비에텔 '해커', 세계 지도에 이름 올려

10월 27일 오전 1시, 비엣텔 사이버 보안 회사(VCS)의 불이 켜진 방에서 VCS팀원 14명이 기쁨에 터졌습니다. 팀이 세계에서 가장 크고 권위 있는 사이버 공격 대회인 Pwn2Own 2023에서 우승을 차지했습니다.

이는 팀 전체가 3개월 동안 밤낮으로 쉬지 않고 일한 결과이자 전 세계 에서 가장 강력한 상대를 상대로 치열하게 경쟁한 결과일 뿐만 아니라,

그것은 팀의 막내 멤버인 2003년생으로 현재 VNU(베트남 공과대학교) 3학년인 도안중(Do Anh Dung)에게 첫 달콤한 과일이 아닐 수도 있습니다!

응오 안 후이, 응우옌 쑤언 호앙, 응우옌 홍 꽝 등 이 토너먼트에 수년간 참가해 온 멤버들의 열망은 단지 경쟁에서 가장 높은 순위에 오르는 것만이 아니었습니다!

또한, 이번 대회는 세계에서 가장 권위 있는 대회 중 하나에서 우리나라에 최고의 자리를 안겨주어 정보 보안 및 안전 분야에서 베트남 국민의 역량을 입증하는 영광스러운 자리입니다.

그리고 무엇보다도, 이는 Viettel이 수년 전 꾸준히 심어 온 씨앗에서 거둔 "달콤한 열매"입니다. 오늘날까지 VCS와 정보 보안 전문가 팀을 보유한 Viettel은 정보 보안 및 안전 역량 분야에서 세계 최고의 기업 중 하나라는 자부심을 가지고 있습니다.

2023년 Pwn2Own 챔피언십에서 우승한 VCS 팀원 14명은 모두 매우 젊습니다. 대부분 9x 세대이며, 가장 어린 멤버는 2003년생입니다.

하지만 팀원 대부분은 수년간 "싸워온" 경험이 있으며, 정보 보안 및 안전 분야에서 풍부한 경험과 업적을 보유하고 있습니다. 심지어 팀의 막내인 도 안 융(Do Anh Dung)조차도 이미 자신의 역량을 과시했습니다. 융은 이 대회에서 기적을 만들어내며, 한 부문에서 우승을 차지하여 팀 전체의 성과에 기여했습니다.

10월 27일 저녁 최종 라운드가 끝날 무렵, Viettel Cyber ​​​​Security(VCS) 팀이 Master of Pwn 포인트 30점을 획득하여 공식적으로 최고 우승을 차지했고, 2위 팀과의 격차를 12.75점으로 줄였습니다.

VCS는 이러한 설득력 있는 점수로 토너먼트 우승의 강력한 후보로 여겨지는 Sea Security(싱가포르), Vupen, Synacktiv(프랑스), Devcore(대만 - 작년 우승팀) 등 많은 국제적인 경쟁자들을 누르고 우승 타이틀을 확보했습니다.

VCS 팀원 하 안 황은 대회 준비 과정에서 겪었던 어려움에 대해 다음과 같이 말했습니다. "대회 3개월 전, 조직위원회에서 정복해야 할 장비를 발표했습니다. 당시 팀은 연구용 장비를 구매한 지 얼마 되지 않아 준비 기간이 3개월밖에 되지 않았습니다. 그중 상당수는 해외에서 수입해야 했고, 베트남에 도착하기까지 무려 한 달이 걸렸습니다."

또 다른 팀원인 응우옌 쑤언 호앙(Nguyen Xuan Hoang)은 "이 대회에는 오랫동안 참가해 온 선수들이 있습니다. 풍부한 경험을 가지고 있을 뿐만 아니라 경제적 , 전문적으로도 매우 강력한 선수들이 있습니다. VCS 팀은 올해 대회에서 최고의 성공을 거두기 위해 가장 신중한 준비, 단결, 그리고 적절한 경쟁 전략을 갖추고 대회에 참가해야 한다고 판단했습니다."라고 말했습니다.

호앙은 작년 VCS 팀이 이 대회에서 우승팀과 매우 가까운 점수로 2위를 차지했으며, 단 2.5점 차이로 졌다고 덧붙였습니다. 따라서 팀은 올해 우승을 목표로 삼고 있습니다.

하지만 우승으로 가는 길은 단순하지 않습니다. 이 대회의 공격 대상은 모두 Microsoft, Apple, Google, Samsung 등 세계 유수의 제조업체에서 생산된 인기 있는 기기와 소프트웨어입니다. - Nguyen Xuan Hoang이 공유했습니다.

