지엔 “IoT 보안 전주기 자동화, 글로벌 규제 대응에 집중”
조영민 지엔 대표 인터뷰
유럽연합(EU)이 사물인터넷(IoT)과 연결 제품의 보안 요구사항을 권고에서 의무로 강화하면서, EU로 수출하거나 EU의 공급망에 들어가는 국내 제조사는 개발 초기부터 보안 설계와 시험·문서 증빙을 함께 준비해야 하는 상황이다.
국내 IoT 보안 전문기업 지엔(ZIEN)은 이런 흐름을 올해 사업의 핵심 변수로 보고, 펌웨어 취약점 분석 자동화에서 규제 문서화, 소프트웨어 자재명세서(SBOM) 기반 공급망 관리, 보안 운영 모니터링까지 이어지는 ‘IoT 제품 보안 전주기’ 자동화 전략을 강화하고 있다.
“전문가 수작업이 병목”…보안 컨설팅 경험이 창업으로 연결
지엔은 2021년 6월 설립한 IoT 제품·사이버물리시스템(CPS) 보안 전문기업이다. 조영민 지엔 대표이사는 화이트 해커 출신으로 창업 전 글로벌 회계·전문서비스 기업 언스트앤영(EY)에서 글로벌 보안 컨설팅을 수행했었다. 당시 그는 제품의 보안 점검이 전문가의 손에 과도하게 의존하는 구조를 반복해서 경험했다.
조 대표는 “제품 보안은 점검 범위가 넓고 반복 업무가 많아, 사람이 투입될수록 비용이 늘고 일정이 흔들리기 쉽다”며 “수동으로 전문가들에 의해서만 작업이 진행되는 부분을 보면서, 비용과 리소스를 절감할 수 있는 플랫폼이 필요하다고 봤고, 창업을 결심하게 됐다”고 설명했다.
그가 특히 문제로 본 지점은 제품의 펌웨어 분석 같은 작업이 사람 중심으로만 흘러가면 공급이 늘기 어렵다는 것이었다. 조 대표는 보안 컨설턴트이자 화이트해커로서 반복되는 분석·검증 절차를 직접 수행하면서 “리버스 엔지니어링(역공학·Reverse Engineering, 완성된 제품, 기계 장치, 소프트웨어 등을 분해 및 분석하여 구조, 기능, 작동 원리를 역으로 추론해 설계도나 소스 코드를 도출하는 기술)처럼 고도화된 기술이 필요한 작업도 자동화할 수 있다”는 확신을 얻었다고 말했다. 그가 ‘개발에서 운영까지 IoT 제품의 전주기 보안을 자동화하는 플랫폼’을 지엔의 정체성으로 내세우는 배경이다.
“규제가 시장 연다”…RED·CRA 본격화 예고
조 대표는 “초기에는 IoT·제품 보안 시장이 뚜렷하게 열리지 않았다”며 “그러나 최근 들어 로봇, 카메라, 의료기기 등 ‘실물 제품’ 영역에서 보안 요구가 빠르게 늘고 있다”고 설명했다. 그는 “기존에는 IT나 클라우드 영역이 중심이었다면, 이제는 로봇이나 기기·제품 쪽으로 보안 요구가 움직이는 걸 체감한다”며 “특히 글로벌에서 제품 보안 규제·인증이 강제화되는 흐름이 커진 영향”이라고 말했다.
지엔이 올해 ‘규제 대응’에 초점을 맞춘 이유는 단순한 분위기가 아니라 규제가 현실로 다가왔기 때문이다. EU 무선장비지침(RED·Radio Equipment Directive) 사이버보안 요구사항은 이미 작년 8월 1일부터 적용돼, 무선·연결 제품을 EU에 판매하는 기업이 보안 기능과 시험·기술문서 등 증빙을 갖추도록 요구하고 있다. EU의 사이버복원력법(CRA·Cyber Resilience Act)은 범위를 더 넓혀 ‘디지털 요소가 포함된 제품’ 전반에 보안 요구사항을 법적 의무로 묶고, 2026년 9월 11일부터는 취약점·사고 보고 의무가 시작된다. 주요 의무는 2027년 12월 11일부터 전면 적용된다.
조 대표는 “올해 말부터 적용되는 CRA는 범위가 넓어 적용되는 제품이 많고, 과징금도 크다 보니 시장이 이 기준으로 통일되는 흐름”이라며 “대기업이 먼저 준비하고, 이후 중견·중소 기업도 결국은 따라갈 수밖에 없다”고 내다봤다.
