안녕하세요. 저는 IoT 보안 연구를 진행하고 있는 X-IoT 보안회사 지엔의 연구개발팀 선임 연구원 박한렬입니다. IoT 보안을 연구하며 연구 성과 발표, 버그 바운티 제보, 대회 참여 등 다양한 활동을 이어가고 있습니다. 입사 후 지난 3년간 다수의 취약점을 제보하며 경험을 쌓아왔고, 2024 DEFCON IoT Village에서 연구 성과를 발표하며 연구자로서의 자신감이 점점 상승했습니다. 이러한 경험을 바탕으로, 더 큰 도전을 위해 팀원들과 함께 Pwn2Own Ireland 2024 대회에서 IoT 제품의 Pre-Auth 취약점 2건을 제보하는 것을 목표로 삼았습니다. 그러나 지나치게 많은 장비를 분석하려는 무리한 접근 방식으로 인해 자원과 인력 분배의 한계를 마주했고, 결국 목표를 달성하지 못하는 아쉬운 결과를 경험했습니다. 이번 발표에서는 해당 실패 경험을 바탕으로, 취약점 분석 접근법의 한계와 실패 요인에 대해 중점적으로 다룰 예정입니다. IoT 기기는 하드웨어 아키텍처, 운영체제, 미들웨어, 웹 인터페이스 및 애플리케이션 구성의 다양성으로 인해 장비별 분석 전략이 크게 달라질 수 밖에 없습니다. 이러한 다양성은 분석 중 주요 지점을 간과하거나 불필요한 자원 낭비로 이어질 위험이 있습니다. 특히, 하드웨어 분석 중 예상치 못한 고장이 발생할 경우 해외 제품 특성상 장비 추가 구매나 수리에 많은 시간과 비용이 소요될 수 있음을 깨달았습니다. 이와 같은 경험을 통해 체계적이고 전략적인 접근 방식이 프로젝트 성공에 필수적임을 절실히 느꼈습니다. 이 발표는 IoT 보안 연구를 준비하는 학생과 연구자 여러분께 실패에서 얻은 교훈과 실질적인 분석 전략을 공유함으로써, 향후 연구와 프로젝트 성공의 발판이 될 정보를 공유하고자 합니다.