모든 것이 어떻게 시작되었는지
Pwn2Own은 단순한 경쟁 이상의 혁신의 입증 토대이자 보안의 높은 이해 관계를 강력하게 상기시켜 줍니다. 일반적으로 사용되는 장치와 소프트웨어의 취약점을 노출하여 전년도 이벤트 이후 사이버 보안 발전을 위한 중요한 체크포인트 역할을 합니다.
2007년 캐나다 밴쿠버에서 열린 CanSecWest 보안 컨퍼런스에서 시작된 이래 Pwn2Own은 크게 성장했으며 현재 매년 3건의 이벤트를 개최하고 있습니다.
Pwn2Own의 진화: 보상 받기
Pwn2Own은 10,000달러의 상금으로 소규모 콘테스트에서 세계에서 가장 권위 있는 해킹 대회로 성장하여 이벤트당 1백만 달러 이상을 수여했습니다. 진화하는 규칙은 변화하는 위협 환경을 반영하며 브라우저, 운영 체제, 서버 및 2019년 이후 자동차를 포함하도록 확장됩니다. 이러한 명성을 통해 트렌드마이크로의 ZDI(Zero Day Initiative™)는 전 세계 최고의 연구원들과 협력할 수 있었습니다.
Pwn2Own의 공개 프로세스는 공급업체와 연구원이 실시간으로 취약점을 논의하면서 직접 협업할 수 있는 최고의 포럼 중 하나입니다. 이로 인해 우리는 전 세계 최고의 연구원과 협력할 수 있었습니다.
Pwn2Own 2025
2025년 가을
흥미로운 이벤트가 다가오고 있습니다.
우리는 모든 것을 하나로 모으고 큰 일을 하고 있습니다. 모든 세부 사항을 곧 확인해 보세요. 놓치지 마세요!
2025년 5월
Pwn2Own 베를린
Pwn2Own은 독일 베를린에 착륙합니다! 앞으로 몇 주 동안 규칙, 장소, 경품 풀 등을 공개해 드리겠습니다.
원래 경쟁의 17년이 다가옴에 따라 사이버 보안 연구의 변화하는 환경을 반영하기 위해 진화하고 있습니다. 트렌드마이크로의 목표는 공격적인 보안 커뮤니티와 지속적으로 연계하여 최고 연구원들이 업계를 선도하는 공급업체의 최신 보안 발전에 대한 전문 지식을 보여줄 수 있는 기회를 제공하는 것입니다.
2025년 1월
Pwn2Own Automotive 2025 살펴보기
Pwn2Own Automotive 2025에서 자동차 사이버 보안의 궁극적인 과제에 대해 들어보셨습니까? 최고의 인재를 모아 업계 리더에게 기술을 소개하는 동시에 혁신을 주도하여 모든 사람이 차량을 더 안전하게 사용할 수 있도록 했습니다. 이 이벤트는 획기적인 기부와 현금 상품, 트로피 및 글로벌 인정을 받을 수 있는 기회를 제공했습니다. 우리는 이전에는 공개적으로 입증되지 않았던 EV 충전기에 대한 연구를 포함하여 49일 동안 886,250달러를 수여했습니다. Sina Kheirkhah는 총 222,250달러를 벌어 Pwn 석사상을 수상했습니다.
전체 그림: Pwn2Own 동안 유지
Pwn2Own Automotive 2025
1월 22-24일 도쿄에서 개최된 이 행사는 최신 자동차 부품을 테스트하기 위해 세계 최고의 연구원들을 모았습니다. 주요 파트너에는 혁신 대기업인 VicOne과 Tesla가 포함되었습니다.