그가 강조한 포인트는 ‘보안 기능 탑재’가 아니라 ‘보안 체계의 증명’이다. 규제는 “무엇을 했는지”뿐 아니라 “어떻게 했는지”를 요구한다. 개발 단계의 점검 결과, 수정 내역, 구성요소 관리, 운영 중 업데이트·취약점 대응 체계가 문서로 이어지지 않으면 수출 과정에서 문제가 될 수 있다는 판단이다. 조 대표는 “법이 시행된 뒤 준비하면 사실상 늦는다”며 “수출 일정이 밀리면 매출도 늦어지기 때문에, IoT 연결 제품을 만드는 모든 제조사들은 지금부터 차질이 생기지 않게 준비해야 한다”고 말했다.

펌웨어·규제 문서화·SBOM·운영 모니터링까지 ‘IoT 보안 플랫폼화’
지엔의 제품 라인업은 IoT 보안의 전주기를 플랫폼으로 자동화하는데 있다. 지엔은 IoT 제품의 보안 과정을 ▲개발 단계의 취약점 발굴 ▲상품화 단계의 규제·인증 대응 ▲운영 단계의 구성요소·취약점 관리 ▲현장 가시화·이상행위 모니터링으로 나누고, 각 단계의 결과물이 다음 단계의 입력값이 되도록 제품을 연결했다.
개발 단계의 출발점은 ‘Z-IoT’다. Z-IoT에 대해 조 대표는 “제품 안의 소프트웨어인 펌웨어에서 대부분의 취약점이나 문제점이 발견된다”며 “펌웨어를 자동으로 취약점 분석하고, 바이너리 파일을 자동 분석하는 역공학 자동화를 주력으로 진행한다”고 설명했다.
현장에서는 취약점을 찾아도 실제 수정으로 이어지지 않는 경우가 많다. 조 대표는 “느슨한 가이드만으로는 취약점을 패치하는데 한계가 있다”고 짚었다. 그는 “취약점 탐지 결과가 개발자 입장에서 조치가 바로 가능한 형태로 이어지도록, 인공지능(AI) 기반 엔진을 적용해 안전한 코드 변경 방향까지 알려주도록 제품을 고도화하고 있다”고 설명했다.
상품화 단계에서는 IoT 보안에 대한 규제·인증 대응이 핵심이 된다. 이에 지엔은 규제 대응 플랫폼으로 ‘Z-GRC’를 개발했다. 조 대표는 “보안이 내재화된 뒤 상품화하려면 글로벌 규제에 대응해야 한다”며 “Z-GRC는 인증 준비 서류 검토, 템플릿 같은 작업을 자동으로 진행할 수 있게 돕는 플랫폼”이라고 소개했다.
글로벌 인증기관과 협업해 제조사가 원스톱으로 인증을 받는 흐름도 준비하고 있다. 조 대표는 “뷰로 베리타스라는 프랑스에 있는 글로벌 인증기관과 업무협약을 맺고, 보안 내재화를 지원한 뒤 그 베이스를 바탕으로 글로벌 인증 항목을 충족해 실제 인증서까지 받을 수 있게 체계를 갖추고 있다”고 설명했다. 지엔이 말하는 규제 대응은 컨설팅의 수작업을 반복하는 방식이 아니라, 제조사가 내부에서 재사용할 수 있는 증빙 체계를 만드는 것이다.
운영 단계의 축은 ‘공급망 관리’다. 지엔은 ‘소프트웨어 자재명세서(SBOM)’ 기반 관리 플랫폼을 올해 상반기 중 출시 목표로 개발하고 있다. SBOM은 제품 소프트웨어를 구성하는 오픈소스·라이브러리 목록이다. 조 대표는 “실제 IoT 제품의 80% 이상이 오픈소스를 쓰는 경우가 많아 오픈소스 보안이 중요하다”며 “펌웨어 안쪽의 오픈소스를 자동 식별하고, 취약점을 관리해 오픈소스를 관리할 수 있게 만드는 플랫폼”이라고 설명했다. 지엔의 공급망 보안 라인업은 ‘Z-BOM’으로 구성한다는 계획이다. 취약점을 발굴하는 단계에서 끝내지 않고, 제품·버전·구성요소 단위로 묶어 추적·대응하는 운영 체계를 만들겠다는 설명이다.
마지막으로 지엔은 운영 현장의 가시화·이상행위 분석까지 제품을 확장할 예정이다. IoT 제품이 많아질수록 “무슨 기기가 어디에 있고, 어떤 이벤트가 일어나는지”를 식별·관리하는 요구가 커진다는 판단이다. 지엔은 IoT 자산을 자동 식별하고 보안 이벤트를 감시하는 모니터링 솔루션 ‘Z-Sentinel’을 개발 중이며, 올해 말 또는 내년 초에 출시할 계획이다. 조 대표는 “운영 모니터링은 기술 개발이 더 많이 필요한 영역”이라며 “국내에서는 공공 영역에 디바이스가 많이 들어오는데 관리가 안 되는 상황이라 공공을 우선 대상으로 검토하고 있다”고 말했다.
