사이버 보안 업계의 '황금 소년들'.

"구멍을 뚫고 먹고, 자고, 숨 쉬세요."

2023년은 비엣텔 팀이 Pwn2Own 대회에 참가한 지 4년째 되는 해였고, 마침내 진정한 영광을 거머쥐었습니다. 첫 번째 참가는 단순한 연습이었지만, 두 번째 참가(2021년)에서는 5위 안에 들었고, 2022년 대회에서는 아쉽게도 우승팀에게 패해 준우승을 차지했습니다. 팀 주장인 응오 안 후이는 "Pwn2Own은 세계 최대 규모이자 가장 권위 있는 사이버 공격 대회로, 사이버 보안 업계의 '월드컵'이라 불리며 총 상금이 수백만 달러에 달합니다. 공격 대상은 마이크로소프트, 애플, 구글, 삼성, 샤오미 등 세계적인 기업의 인기 기기와 소프트웨어입니다."라고 소감을 밝혔습니다.

2023년 10월 24일부터 27일까지 캐나다 토론토에서 열린 Pwn20wn 대회에는 20세의 젊은이를 포함한 14명의 팀이 우승을 목표로 참가했습니다. 이전 대회처럼 단순히 수많은 취약점을 찾는 데 집중하는 대신, 이번 대회에서 이 젊은 엔지니어 팀은 잘 알려지지 않은 취약점을 찾아내고 악용하는 체계적인 전략을 세웠습니다. 팀 리더인 Ngo Anh Huy에게 가장 큰 고민은 팀원들 간의 협업을 이끌어내는 것이었습니다. 대회 직전 2주 동안, 팀원들은 하루 20시간씩, 거의 현장에서 먹고 자며 주최측에 보고서를 제출하는 동시에 취약점을 테스트하고 업데이트하고 패치하는 데 매달렸습니다. 팀원인 Ha Anh Hoang은 "제조사가 대회 전에 취약점을 쉽게 발견하고 패치할 수 있습니다. 따라서 최고 점수를 얻으려면 가능한 한 많은 취약점을 찾아내고 백업 공격 계획까지 준비해야 합니다."라고 덧붙였습니다. 모든 준비를 꼼꼼하게 마치고 캐나다로 출국하는 ​​날만 기다리고 있었는데, 가장 안타까운 것은 대회 날짜가 코앞으로 다가왔는데도 팀원 전원이 입국 비자를 받지 못했다는 점입니다. "팀 비엣텔은 직접 참가하는 대신 집에서 온라인으로 경기에 임해야 했습니다. 이는 직접 참가하는 것과 비교했을 때 여러 가지 불리한 점이 있습니다. 카메라를 통해서만 장비를 원격으로 확인할 수 있기 때문입니다. 직접 참가했다면 현장에서 바로 문의하거나 주최측에 문제 발생 시 즉시 점검을 요청할 수 있었을 것입니다. 게다가 온라인 경기에서는 장비 관련 예상치 못한 문제가 발생할 가능성도 있습니다."라고 호앙은 회상했습니다.

숨 막힐 듯 압도적인 승리였습니다.

3개월 동안 "먹고 자고 취약점 찾기"에 매달린 끝에, 마침내 결전의 순간이 다가왔고, 베트남 팀은 짧은 시간 안에 보안 취약점을 악용하는 능력을 입증해야 했습니다. 팀원인 응우옌 쑤언 호앙은 "다른 보안 대회에서는 보통 시간 제한이 없지만, 이번 대회에서는 30분 안에 취약점 발견 능력을 보여줘야 했습니다. Pwn2Own은 주요 기술 기업들의 최첨단 표적과 기기들을 최신 소프트웨어 버전으로 구성하여 제공합니다. 각 팀의 임무는 공격 방법을 찾아내고 이전에 발견되지 않았던 취약점을 찾아내는 것입니다."라고 말했습니다. 각 팀은 표적당 한 번만 해킹할 수 있으며, 표적이 어려울수록 높은 점수를 받습니다. 대회 마지막에는 가장 높은 점수를 획득한 개인 또는 단체가 우승을 차지하게 됩니다. "가장 큰 걱정은 중복 오류나 제조업체가 제때 결함을 발견하고 수정하는 것이었습니다. 팀원들은 각기 다른 결함을 준비했고, 항목별 점수가 높을수록 준비해야 할 결함의 수도 많았습니다. 이 부분에서 우리 팀은 작년처럼 중복 결함으로 인한 감점 없이 최고 점수를 획득했습니다. 정말 기뻤습니다."라고 하 안 호앙은 말했습니다. 가장 긴장되는 순간은 결승전인 SOHO 스매시업(소형 사무기기)이었습니다. 작년에 우승을 놓쳤던 아픔 때문에 심리적인 부담감이 컸고, 팀원들은 다소 조심스러운 태도를 보였습니다. 계획대로 되지 않는 순간도 있었고, 모두가 초조함에 땀을 흘렸습니다. 세 가지 결함을 준비했지만, 처음 두 번의 시도는 실패했습니다. 세 번째 시도에서 마침내 성공했을 때, 팀원들은 환호성을 질렀습니다. 경쟁자들은 베트남 팀의 끈질긴 투지에 깊은 인상을 받았습니다.