Pwn2Own Ireland 2024
아일랜드 코크에 있는 트렌드마이크로 사무실에서 열린 2024년 이벤트는 최대 $300,000의 잠재적 수익을 제공하는 Meta 후원 WhatsApp 카테고리를 포함한 새로운 카테고리를 도입했습니다. 또한 AI 지원 장치는 처음으로 탑재되었으며 스마트폰, NAS 시스템 및 AI 기능을 갖춘 카메라를 포함합니다. 4일 동안 우리는 70일 이상의 취약점에 대해 1백만 달러 이상을 수여했으며 Viettel Cyber Security를 Pwn의 마스터로 선정했습니다.
Pwn2Own Vancouver 2024
Pwn2Own은 캐나다 밴쿠버의 CanSecWest 컨퍼런스로 돌아와 엔터프라이즈 서버 및 애플리케이션의 최신 악용을 강조했습니다. 총 29일 동안 1,132,500달러를 수여했습니다. Manfred Paul은 Pwn의 석사로 선정되었습니다. 대회 기간 동안 4개의 브라우저(Chrome, Edge, Safari 및 Firefox)를 모두 활용하여 총 202,500달러와 25포인트를 획득했습니다. 또한 이 이벤트는 Docker를 대상으로 소개했으며 STAR Labs SG 팀은 컨테이너 탈출을 실행하기 위해 두 개의 버그를 결합했습니다. Valentina Palmiotti는 참조 카운트 버그의 부적절한 업데이트를 사용하여 Windows 11에서 권한을 확대했습니다. 이 상은 2024 Pwnie Awards에서 “최고의 특권 확대”를 수상했습니다. 다른 주요 기능으로는 Oracle VirtualBox 익스플로잇과 모든 주요 OS에 대한 권한 에스컬레이션이 있었습니다.
Pwn2Own Automotive 2024
첫 번째 Pwn2Own Automotive는 Automotive World 컨퍼런스에서 도쿄에서 라이브로 방송되었습니다. 응답은 모든 범주에 걸쳐 45개 이상의 항목을 포함하여 기대치를 초과했습니다. 이벤트 기간 동안 1,323,750달러를 수여했고 49일의 특별한 제로데이를 발견했습니다.
Pwn2Own Toronto 2023
Pwn2Own의 소비자 에디션은 휴대폰, 감시 시스템 및 소규모 사무실 설정과 같은 표적이 있는 Trend의 토론토 사무실로 돌아왔습니다. 이 이벤트는 마지막 순간에 보안 푸시를 진행하고 연구원들이 영향력이 큰 익스플로잇을 시연하면서 상당한 관심을 끌었습니다. Synacktiv는 Wyze 카메라에서 제로 클릭 익스플로잇을 선보였으며, Xiaomi 13 Pro에 대한 성공적인 공격은 Xiaomi가 글로벌 네트워크의 일부를 비활성화하도록 이끌었습니다. 총 1,038,500달러가 58일 동안 수여되었으며, Team Viettel은 180,000달러와 30포인트로 Pwn 마스터 타이틀을 획득했습니다.
Pwn2Own Vancouver 2023
CanSecWest에서 Pwn2Own은 27일의 제로데이를 공개하고 1,035,000달러와 Tesla 모델 3을 수여했습니다. Tesla는 게이트웨이와 여러 하위 시스템을 표적으로 삼아 루트 액세스를 얻습니다. M2의 SharePoint와 macOS도 침해되었으며, 광범위한 Windows 취약점이 발견되었습니다. Synacktiv는 $530,000, 53포인트로 Master of Pwn과 Tesla Model 3에서 우승했습니다.
Pwn2Own Miami 2023
ICS/SCADA 컨테스트는 플로리다주 마이애미 비치에서 열린 S4 컨퍼런스로 돌아와 16개의 참가작에서 10개의 제품에 걸쳐 27일의 제로데이를 공개했습니다. 처음으로 AI가 역할을 수행했으며, Claroty는 6 익스플로이트 체인에서 Softing Secure Integration Server를 표적으로 하는 ChatGPT를 사용했습니다. 상금은 총 153,500달러였고 Claroty의 82팀은 98,500달러로 Pwn의 석사를 청구했습니다.