대회의 요구 사항을 충족시키기 위해 이 기기는 미국에서 주문해야 했지만, 순간의 부주의로 인해 기기가 "죽어"버렸습니다. 미국 시장에 적합한 110V 전원을 사용하는 반면, 베트남에서는 220V를 사용하기 때문입니다.

이 대회에 네 번이나 참가한 응오 안 휘(Ngo Anh Huy) 팀원에 따르면, 팀원들이 가장 우려하는 것은 중복 오류이거나, 팀원들이 발견한 보안 취약점을 제조사가 패치할 시간이 없다는 것입니다. 작년에 비엣텔(Viettel) 팀은 중복 취약점으로 인해 감점되어 2위에 그쳤습니다.

게다가, 이 도전은 마지막 순간에 찾아왔습니다. 비자 발급 지연으로 인해 팀 전원이 캐나다 토론토로 이동하여 라이브 경기에 출전할 수 없게 되었습니다. 대신, VCS 팀원 14명은 경기 중 해결되지 않을 수 있는 문제에 대한 많은 걱정을 안고 온라인으로 경기를 치러야 했습니다.

하지만 최종 결과가 모든 것을 말해주었습니다. VCS 팀은 단순히 승리한 것이 아니라, 엄청나게 멋진 승리를 거두었습니다.

"우리가 최종 10개 최고 포인트 부문에서 우승했을 때, 팀 전체가 기쁨과 행복에 휩싸였습니다. 이 챔피언십이 의심의 여지 없이 확실한 승리라는 것을 증명했기 때문입니다." 응우옌 쑤언 호앙은 그 순간을 자랑스럽게 회상했습니다.

지난 4년간 Pwn2Own에 꾸준히 참여해 온 VCS 팀이 Pwn2Own 챔피언십에서 처음으로 우승을 차지했습니다. Pwn2Own은 제로데이 이니셔티브(Zero Day Initiative) 사이버 보안 기관이 매년 두 번 개최하는 소프트웨어 및 가전제품 공격 대회로, 현재 세계에서 가장 "난이도 높은" 사이버 보안 대회 중 하나입니다.

VCS 이사인 응우옌 손 하이(Nguyen Son Hai) 씨는 비엣텔이 2020년 스마트TV 부문에서 이 "놀이터"에서 첫 우승을 차지했다고 밝혔습니다. 2021년에는 상위 5위 안에 진입했고, 2022년에는 2위를 차지했습니다. 그리고 올해는 압도적인 점수로 우승을 차지했습니다.

Pwn2Own에는 세계적으로 유명한 사이버 보안 팀뿐만 아니라 전 세계의 대형 제조업체와 기술 기업들도 참여합니다. 각 시험에는 Windows 운영 체제, Apple, Xiaomi, Samsung 휴대폰, Canon, HP 프린터 등 널리 사용되는 소프트웨어 또는 하드웨어 장치에 대한 문제가 출제됩니다.

각 팀은 소프트웨어와 기기에서 알려지지 않은 보안 취약점을 찾기 위해 경쟁하며, 30분 이내에 해당 취약점을 실시간으로 악용하는 모습을 보여줘야 합니다.

"왜 다른 보안 전문가 그룹뿐만 아니라 애플, 샤오미, 캐논, TP Link 같은 기기 제조업체들도 경쟁 상대라고 말할 수 있을까요? 그들은 자사 기기에 취약점이 있다는 사실이 알려지면서 고객의 신뢰를 잃는 것을 싫어하기 때문입니다. 이러한 기기 공급업체들은 항상 보안팀을 운영하고 있으며, 경쟁이 시작되기 전에 자사 제품의 버그를 패치하기 위해 거액을 기꺼이 지불합니다. 그래야 제품이 대중 앞에서 망신을 당하지 않을 수 있기 때문입니다."라고 VCS 팀원인 전문가 응우옌 홍 꽝은 투오이 트레(Tuoi Tre) 에 밝혔습니다.

따라서 시작부터 마지막 ​​순간까지 치열한 경쟁이 예상됩니다. 팀들이 발견한 취약점이 대회 직전 제조사에 의해 예상치 못하게 패치되어, 팀이 그동안의 노력과 성과를 모두 잃게 될 가능성이 매우 높기 때문입니다.

VCS 팀의 숙련된 Pwn2Own 플레이어인 응오 안 휘(Ngo Anh Huy)는 "따라서 성능 향상을 위해 밤낮으로 일하며 발견한 취약점이 여전히 존재하는지 '감시'해야 했고, 제조업체가 발견한 버그를 패치했는지 면밀히 모니터링해야 했습니다."라고 말했습니다.

