지엔 “IoT 보안 전주기 자동화, 글로벌 규제 대응에 집중”
Source: Byline Network
조영민 지엔 대표 인터뷰
유럽연합(EU)이 사물인터넷(IoT)과 연결 제품의 보안 요구사항을 권고에서 의무로 강화하면서, EU로 수출하거나 EU의 공급망에 들어가는 국내 제조사는 개발 초기부터 보안 설계와 시험·문서 증빙을 함께 준비해야 하는 상황이다.
국내 IoT 보안 전문기업 **지엔(ZIEN)**은 이런 흐름을 올해 사업의 핵심 변수로 보고, 펌웨어 취약점 분석 자동화에서 규제 문서화, 소프트웨어 자재명세서(SBOM) 기반 공급망 관리, 보안 운영 모니터링까지 이어지는 ‘IoT 제품 보안 전주기’ 자동화 전략을 강화하고 있다.
“전문가 수작업이 병목” … 보안 컨설팅 경험이 창업으로 연결
지엔은 2021년 6월 설립한 IoT 제품·사이버물리시스템(CPS) 보안 전문기업이다. 조영민 지엔 대표이사는 화이트 해커 출신으로, 창업 전 글로벌 회계·전문서비스 기업 EY에서 글로벌 보안 컨설팅을 수행했다. 그는 제품 보안 점검이 전문가에게 과도하게 의존하는 구조를 반복해서 경험했고,
“제품 보안은 점검 범위가 넓고 반복 업무가 많아, 사람이 투입될수록 비용이 늘고 일정이 흔들리기 쉽다.”
라며, “수동으로 전문가들에 의해서만 작업이 진행되는 부분을 보면서, 비용과 리소스를 절감할 수 있는 플랫폼이 필요하다고 봐 창업을 결심했다”고 설명했다.
특히 펌웨어 분석 같은 작업이 사람 중심으로만 진행되면 공급 확대가 어렵다는 점을 문제로 삼았다. 그는 리버스 엔지니어링(역공학)과 같은 고도화된 기술도 자동화할 수 있다는 확신을 얻었으며, 이를 바탕으로 ‘개발에서 운영까지 IoT 제품의 전주기 보안을 자동화하는 플랫폼’을 지엔의 정체성으로 내세우고 있다.
“규제가 시장을 연다” … RED·CRA 본격화 예고
조 대표는 “초기에는 IoT·제품 보안 시장이 뚜렷하게 열리지 않았다”면서도, “최근 로봇, 카메라, 의료기기 등 실물 제품 영역에서 보안 요구가 빠르게 늘고 있다”고 설명한다. 기존에 IT·클라우드 중심이던 보안 요구가 이제는 로봇·기기·제품 쪽으로 이동하고 있으며, 특히 글로벌에서 제품 보안 규제·인증이 강제화되는 흐름이 커지고 있다.
- EU 무선장비지침(RED·Radio Equipment Directive): 2023 년 8월 1일부터 적용돼, 무선·연결 제품을 EU에 판매하는 기업이 보안 기능과 시험·기술문서 등 증빙을 갖추도록 요구한다.
- EU 사이버복원력법(CRA·Cyber Resilience Act): 범위를 확대해 ‘디지털 요소가 포함된 제품’ 전반에 보안 요구사항을 법적 의무로 묶으며,
- 2026 년 9월 11일부터 취약점·사고 보고 의무 시작
- 2027 년 12월 11일부터 주요 의무 전면 적용
조 대표는 “CRA는 적용 제품이 많고 과징금도 크다 보니 시장이 이 기준으로 통일될 것”이라며, “대기업이 먼저 준비하고, 이후 중견·중소 기업도 결국 따라갈 수밖에 없다”고 전망한다. 그는 ‘보안 기능 탑재’가 아니라 ‘보안 체계의 증명’이 핵심이라며, “무엇을 했는지뿐 아니라 어떻게 했는지를 문서화하지 않으면 수출 과정에서 문제가 될 수 있다”고 강조한다.
펌웨어·규제 문서화·SBOM·운영 모니터링까지 ‘IoT 보안 플랫폼화’
지엔의 제품 라인업은 IoT 보안 전주기를 자동화하는 데 초점을 맞춘다. 프로세스는 다음 네 단계로 구분된다.
- 개발 단계 – 취약점 발굴
- 상품화 단계 – 규제·인증 대응
- 운영 단계 – 구성요소·취약점 관리
- 현장 가시화 – 이상행위 모니터링
각 단계의 결과물이 다음 단계의 입력값이 되도록 설계되었다.
