10월 27일 새벽 1시 직후, 비엣텔 사이버 보안 회사(VCS)의 환하게 불이 켜진 사무실에서 VCS 팀원 14명은 환호성을 질렀습니다. 바로 세계 최대 규모이자 가장 권위 있는 사이버 공격 대회인 Pwn2Own 2023에서 우승을 차지한 것입니다.
이는 단순히 팀 전체가 3개월 동안 밤낮없이 쉬지 않고 일한 결과일 뿐만 아니라, 전 세계 최강의 경쟁자들과 끈질기게 경쟁한 결과이기도 합니다!
이는 팀의 막내 멤버인 도 안 둥(2003년생, 현재 하노이 공과대학교 3학년)에게 주어진 첫 번째 달콤한 보상일 뿐만 아니라, 그의 앞날에 대한 기쁨이기도 합니다!
응오 안 후이, 응우옌 쑤언 호앙, 응우옌 홍 꽝과 같은 회원들이 수년간 이 대회에 참가해 온 이유는 단순히 대회 정상에 오르고 싶은 욕망 때문만은 아닙니다!
또한, 가장 권위 있는 국제 대회 중 하나에서 국가 최고 자리를 차지한 것은 영광스러운 성과였으며, 정보 보안 및 안전 분야에서 베트남 국민의 역량을 입증하는 것이었습니다.
무엇보다 중요한 것은, 이는 비엣텔이 오랜 세월 동안 꾸준히 뿌려온 씨앗에서 거둔 "달콤한 열매"라는 점입니다. 오늘날, VCS와 정보 보안 전문가 팀을 통해 비엣텔은 정보 보안 및 안전 역량 분야에서 세계를 선도하는 기업 중 하나라고 자부할 수 있습니다.
2023년 Pwn2Own 챔피언십에서 우승한 VCS 팀의 14명 전원은 매우 어립니다. 대부분의 멤버는 90년대생이며, 가장 어린 멤버는 2003년생입니다.
하지만 팀원 대부분은 정보 보안 분야에서 수년간의 경험과 풍부한 업적을 보유하고 있습니다. 심지어 팀의 막내인 도 안 둥(Do Anh Dung)도 자신의 능력을 증명해 보였습니다. 둥은 이번 대회에서 기적적인 성과를 거두며 한 부문에서 우승을 차지했고, 팀의 전체적인 성적 향상에도 크게 기여했습니다.
10월 27일 저녁, 최종 경쟁 부문이 마무리되면서 Viettel Cyber Security(VCS) 팀이 30점의 Master of Pwn 포인트로 우승을 확정지었고, 2위 팀과는 12.75점 차이로 큰 격차를 보였습니다.
VCS는 이처럼 압도적인 점수로 Sea Security(싱가포르), Vupen, Synacktiv(프랑스), Devcore(대만 - 작년 챔피언) 등 강력한 우승 후보로 꼽히던 여러 국제적인 경쟁팀들을 제치고 우승을 차지했습니다.
대회 준비 과정에서 겪었던 어려움에 대해 VCS 팀원인 하 안 호앙은 다음과 같이 말했습니다. "대회 3개월 전에야 주최측에서 숙달해야 할 장비 목록만 발표했습니다. 따라서 저희는 장비를 구매하고 공부할 시간이 3개월밖에 없었습니다. 많은 장비를 해외에서 수입해야 했고, 베트남에 도착하는 데 몇 달이 걸렸습니다."
팀의 또 다른 멤버인 응우옌 쑤언 호앙은 "이번 대회에는 오랜 기간 참가해 온 베테랑 선수들이 많고, 경제적 , 전문적으로도 매우 강력한 경쟁자들이 있습니다. VCS 팀은 철저한 준비와 단결력, 그리고 적절한 전략을 바탕으로 이번 대회에 참가하여 최고의 성과를 거두겠다는 각오를 다지고 있습니다."라고 말했습니다.
호앙은 또한 작년에 VCS 팀이 이 대회에서 우승팀과 단 2.5점 차이로 아쉽게 2위를 차지했다고 밝히며, 올해는 반드시 우승을 목표로 하겠다고 다짐했습니다.
하지만 챔피언십으로 가는 길은 순탄치 않습니다. 이번 대회의 공격 대상은 마이크로소프트, 애플, 구글, 삼성 등 주요 제조업체의 전 세계적으로 인기 있는 기기와 소프트웨어이기 때문입니다. - 응우옌 쑤언 호앙이 밝혔습니다.
대회 요건을 충족하기 위해 해당 장비를 미국에서 주문해야 했는데, 순간적인 부주의로 인해 장비가 오작동을 일으켰습니다. 그 장비는 미국 시장에 적합한 110V 전원을 사용했는데, 베트남에서는 220V 전기를 사용하기 때문입니다.