Pwn2Own Toronto 2022
트렌드마이크로 사무실에서 개최된 첫 번째 토론토 Pwn2Own은 13개 제품을 대상으로 36개 팀의 66개 항목을 포함하여 역사상 가장 큰 이벤트가 되었습니다. 63일 동안 총 989,750달러의 상금이 수여되었습니다. 하이라이트에는 SOHO Smashup 카테고리, Samsung Galaxy S22 익스플로잇, Lexmark 프린터가 주크박스로 바뀌었습니다. DEVCORE는 142,500달러로 Master of Pwn을 수상했습니다.
Pwn2Own Vancouver 2022
Pwn2Own은 밴쿠버에서 15주년을 맞이하여 25일 동안 1,155,000달러를 수여했습니다. Day One은 Microsoft Teams 익스플로잇을 포함하여 $800,000의 기록을 세웠습니다. Day Two는 Tesla Infotainment 해킹을 특징으로 했으며 Day Three는 Windows 11 권한 에스컬레이션을 확인했습니다. STAR Labs는 $270,000와 27포인트로 Pwn 석사 타이틀을 획득했습니다.
Pwn2Own Miami 2022
Pwn2Own Miami, Florida의 두 번째 에디션은 2022년 4월 19일부터 21일까지 마이애미 사우스 비치의 Fillmore에서 열렸습니다. 3일간의 콘테스트 기간 동안, 참가자들은 26일 동안 40만 달러를 받았습니다. Computest Sector 7의 Daan Keuper와 Thijs Alkemade 팀은 Pwn의 석사상을 받아 9만 달러를 받았습니다. Daan Keuper와 Thijs Alkemade는 OPC Foundation OPC UA .NET Standard에서 신뢰할 수 있는 애플리케이션 검사를 우회하여 콘테스트의 하이라이트를 보여주었습니다.
Pwn2Own Austin 2021
지속적인 여행 제한으로 Pwn2Own의 소비자 버전은 텍사스주 오스틴에 있는 Trend ZDI 본사 에서 발생했습니다. 이 이벤트는 연구 커뮤니티의 많은 관심을 끌었으며Pwn2Own에서 가장 큰 이벤트로 나타났습니다. 궁극적으로 Pwn2Own History에서 두 번째로 큰 배당금인 61개의 고유한 0일 취약점에 대해 1,081,250달러를 지급했습니다. 뛰어난 순간에는 HP 프린터를 주크박스로 전환하여 내부 스피커를 통해 AC/DC의 Thunderstruck을 플레이하는 악용이 있었습니다.
Pwn2Own Vancouver 2021 (오스틴 위드 러브)
2021년 4월 6일~8일, Pwn2Own 콘테스트는 텍사스주 오스틴에서 가상으로 개최되었습니다. 올해는 Microsoft Teams와 Zoom Messenger를 다루는 엔터프라이즈 커뮤니케이션 카테고리를 소개했습니다. 첫째 날, Apple Safari, Microsoft Exchange, Microsoft Teams, Windows 10 및 Ubuntu가 모두 침해되었습니다. Zoom Messenger는 Parallels Desktop, Google Chrome 및 Microsoft Edge도 성공적으로 활용하면서 2일차에 제로 클릭 익스플로잇에 성공했습니다. 콘테스트는 23일 동안 1,200,000달러 이상을 수여했습니다. Pwn 석사 타이틀은 DEVCORE, OV, Daan Keuper와 Thijs Alkemade 팀 간의 3방향 타이로 공유되었습니다.