개발 단계 – Z‑IoT
조 대표는 “제품 안의 펌웨어에서 대부분의 취약점이 발견된다”고 강조하며, “펌웨어를 자동으로 취약점 분석하고, 바이너리 파일을 자동 분석하는 역공학 자동화를 주력으로 진행한다”고 설명한다. AI 기반 엔진을 적용해 취약점 탐지 결과를 개발자가 바로 조치할 수 있는 형태로 제공한다.
상품화 단계 – Z‑GRC
규제·인증 대응을 위해 ‘Z‑GRC’를 개발했다. 이는 인증 준비 서류 검토와 템플릿 작업을 자동화해 제조사가 원스톱으로 글로벌 인증을 받을 수 있도록 지원한다. 프랑스의 글로벌 인증기관 ‘뷰로 베리타스’와 협업해 인증서 발급까지 연계하는 체계를 구축하고 있다.
운영 단계 – Z‑BOM (SBOM 기반)
‘소프트웨어 자재명세서(SBOM)’ 기반 관리 플랫폼을 올해 상반기 출시 목표로 개발 중이다. SBOM은 제품에 포함된 오픈소스·라이브러리 목록을 제공한다. 조 대표는 “IoT 제품의 80 % 이상이 오픈소스를 사용하므로, 오픈소스 보안이 중요하다”고 강조한다. Z‑BOM은 취약점을 제품·버전·구성요소 단위로 추적·대응하는 운영 체계를 제공한다.
현장 가시화·이상행위 모니터링 – Z‑Sentinel
IoT 자산을 자동 식별하고 보안 이벤트를 감시하는 ‘Z‑Sentinel’ 솔루션을 개발 중이며, 올해 말 또는 내년 초에 출시할 계획이다. 현재는 공공 영역 디바이스 관리에 초점을 맞추고 있다.
핵심 기술
- 탐지 정확도: 글로벌 IoT 제품을 분석해 AI가 학습한 탐지 룰을 적용, 알려지지 않은 취약점도 높은 정확도로 탐지.
- 패치 연결성: AI 엔진이 안전한 코드 변환 방향까지 가이드해 개발자가 쉽게 수정할 수 있도록 지원.
KISA와 로봇청소기 점검 … ‘IoT 보안 제도 공백’도 함께 다룬다
지엔은 규제 대응이 서류 작업에 그쳐서는 안 된다고 본다. 지난해 한국인터넷진흥원(KISA)·한국소비자원과 공동으로 로봇청소기 보안 점검 사업을 수행해 주요 취약점을 탐지했다. 이 과정에서 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’이 제조사 협조 없이는 선제적인 취약점 분석을 어렵게 만든다는 제도적 공백을 확인했으며, 소비자보호원의 도움으로 소비자기본법 조항을 근거로 점검·공표가 가능함을 입증했다.
국내 대기업 제조사가 주요 고객, 의료·로봇 수요 … 올해 매출 20억원 목표
주요 고객은 삼성전자, LG전자, SK인텔릭스 등 대기업이며, 최근 로봇 제품군·디지털 사이니지 등에 솔루션을 적용하고 있다. 의료기기 분야에서도 수요가 급증하고 있다. 의료기기 수출 시 FDA 등 인증 요구가 강하고 일정이 고정돼 있어, 취약점 제거와 증빙 체계가 수출 가능 여부와 직결된다.
- 2023년 매출: 약 8억원
- 2024년 목표 매출: 20억원
- 투자: 2023년 시드 투자 2억원, 팁스(TIPS) 과제 완료, 2024년 시리즈 A 투자 유치 예정
조 대표는 “시리즈 A에서 기업가치를 크게 높게 평가받을 것으로 기대한다”고 밝히며, 확보된 투자금으로 국내 레퍼런스를 기반으로 유럽·중국·미국 등 해외 시장 진출을 준비할 계획이라고 전했다.
“IoT 보안, 법 시행 뒤 준비하면 늦어”
조 대표는 “IoT와 연결 제품에 보안이 적용돼야 유럽과 관련국에 수출할 수 있다는 인식이 아직 낮다”고 지적한다. “법이 시행된 뒤 준비하면 수출 일정이 늦어지고 매출에도 차질이 생긴다. 미리 준비해야 사업에 문제가 생기지 않는다.” 또한 IoT 제품이 늘어나면서 실제 사고가 발생하고 있으며, 한 번 사고가 발생하면 기업 이미지와 매출에 큰 타격을 줄 수 있다고 강조한다. 그는 “IT보다 방어책이 덜 들어간 IoT 영역은 사각지대가 될 수 있어 공격이 더 쉽게 이뤄질 수 있다. 피지컬 AI가 공격받을 경우 사회 안전에도 문제가 생길 수 있으니, 보안을 개발 단계부터 기본값으로 올려야 한다”고 강조했다.