Pwn2Own 2023 토론토 대회는 휴대폰, 스마트 스피커, 감시 시스템, 네트워크 스토리지 시스템, 사무용 전자기기 등 하드웨어에 중점을 둡니다. 각 부문의 상금은 미화 3만 달러에서 10만 달러까지이며, 기기의 난이도와 공격 시연 완료도에 따라 2점에서 10점까지의 점수가 부여됩니다.

상금과 포인트 모두에서 가장 가치 있는 부문은 마지막 부문인 매시업입니다. 매시업은 각 팀이 경쟁에서 주어진 네트워크 라우터 중 하나에서 익스플로잇 코드를 실행하여 앞서 언급한 부문의 장치를 공격하는 부문으로, 상금은 10만 달러와 10점입니다.

VCS팀은 개인 부문을 모두 완주하고, Xiaomi 13 Pro 휴대폰, QNAP TS 464 스토리지 시스템, Canon imageClass MF753Cdw 프린터, Sonos Era 100 스피커를 성공적으로 공략하여 20점을 획득했습니다. 상대인 Sea Security가 모든 개인 부문과 종합 부문을 완주한 후에도 17.25점에 그쳐 우승이 거의 확실시되었습니다.

더 이상 경쟁 압박이 심하지는 않지만, VCS 엔지니어들은 여전히 ​​최종 부문에서 어려움을 겪고 있습니다. 매시업 부문에서 점수가 부족했던 것이 작년 챔피언십에서 탈락한 이유이기 때문입니다. 응오 안 휘는 "이번에 매시업 부문에 진출하면서 다음 라운드 추첨에서 여전히 불리한 입장에 처해 있습니다. 이전 팀과 같은 허점을 발견하면 점수가 감점될 것입니다."라고 말했습니다. 이러한 중복 오류로 인해 VCS는 작년 Pwn2Own에서 1위 팀보다 2.5점 뒤처졌습니다.

"올해 우리는 새로운 취약점을 악용하려고 노력했을 뿐만 아니라, 찾기 매우 어렵고 다른 팀과 중복되기 어려운 취약점, 또는 찾기는 쉽지만 악용하기 어려운 취약점을 의도적으로 선택했습니다. 또한, 다양한 백업 계획도 마련해 두었습니다. 이는 팀 전체가 3개월 동안 집중적으로 연구한 결과입니다."라고 Huy는 말했습니다.

그 결과, VCS팀은 종합 부문에서 10/10점을 획득하여 총점 30점으로 종합 우승을 차지하였고, 준우승팀보다 12.5점 앞서 화려하고 완벽하게 우승을 차지했습니다.

VCS 이사 응우옌 손 하이(Nguyen Son Hai) 씨는 "Pwn2Own에 참가하게 된 이유는 엄격한 테스트 과정을 거치는 주요 제조업체의 세계 최고 인기 기기를 대상으로 하는 경연 대회이기 때문입니다."라고 말했습니다. "전문 연구팀에 투자하고 국제 무대에서 경쟁하는 것은 VCS가 인재를 양성하기 위한 노력의 일환입니다."

VCS팀의 2023년 Pwn2Own 챔피언십 우승을 향한 여정은 긴 여정의 결과이며, 유산이며, 수년 전 정보 보안 분야 Viettel Group 리더들의 비전을 생생하게 보여주는 것입니다.

10년 전, VCS 이사인 응우옌 손 하이가 Pwn2Own 2023 챔피언십 팀원들과 같은 나이였을 때, Viettel Group의 임원들은 정보 보안 분야에 투자하기로 결심했습니다.

Viettel은 신생 농장의 첫 씨앗을 곧 심고 체계적이고 전략적인 방식으로 관리했습니다.

VCS의 심층 연구 여정은 초창기부터 시작되었으며, 당시 정보 보안 담당 인원은 단 6명뿐이었습니다. 2011년부터 VCS 팀은 비엣텔 그룹 내 부서들을 대상으로 모의 공격을 수행하여 보안 문제를 집중 조명해 왔습니다.

"비엣텔은 핵심 인프라를 운영하기 때문에 네트워크 보안을 핵심 요소로 여기는 연구 비전을 가지고 있습니다."라고 손 하이 씨는 말했습니다. "네트워크 보안에서 가장 중요한 요소는 바로 사람입니다. 세계 최고의 제품을 사용하더라도 최종 사용자 입장에서는 공격 위험이 여전히 매우 높습니다. 모바일 및 인터넷과 같은 비엣텔의 핵심 인프라는 세계 최대 규모의 공격 대상입니다."