Pwn2Own Tokyo (토론토 출발 라이브) 2020
COVID-19로 인한 지속적인 봉쇄로 PacSec 컨퍼런스가 다시 가상으로 개최되었습니다. 이 이벤트는 Twitch와 YouTube에서 라이브 스트리밍되었으며 인터뷰와 오래된 동영상은 시도 사이의 격차를 메워줍니다. 또한 이 콘테스트에서는 스토리지 영역 네트워크(SAN) 서버를 대상으로 포함시켰습니다. 이 콘테스트는 23개의 고유한 버그에 대해 136,500달러를 수여했습니다. Pedro Ribeiro와 Radek Domanski는 두 번의 성공적인 SAN 익스플로잇으로 Pwn 석사 타이틀을 획득했습니다.
Pwn2Own Vancouver 2020
COVID-19로 인해 이벤트는 가상으로 개최되어 연구원들이 미리 익스플로잇을 제출할 수 있게 되었습니다. Trend ZDI 연구원은 집에서 익스플로잇을 실행하여 참가자와 함께 화면과 Zoom 호출을 모두 기록했습니다. 2일 동안 Adobe Reader, Apple Safari 및 macOS, Microsoft Windows 및 Oracle VirtualBox에서 13개의 고유한 버그를 구매하여 6개의 성공적인 데모가 27만 달러를 받았습니다. 특히 Trend ZDI 연구원 Lucas Leong은 패치되지 않은 Oracle VirtualBox 버그를 선보였습니다. Amat Cama와 Richard Zhu는 90,000달러의 상금으로 Pwn 마스터 타이틀을 획득했습니다.
Pwn2Own Miami 2020
S4 컨퍼런스에서 개최된 마이애미 최초의 Pwn2Own은 산업 제어 시스템(ICS)에 중점을 두었습니다. 연구원들은 Control Server, OPC Unified Architecture(OPC UA) Server, DNP3 Gateway, Human Machine Interfaces(HMI) 및 Engineering Workstation Software(EWS)를 포함한 여러 범주를 표적으로 삼았습니다. 8개의 경쟁업체 그룹은 모든 범주에서 하나 이상의 표적을 성공적으로 악용했습니다. 28만 달러 이상의 현금과 상품이 수여되었으며 20개 이상의 제로데이 취약점이 구매되었습니다. Steven Seeley와 Chris Anastasio는 80,000달러의 상금으로 Pwn 석사 타이틀을 획득했습니다.
Pwn2Own Tokyo 2019
Facebook이 포함되어 Oculus Quest VR 시스템을 콘테스트에 참여시켰습니다. 또한 스마트 스피커, TV 및 무선 라우터와 같은 더 많은 IoT 장치를 포함하도록 콘테스트를 확장했습니다. 전반적으로 18개의 다양한 버그를 구매하면서 2일간의 콘테스트 기간 동안 총 315,000달러 이상을 수여했습니다. 195,000달러와 18.5포인트를 보유한 Richard Zhu와 Amat Cama의 Fluoroacetate 듀오는 3번째 연속 Master of Pwn의 타이틀을 유지했습니다.
Pwn2Own Vancouver 2019
Tesla는 당사와 협력하여 인스코프 연구를 위한 6가지 핵심 포인트를 제공하는 모델 3을 콘테스트에 선보였습니다. 이 추가 기능은 웹 브라우저, 가상화 소프트웨어, 엔터프라이즈 애플리케이션 및 Windows RDP와 같은 기존 범주에 추가되었습니다. 3일 동안 Trend ZDI는 19개의 고유한 취약점에 대해 $545,000를 수여했습니다. Amat Cama와 Richard Zhu는 Pwn 석사 타이틀을 신청하여 375,000달러와 모델 3을 획득했습니다.
Pwn2Own Tokyo 2018
IoT 목표를 컨테스트에 추가하고 Mobile Pwn2Own에서 Pwn2Own Tokyo로 브랜드를 변경했습니다. 스마트 스피커, 웹 카메라 및 스마트 워치가 콘테스트에 포함되었지만 이러한 장치 중 어떤 것도 대상이 되지 않았습니다. 이 콘테스트는 18개의 0일 버그 보고서를 구입하는 동안 총 325,000달러를 수여했습니다. Amat Cama와 Richard Zhu는 45점과 21만 5천 달러를 기록하며 Pwn의 마스터 타이틀을 획득했습니다.
