사고/사건
[PATCH] Pwn2Own Berlin 2026 최종 결과 — 47개 제로데이, $1,298,250, DEVCORE 'Master of Pwn'
보도일: 2026년 5월 16일|수집일: 2026년 5월 18일
요약
Pwn2Own Berlin 2026이 3일간 총 47개 고유 제로데이 취약점을 시연하며 $1,298,250 상금을 지급, 역대 최대 규모로 마감됐다. 싱가포르 보안기업 DEVCORE가 50.5포인트, $505,000으로 'Master of Pwn' 우승을 차지했다.
본문
5월 14~16일 독일 베를린 OffensiveCon 기간에 개최된 Pwn2Own Berlin 2026은 10개 카테고리, 31개 공격 대상을 편성했다. Day 1에서 24개 제로데이로 $523,000이 지급됐고(기존 보도), Day 2에서 15개 추가 제로데이로 $385,750이 지급되며 누적 상금이 $900K를 돌파했다. Day 2에서는 Microsoft Exchange와 Red Hat Enterprise Linux가 해킹됐다. Day 3에서 8개 추가 제로데이가 시연되며 총 47개, $1,298,250으로 마감됐다. DEVCORE(싱가포르)가 50.5포인트와 $505,000로 1위, STARLabs SG가 25포인트와 $242,500로 2위, Out Of Bounds가 12.75포인트와 $95,750으로 3위를 기록했다. 올해 대회에서는 AI 데이터베이스, AI 코딩 에이전트, 로컬 추론 플랫폼, 엔비디아 AI 스택 등 4개 AI 카테고리가 신설됐으며, 참가 신청이 정원을 초과하여 일부 연구자들의 제로데이가 대회 밖에서 독자 공개되기도 했다.
시사점
47개 제로데이가 3일 만에 시연된 것은 공격 도구와 기법의 고도화가 빠르게 진행되고 있음을 보여준다. AI 카테고리 신설은 AI 기반 차량 기능(음성 비서, ADAS 추론 등)이 새로운 공격면이 될 수 있음을 시사한다. OEM과 부품사는 정기적인 취약점 점검 주기를 단축하고, 보안 연구 커뮤니티와의 협력(버그 바운티, 취약점 공개 정책)을 강화할 필요가 있다.