VCS는 중요 인프라를 보호할 전문가 팀을 구축하기 위해 세계 수준의 역량을 갖춘 사이버 보안 인력을 양성하는 것을 목표로 합니다. 하이 씨는 2015년부터 현재까지 비엣텔과 VCS가 450명의 학생을 교육했으며, 그중 가장 적합한 인력의 5%만이 채용되어 계속 근무할 수 있도록 했다고 밝혔습니다.

"전문가 팀을 구성하고 심층 연구에 투자한 후, VCS 전문가 팀의 공격 능력을 향상시키기 위한 투자 방안을 지속적으로 모색하고 있습니다. 세계적인 대회에 참가하는 것 또한 이러한 목적에 부합합니다."라고 응우옌 손 하이(Nguyen Son Hai) 씨는 말했습니다.

2013년, VCS는 알려지지 않고 패치도 되지 않아 가장 많은 비용이 드는 제로데이 취약점에 대한 연구를 시작했는데, 안 후이(Anh Huy)와 홍 꽝(Hong Quang)이 그 첫 번째 전문가였습니다. 2015년에 이르러 VCS 팀은 최초의 취약점을 발견했으며, 현재까지 VCS가 발견한 취약점의 수는 400개에 달합니다.

하이 씨는 "베트남의 어떤 기업도 이런 규모에 도달한 적이 없으며, 세계적으로도 많지 않습니다."라고 표현했습니다.

심층적인 연구 참여를 통해 교육을 받을 수 있는 기회는 VCS가 Pwn2Own에서 1위를 차지한 사이버 보안 전문가들에게 매력적인 직장이 된 이유입니다. Viettel을 선택한 이유에 대해 Anh Huy는 "제 경험상 사이버 보안 연구와 연구팀에 장기적인 투자를 하려는 기업은 많지 않습니다."라고 답했습니다.

"특히 사이버 보안 분야에서는 인적 요소가 가장 중요합니다. 따라서 VCS는 항상 교육, 팀 역량 강화, 그리고 차세대 고급 인력 양성에 힘쓰며, 국제적인 문제에 항상 대비하고 있습니다."라고 VCS의 응우옌 손 하이 이사는 강조했습니다.

대회 참가 팀원들을 기리고 축하하는 시상식에서 비엣텔 그룹 회장 겸 대표이사인 타오 득 탕(Tao Duc Thang)은 비엣텔의 "화이트 해커"들에 대한 자부심을 표했습니다. 그는 "비엣텔은 VCS 팀이 대규모 R&D 시설을 갖춘 세계 유수의 장비 제조업체들과 '경쟁'하며 글로벌 네트워크 보안 분야에서 권위 있는 상을 수상한 것을 자랑스럽게 생각합니다."라고 말했습니다.

비엣텔 그룹 회장은 "Pwn2Own은 모든 해커에게 매우 높은 난이도를 지닌 명망 있는 대회입니다. 이 대회는 세계 최고의 정보 보안 팀을 보유한 제조업체들이 마지막 순간까지 해커에 대응할 준비가 되어 있는 '전투'에 비유됩니다. 연령 제한이 없고 다국적 협력까지 가능한 게임입니다..."라고 평가했습니다. 이에 타오 득 탕 회장은 "Pwn2Own 2023 챔피언십은 비엣텔과 베트남을 국제 무대에서 유명하게 만들었습니다."라고 자랑스럽게 말했습니다.

타오 득 탕 회장은 사이버 보안 분야가 매우 광범위하고, 비엣텔 전문가들이 가야 할 길이 멀며, 앞으로도 많은 과제가 있을 것이라고 말했습니다.

"1위 자리를 유지하는 것은 쉽지 않기 때문에 우리는 계속해서 더 열심히 일하고 큰 꿈을 가져야 하며, 베트남을 세계에 알리기 위해 꿈을 현실로 만들고자 끊임없이 열망해야 합니다."라고 타오 득 탕 씨는 강조했습니다.

비엣텔 그룹 회장은 앞으로도 그룹은 우수한 인력을 양성하기 위한 구체적인 정책을 마련하여 이들이 자신감을 가지고 업무에 전념할 수 있도록 할 것이라고 밝혔습니다.

타오 득 탕(Tao Duc Thang) 씨는 VCS에 이 업무를 할당하면서 VCS가 더 많은 보안 전문가를 양성해야 하며, 기업뿐 아니라 국가에 봉사하고 사이버 공간에서 국가를 보호하기 위해 최고의 기반을 갖춘 차세대를 양성하기로 결심했다고 강조했습니다.