Pwn2Own 2018
Trend ZDI는 가상화, 웹 브라우저, 엔터프라이즈 애플리케이션, 서버 및 특수 Windows Insider Preview Challenge 카테고리의 5가지 범주에 대해 Microsoft와 파트너 관계를 맺고 VMware를 후원했습니다. 중국 팀은 더 이상 참여할 수 없었기 때문에 기업 후원 팀 참여가 거부되었습니다. 이 콘테스트는 12건의 0일 익스플로잇을 위해 26만 7천 달러를 수여했으며 Richard Zhu(형광)를 Pwn의 석사로 선정했습니다.
Mobile Pwn2Own 2017(일본 도쿄)
역대 최대 규모의 모바일 콘테스트로서 콘테스트 기간 동안 총 32개의 고유한 버그를 515,000달러의 상금으로 구매했습니다. Tencent Keen Security Lab은 44포인트로 Pwn의 석사로 선정되었습니다. 이 대회는 Pwn 석사에게 마이너스 포인트가 발생한 첫 번째 대회입니다.
Pwn2Own 2017
대회 10주년은 Trend ZDI가 51개의 서로 다른 0일 버그를 취득하여 833,000달러를 지출한 가장 바쁜 시기였습니다. 제출물의 수가 많기 때문에 모든 항목을 수용하기 위해 2일차에 두 개의 트랙이 필요했습니다. 이 콘테스트는 VMware에서 게스트-호스트 OS가 두 번 성공적으로 향상되었습니다. 360 Security 팀은 Master of Pwn에서 총 63점을 받았습니다. 올해 팀들은 경쟁업체의 취약점을 없애기 위한 전략적 노력의 일환으로 콘테스트에 앞서 버그를 제출했습니다.
Mobile Pwn2Own 2016(일본 도쿄)
iPhone 6s, Google Nexus 6p, Galaxy S7을 목표로 하여 대회가 도쿄로 돌아왔습니다. 모두 대회가 총 37만 5천 달러를 수여하면서 악용되었습니다. Tencent Keen Security Lab Team은 총 21만 달러와 45포인트의 석사상을 받았습니다.
Pwn2Own 2016
올해는 Pwn2Own의 전체 우승자 타이틀인 Master of Pwn이 소개되었습니다. 콘테스트 순서는 무작위 추첨에 의해 결정되기 때문에, 행운이 없는 추첨을 하는 참가자는 훌륭한 연구를 발표할 수 있지만, 후속 라운드의 가치가 하락하기 때문에 더 적은 돈을 받을 수 있습니다. 그러나 각 성공적인 응모에 대해 적립되는 포인트는 감소하지 않습니다. 누군가는 행운이 없는 추첨을 할 수 있지만 여전히 가장 많은 포인트를 모을 수 있습니다. Tencent Security Team Sniper의 팀은 38포인트로 첫 번째 펜 마스터 타이틀을 주장했습니다. 전체적으로 이 콘테스트는 21개의 취약점에 대해 총 46만 달러를 수여했습니다.
모바일 Pwn2Own 2015
팀은 1년 동안 Wassanaar 계약을 준수하면서 제출을 처리하는 최선의 방법을 결정했습니다.
Pwn2Own 2015
2014년의 “유니콘” 상금이 모든 Windows 대상의 표준이 되면서 2015년 콘테스트에서 난이도가 크게 증가했습니다. 모든 Windows 대상에서 Microsoft의 EMET(Enhanced Mitigation Experience Toolkit)를 회피하고 SYSTEM 수준 코드 실행(25,000달러 보너스)을 달성하며 EPM(Enhanced Protected Mode)이 활성화된 64비트 브라우저를 대상으로 하는 데 필요한 성공적인 익스플로잇입니다.
