이버 위협으로부터 시스템을 강화할 수 있는 기간이 주어진다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★