이 대회에 네 번 참가한 경험이 있는 팀원인 응오 안 후이에 따르면, 팀의 가장 큰 걱정은 취약점 중복 등록이나 제조사가 팀이 등록한 보안 결함을 신속하게 패치하는 것입니다. 작년에 비엣텔 팀은 취약점 중복 등록으로 인해 페널티를 받아 2위에 그쳤습니다.
게다가 비자 발급 절차가 지연되는 등 마지막 순간에 어려움이 발생하여 팀 전체가 토론토(캐나다)로 제때 이동하여 대면 경기에 참가할 수 없게 되었습니다. 결국 VCS 팀의 14명은 온라인으로 경기에 임해야 했고, 경기 도중 제때 해결되지 않을 수도 있는 잠재적인 문제들을 끊임없이 걱정해야 했습니다.
하지만 최종 결과는 모든 것을 말해줍니다… VCS 팀은 챔피언십에서 우승했을 뿐만 아니라, 눈부신 승리를 거두었습니다.
"최종 10위 결정전에서 우승했을 때, 팀 전체가 환호성과 기쁨에 휩싸였습니다. 이번 대회 우승이 의심의 여지 없이 확실한 승리라는 것을 증명했기 때문입니다." 응우옌 쑤언 호앙은 당시를 자랑스럽게 회상했다.
VCS 팀은 4년 연속 Pwn2Own에 참가한 끝에 마침내 처음으로 Pwn2Own 챔피언십 트로피를 들어 올렸습니다. Pwn2Own은 사이버 보안 단체인 Zero Day Initiative가 연 2회 개최하는 소프트웨어 및 가전제품 해킹 대회로, 현재 세계에서 가장 어려운 사이버 보안 대회 중 하나로 손꼽힙니다.
VCS의 응우옌 손 하이 이사는 비엣텔이 2020년 스마트 TV 부문에서 이 대회 첫 우승을 차지했고, 2021년에는 5위권에 진입했으며, 2022년에는 2위를 기록했고, 올해는 압도적인 점수로 우승을 거머쥐었다고 밝혔습니다.
Pwn2Own 대회에는 세계적으로 유명한 사이버 보안 팀뿐만 아니라 주요 글로벌 제조업체 및 기술 기업들도 참여합니다. 각 대회에서는 윈도우 운영 체제, 애플, 샤오미, 삼성 휴대폰, 캐논, HP 프린터 등과 같은 인기 있는 소프트웨어 또는 하드웨어 장치와 관련된 과제가 주어집니다.
참가팀들은 소프트웨어와 기기에서 이전에 알려지지 않았던 보안 취약점을 찾아내고, 30분 안에 해당 취약점을 실제로 악용하는 방법을 시연해야 합니다.
"경쟁 상대가 다른 보안 전문가 그룹뿐만 아니라 애플, 샤오미, 캐논, TP-Link 같은 기기 제조업체라고 말할 수 있는 이유는 무엇일까요? 그들은 자사 기기에 취약점이 있다는 비난을 받아 고객 신뢰를 잃는 것을 극도로 싫어하기 때문입니다. 이러한 기기 제조업체들은 항상 보안 팀을 보유하고 있으며, 경쟁이 시작되기 전에 제품의 버그를 수정하기 위해 막대한 비용을 투자할 의향이 있습니다. 이는 자사 제품이 대중의 눈에 망신을 당하지 않도록 하기 위함입니다."라고 VCS 팀의 멤버인 응우옌 홍 꽝은 투오이 트레 신문 과의 인터뷰에서 밝혔습니다.
따라서, 문제가 공개되는 순간부터 마지막 순간까지 경쟁은 매우 치열할 것입니다. 팀들이 결함을 발견하더라도 개발자들이 대회 직전에 예기치 않게 패치를 적용하여 한 팀이 그동안의 노력과 성과를 모두 날려버릴 가능성도 충분히 있습니다.
따라서 "공연 시간이 다가오면서 우리는 발견한 취약점이 여전히 존재하는지 '모니터링'하기 위해 주야간 교대 근무를 해야 했고, 제작사들이 우리가 발견한 버그를 패치했는지 면밀히 관찰해야 했습니다."라고 VCS 팀의 베테랑 Pwn2Own 플레이어인 Ngo Anh Huy는 말했습니다.