주요 라인업을 관통하는 제품의 특성은 ‘탐지 정확도’와 ‘패치 연결성’이다. 조 대표는 “연구팀이 글로벌 IoT 제품을 분석하고 로직을 AI로 학습시켜 탐지 룰을 만들어낸다”며 “알려지지 않은 취약점에 대해서도 학습이 누적되면서 정확도와 신뢰도가 높은 결과를 낼 수 있다”고 말했다. 또 “발견된 취약점은 개발자 입장에서 수정이 어려운데, AI 엔진으로 안전한 코드로 변환하는 방향까지 가이드할 수 있는 게 강점”이라고 덧붙였다.
KISA와 로봇청소기 점검…‘IoT 보안 제도 공백’도 함께 다룬다
지엔은 규제 대응이 서류 작업으로만 끝나면 안 된다고 본다. 실제 제품을 점검하고, 취약점 이슈를 공론화하며, 개선을 유도하는 경험이 병행돼야 한다는 관점이다. 지엔은 지난해 한국인터넷진흥원(KISA)·한국소비자원과 로봇청소기 보안 점검 사업을 수행해 주요 취약점을 탐지해냈다. 조 대표는 “로봇, 카메라, 의료기기 같은 영역에서 문의가 늘고 있다”고 말했다.
이 과정에서 지엔이 주목한 부분은 ‘법·제도 공백’이다. 조 대표는 “‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)’은 타인의 망에 허가 없이 접근하는 것을 엄격히 금지하고 있어, 제조사 협조 없이는 선제적인 취약점 분석이 어려운 측면이 있었다”며 “하지만 소비자보호원의 도움으로 소비자기본법의 조항을 근거로 점검·공표가 가능해 취약점 점검을 진행할 수 있었다”고 설명했다.
국내 대기업 제조사가 주요 고객, 의료·로봇 수요 … 올해 매출 20억원 목표
현재 지엔의 주요 고객군은 제조사다. 조 대표는 삼성전자, LG전자, SK인텔릭스 등을 언급하며, 최근에는 로봇 제품군과 디지털 사이니지 등에서 솔루션을 적용해 점검을 진행했다고 설명했다. 이외에도 의료기기·의료 제품에서 수요가 커지고 있다. 의료기기 분야는 수출 과정에서 인증 요구가 강하고 일정이 고정돼 있어, 취약점 제거와 증빙 체계가 곧 수출 가능 여부와 연결되기 때문이다. 조 대표는 “의료 분야는 FDA(미국 식품의약국)의 규제와도 맞물리면서 의료기기·로봇 쪽에서 수요가 뚜렷하다”고 말했다.
사업 지표도 성장 국면에 들어섰다. 지엔의 지난해 매출은 약 8억원이며, 올해 목표 매출은 20억원이다. 투자 측면에서는 2023년 시드 투자로 2억원을 유치했고, 팁스(TIPS) 과제를 작년까지 완료했다. 올해는 시리즈A 투자 유치와 함께 딥테크 팁스 연계를 추진한다. 조 대표는 “시리즈A에서 기업가치를 이전보다 크게 높게 평가받는 것을 기대하고 있다”며 “투자금을 확보하게 되면, 국내 레퍼런스를 기반으로 글로벌 진출을 준비하는 데 투입할 예정”이라고 말했다. 지엔이 노리는 해외 시장은 유럽과 중국, 미국이다.
조 대표가 보는 IoT 보안 시장의 변곡점은 2027년이다. CRA가 본격 적용되면 대기업뿐 아니라 중견·중소 제조사까지 규제 대응 준비를 할 수밖에 없고, 그 시점에 수요가 폭발할 가능성이 높다는 판단이다. 지엔은 그전에 레퍼런스를 충분히 확보해 해당 영역에서 앞서나간다는 전략이다.
“IoT 보안, 법 시행 뒤 준비하면 늦어”
조 대표는 “IoT와 연결 제품에 보안이 적용돼야 유럽과 관련국에 수출할 수 있다는 인식이 아직은 낮다”며 “하지만, 법이 시행된 뒤 준비하면 수출 시 시간이 늦어지고, 그만큼 매출에도 차질이 생긴다. 미리 준비해야 사업에 문제가 생기지 않는다”고 설명했다.
또 “IoT 제품이 늘어나면서 실제 사고가 나오기 시작했고, 한 번 사고를 당하면 기업 이미지와 매출에도 타격이 커질 것”이라며 “IT보다 방어책이 덜 들어간 IoT 영역은 사각지대가 될 수 있어 공격이 더 쉽게 이뤄질 수 있다. 게다가 최근 떠오른 피지컬 AI가 공격 받을 경우, 사회 안전에도 문제가 생길 수 있는 만큼 보안을 개발 단계에서부터 기본값으로 올려야 한다”고 강조했다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network
[무료 웨비나] IdentityTV 2026: 아이덴티티 보안의 미래를 지금 확인하세요.
일시 : 2026년 7월 9일 (목) 14:00 ~ 15:40