티. 토

이번 대회에 처음 참가한 딘 꽝 부는 새롭게 도입된 모바일폰 취약점 부문에서 팀의 승리에 결정적인 역할을 했습니다. 부는 "우리 팀은 삼성과 샤오미의 모바일 기기 두 대를 선택했습니다. 대회 당일 전까지 철저한 조사와 준비를 거쳐 제조사의 패치를 우회했지만, 삼성 기기는 첫 시도에서 실패했습니다. 긴장되고 초조했지만, 다행히 침착함을 유지하며 샤오미 기기 챌린지에서 승리할 수 있었습니다."라고 소감을 밝혔습니다. 전 세계 최강 팀들과 4일 밤낮으로 이어진 치열한 경쟁 끝에, 10월 27일 새벽 1시, 팀 비엣텔은 모든 챌린지를 성공적으로 완료하며 총점 30점을 획득, 2위 팀보다 12.75점이나 앞서며 우승을 차지했습니다. 젊은 베트남 엔지니어들로 구성된 이들은 등록된 7개 부문 모두에서 만점을 기록하며 Pwn2Own 챔피언십에서 압도적인 승리를 거두고 18만 달러의 상금을 거머쥐었습니다. 취약점이 발견된 제품에는 샤오미 13 프로, QNAP 스토리지 시스템, 캐논, HP, 렉스마크 프린터, 소노스 스마트 스피커, SOHO 스매시업 등이 포함됩니다. 이번 수상은 베트남 정보 보안 산업에 새로운 도약을 의미합니다. 권위 있는 국제 대회에서 우승을 차지한 것은 베트남이 처음이기 때문입니다. Pwn2Own 수상 외에도 VSC사의 젊은 엔지니어들은 마이크로소프트, 오라클, 구글, 아파치, VMWare 등 주요 IT 플랫폼 및 시스템에서 400개 이상의 제로데이 보안 취약점을 발견했습니다.

새로운 경지에 도달하고자 하는 열망.

이번 대회 우승에 안주하지 않고, 팀은 곧바로 2024년 초 일본 도쿄에서 열릴 다음 대회를 준비하며 새로운 목표를 향해 나아가기 시작했습니다. 하 안 호앙은 "이번 우승을 위해 우리는 쉬운 단계부터 어려운 단계까지 차근차근 밟아 나갔습니다. 팀의 우승은 매우 만족스럽지만, 경쟁팀들을 간과할 수는 없습니다. 전문성 측면에서 해외 팀들이 보유한 연구 분야와 역량 중 비엣텔 팀이 아직 도달하지 못한 부분이 있기 때문입니다. 우리 팀의 단기 목표는 새로운 연구 주제를 발굴하고, 애플, 구글과 같은 거대 기업들의 보안 취약점을 발견하는 것입니다. 그리고 장기적인 목표는 글로벌 보안 분야에서 선두주자가 되는 것입니다."라고 밝혔습니다. 국제 사회에서 인정받는 베트남의 젊은 보안 전문가 중 한 명으로, 수많은 유명 IT 기업으로부터 수천 달러의 연봉을 제시하는 입사 제안을 받았음에도 불구하고, 응오 안 후이는 여전히 비엣텔 팀에 헌신하고 있습니다. "저에게 있어 도전을 극복하는 것은 단순히 제 능력을 증명하고 보안 분야에서 새로운 순위를 달성하는 것만이 아닙니다. 저는 베트남에 남아 같은 열정을 가진 젊은이들과 함께 정보 보안 역사의 새로운 장을 쓰고, 국제 무대에서 베트남의 영광을 드높이고 싶습니다."라고 후이는 말했습니다. 비엣텔의 회장 겸 CEO인 타오 득 탕 대령은 이번 대회가 정답을 찾는 경쟁이 아니라, 젊은 엔지니어들이 세계 유수의 기술 장비 공급업체 및 제조업체들과 "싸워야" 하는 "그림 맞추기" 게임과 같다고 설명했습니다. 캐논, 샤오미와 같은 거대 기업들이 그 뒤를 잇고 있습니다. 우승은 결코 쉽지 않습니다. 마지막 순간에 공급업체들이 예기치 않게 패치를 배포하여 경쟁팀들이 대비하지 못한 채 경기를 마칠 수도 있기 때문입니다. 타오 득 탕 대령은 Pwn2Own 2023 우승은 단지 시작일 뿐이라고 믿습니다. "화이트햇 해커"들의 앞길은 아직 멀고, 사이버 보안 분야는 광대하며, 사이버 공간은 무궁무진하고, 젊은 엔지니어들을 기다리는 도전 과제는 많습니다. 이는 IoT에만 국한된 것이 아닙니다. 산업, 에너지, 전기 공학, 안전 등과 같은 분야에서도 젊은 엔지니어들이 자신의 능력을 증명할 기회를 가질 수 있습니다.