2023년 Pwn2Own 토론토 대회는 하드웨어에 초점을 맞추고 있으며, 휴대폰, 스마트 스피커, 감시 시스템, 네트워크 스토리지 시스템, 사무용 전자제품 등의 부문이 포함됩니다. 각 부문별 상금은 3만 달러에서 10만 달러에 이르며, 해킹 난이도와 해킹 시연의 완성도에 따라 2점에서 10점까지 점수가 부여됩니다.
보상과 점수 면에서 가장 가치 있는 상은 마지막 부문인 '매시업'입니다. 이 부문에서는 참가팀이 대회에서 제공되는 네트워크 라우터 중 하나에 익스플로잇 코드를 실행하여 앞서 언급한 범주에 속하는 장치를 공격해야 하며, 우승팀에게는 10만 달러의 상금과 10점이 주어집니다.
VCS 팀은 개별 과제를 완료하고 샤오미 13 Pro 휴대폰, QNAP TS 464 스토리지 시스템, 캐논 imageClass MF753Cdw 프린터, 소노스 Era 100 스피커를 성공적으로 공격하여 20점을 획득하며 우승을 거의 확정지었습니다. 경쟁팀인 Sea Security는 개별 및 통합 과제를 모두 완료했지만 17.25점밖에 얻지 못했습니다.
치열한 경쟁의 압박은 다소 누그러졌지만, VCS 엔지니어들은 여전히 마지막 부문인 스매시업 챌린지에 대한 아쉬움을 안고 있습니다. 작년 대회에서 스매시업 챌린지에서 점수를 얻지 못해 우승을 놓쳤기 때문입니다. 응오 안 후이는 "이번 스매시업 부문에서는 또다시 불리한 위치에 놓였습니다. 작년 팀과 같은 실수를 반복하면 점수를 잃게 되니까요."라고 털어놓았습니다. 이러한 실수가 겹치면서 VCS는 작년 Pwn2Own 대회에서 우승팀에 2.5점 뒤처지게 되었습니다.
"올해 우리는 새로운 취약점을 악용하는 데 그치지 않고, 다른 팀이 발견하기 매우 어렵고 복제할 가능성이 낮은 취약점, 또는 발견하기는 쉽지만 악용하기는 어려운 취약점, 그리고 다양한 백업 옵션이 있는 취약점을 의도적으로 선택했습니다. 이는 팀 전체가 3개월 동안 집중적으로 연구한 결과입니다."라고 후이는 말했습니다.
그 결과, VCS 팀은 종합 부문에서 10점 만점에 10점을 획득하며 총 30점으로 종합 우승을 차지했고, 2위 팀과의 격차를 12.5점이나 벌리며 화려하고 완벽한 승리를 거두었습니다.
VCS의 응우옌 손 하이 이사는 "Pwn2Own을 선택한 이유는 세계적으로 가장 인기 있는 기기들을 사용하고, 주요 제조업체들의 엄격한 테스트 절차를 거치는 대회이기 때문입니다."라고 말하며, "전문 연구팀에 투자하고 국제 무대에서 실력을 시험하는 것은 VCS의 인재 개발 노력의 일환입니다."라고 덧붙였습니다.
VCS 팀의 Pwn2Own 2023 챔피언십 진출은 오랜 노력의 결실이며, 정보 보안 분야에서 Viettel Group의 선도적인 비전을 생생하게 보여주는 증거입니다.
10여 년 전, VCS의 응우옌 손 하이 이사가 현재 Pwn2Own 2023 챔피언십 팀 구성원들과 같은 나이였을 때, 비엣텔 그룹 경영진은 정보 보안 분야에 투자하기로 결정했습니다.
비에텔은 초기부터 이 분야의 씨앗을 뿌렸고, 체계적이고 전략적인 투자와 관리를 제공했습니다.
VCS의 심층 연구 여정은 설립 초기, 단 6명의 정보 보안 담당자로 시작되었습니다. 2011년부터 VCS 팀은 비엣텔 그룹 내 여러 부서를 대상으로 모의 공격을 실시하여 보안 취약점을 파악해 왔습니다.
손하이 회장은 "비엣텔은 핵심 인프라를 운영하고 있기 때문에 사이버 보안 연구를 핵심 기반으로 삼고 있다"며, "사이버 보안에서 가장 중요한 요소는 바로 사람이다. 세계 최고의 제품을 사용하더라도 일반 사용자라면 공격 위험이 매우 높으며, 비엣텔의 모바일 및 인터넷 서비스와 같은 핵심 인프라는 세계 최대 규모의 공격 그룹들의 표적이 된다"고 말했다.
핵심 기반 시설을 보호할 전문가 팀을 구축하기 위해 VCS는 세계적 수준에 부합하는 역량을 갖춘 사이버 보안 인력을 양성하는 것을 목표로 합니다. 하이 대표는 2015년부터 현재까지 비엣텔과 VCS가 450명의 교육생을 배출했으며, 그중 가장 적합한 5%가 채용되어 현재까지 근무하고 있다고 밝혔습니다.