Mobile Pwn2Own 2014(일본 도쿄)
7개의 서로 다른 팀이 7개의 휴대폰을 대상으로 한 가장 큰 모바일 이벤트입니다. 모두 성공적으로 악용되었습니다.
Pwn2Own 2014
2일 간의 기록적인 지불금으로 인해 Pwn2Own은 첫 백만 달러 규모의 대회에 가까워졌고, 8명의 참가자에게 85만 달러를 수여했으며, 38만 5천 달러의 상금은 청구되지 않았습니다. Google과 Trend ZDI 간의 Pwn4Fun 콘테스트는 자선을 위해 8만 2,500달러를 모금했으며, 최고의 연구원들에게 도전하기 위해 만들어진 15만 달러의 Exploit Unicorn 대상은 청구되지 않았습니다.
Mobile Pwn2Own 2013(일본 도쿄)
이 콘테스트는 아시아에 처음으로 도입되었으며 Bluetooth, WiFi 및 USB 기반 공격을 포함하도록 범위가 확장되었습니다. 상품의 범위는 $50,000에서 $100,000로 총 $300,000입니다. 일본과 중국의 참가자는 처음으로 미국 참가자에 합류하여 총 11만 7,500달러에 도달했습니다.
Pwn2Own 2013
웹 브라우저의 취약점을 넘어 플러그인을 포함하도록 초점을 확장했습니다. 상금은 56만 달러였으며 개별 상금은 2만 달러에서 10만 달러 사이였습니다. 참가자는 $320,000를 받았습니다.
Mobile Pwn2Own 2012(네덜란드 암스테르담)
유럽에서 처음으로 개최된 이 대회는 모바일 장치에만 초점을 맞춘 새로운 규칙을 도입하여 30,000달러에서 100,000달러(셀룰러 베이스 밴드 공격) 범위의 상품을 제공했습니다. 2개 그룹의 연구원들이 성공적으로 경쟁하여 총 60,000달러를 획득했습니다.
Pwn2Own 2012
이 대회는 최신 버전의 IE, Firefox, Safari 및 Chrome을 표적으로 하는 익스플로잇을 위한 포인트 시스템과 함께 플래그 캡처 형식을 채택했습니다. 각각 1위, 2위, 3위에 60,000달러, 30,000달러, 15,000달러의 상금이 수여되었습니다.
Pwn2Own 2011
Google은 125,000달러의 상품 풀로만 Chrome의 공동 후원자로 참여했습니다. 비Chrome 카테고리는 각각 15,000달러를 제공했습니다. 참가자는 전체적으로 $60,000를 청구했지만 아무도 Chrome 익스플로잇을 시도하지 않았습니다.
Pwn2Own 2010
참가자는 웹 목표당 10,000달러, 모바일 목표당 15,000달러로 총 45,000달러를 받았습니다.
Pwn2Own 2008-09
Pwn2Own 컨테스트의 범위는 더 광범위한 운영 체제와 브라우저를 포함하도록 확장되었습니다. Trend ZDI는 콘테스트를 진행하고 성공적으로 입증된 취약점을 모두 구매하여 취약점당 5,000~20,000달러의 상품을 수여하는 데 동의했습니다. 콘테스트 참가자는 2008년에 15,000달러, 2009년에 20,000달러를 받았습니다.
Pwn2Own 2007
CanSecWest 설립자인 Dragos Ruiu가 시작한 첫 콘테스트는 Apple의 Mac OS X 운영 체제의 불안을 강조했습니다. 당시에는 OS X가 경쟁사보다 훨씬 더 안전하다는 많은 믿음이 있었습니다. 처음에는 노트북만 경품으로 제공되었습니다. 그러나 컨퍼런스 첫날 Trend ZDI는 참가를 요청받았으며 콘테스트에 사용된 취약점을 고정 가격 미화 10,000달러로 구매하도록 제안받았습니다.