"전문가 팀을 구성하고 심층 연구에 체계적으로 투자한 후, VCS 전문가 팀의 공격 능력을 강화하기 위한 투자 방안을 지속적으로 모색하고 있습니다. 세계적인 대회 참가는 이러한 목표 달성을 위한 것이기도 합니다."라고 응우옌 손 하이 대표는 밝혔습니다.
2013년, VCS는 제로데이 취약점 연구를 시작했습니다. 제로데이 취약점은 알려지지 않았고 패치가 적용되지 않아 악용 비용이 가장 많이 드는 취약점입니다. 안 후이와 홍 꽝은 이 분야에 뛰어든 최초의 전문가 중 하나였습니다. 2015년, VCS 팀은 첫 번째 취약점을 발견했고, 현재까지 VCS가 발견한 취약점 수는 400개에 달합니다.
하이 씨는 "베트남 기업 중 이 정도 수치를 달성한 기업은 없으며, 전 세계적으로도 흔치 않다"고 말했다.
심층적인 연구 참여를 통한 훈련 기회는 Pwn2Own에서 1위를 차지한 사이버 보안 전문가들에게 VCS가 매력적인 근무지인 이유입니다. 안 후이는 비엣텔을 선택한 이유에 대해 "제 경험상, 사이버 보안 연구 및 연구팀에 장기적으로 투자하려는 기업은 많지 않습니다."라고 답했습니다.
"특히 사이버 보안 분야에서는 인적 요소가 가장 중요합니다. 따라서 VCS는 항상 팀원들의 교육과 역량 강화에 힘쓰고 있으며, 국제적인 수준의 도전에 언제든 대응할 수 있도록 차세대 고숙련 인력을 양성하고 있습니다."라고 VCS의 응우옌 손 하이 이사는 강조했습니다.
시상식에서 비엣텔 그룹의 회장 겸 CEO인 타오 득 탕은 대회 참가팀원들을 축하하며 비엣텔의 "화이트햇 해커"들에 대한 자부심을 표현했습니다. 그는 "비엣텔은 VCS 팀이 세계적인 연구개발 부서를 보유한 세계적인 장비 제조업체들과 '경쟁'하여 글로벌 사이버 보안 분야에서 권위 있는 상을 수상한 것을 자랑스럽게 생각한다"고 말했습니다.
비엣텔 그룹의 회장은 "Pwn2Own은 모든 해커에게 매우 높은 난이도를 자랑하는 권위 있는 대회입니다. 이 대회는 세계 최고 수준의 정보 보안 팀을 보유한 제조업체들과의 '전투'와 같습니다. 이들 업체들은 마지막 순간까지 해커들에게 반격할 준비가 되어 있습니다. 나이 제한이 없는 게임이며, 다국적 협력까지 포함될 수 있습니다."라고 평가했습니다. 따라서 타오 득 탕 회장은 "Pwn2Own 2023 챔피언십 우승은 비엣텔과 베트남에 국제 무대에서 영광을 안겨주었습니다."라고 자랑스럽게 말했습니다.
까오득탕 회장은 또한 사이버 보안 분야가 광범위하고 비엣텔 전문가들에게는 긴 여정이며 앞으로 많은 과제가 남아 있다고 인정했습니다.
"최고의 자리를 유지하는 것은 쉽지 않으므로, 우리는 끊임없이 실력을 갈고닦고 큰 꿈을 품어야 합니다. 그리고 그 꿈을 현실로 만들기 위해 끊임없이 노력하여 베트남을 세계에 알릴 것입니다."라고 타오 득 탕 회장은 강조했습니다.
비엣텔 그룹 회장은 또한 향후 그룹이 우수한 인재를 양성하기 위한 구체적인 정책을 마련하여 직원들이 안심하고 업무에 전념할 수 있도록 지원할 것이라고 밝혔습니다.
VCS에 업무를 배정하면서 타오 득 탕 씨는 VCS가 더 많은 보안 전문가를 지속적으로 양성해야 하며, 기업뿐 아니라 국가를 사이버 공간에서 보호할 수 있는 차세대 인재를 최고의 기반으로 육성하는 데 집중해야 한다고 강조했습니다.
![OCOP의 설날 시즌: [3부] 초박형 쌀 종이의 인기 급상승.](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F402x226%2Fvietnam%2Fresource%2FIMAGE%2F2026%2F01%2F28%2F1769562783429_004-194121_651-081010.jpeg&w=3840&q=75)
댓글 (0)