보안 마을의 '황금' 소년들

"먹고, 자고… 구멍"

2023년은 Viettel 팀이 Pwn2Own 대회에 참가한 지 4년째 되는 해로, 진정한 영광을 안았습니다. 첫 번째 대회가 단순한 연습이었다면, 두 번째 대회(2021년)에서는 상위 5위 안에 들었고, 2022년 대회에서는 아쉽게 우승팀에게 패하며 2위를 차지했습니다. 팀장 응오 안 휘(Ngo Anh Huy)는 "Pwn2Own은 세계에서 가장 크고 권위 있는 사이버 공격 대회로, 총 상금이 최대 수백만 달러에 달하는 보안계의 "월드컵"과도 같습니다. 공격 대상은 마이크로소프트, 애플, 구글, 삼성, 샤오미 등 세계적인 주요 공급업체의 모든 인기 기기와 소프트웨어입니다."라고 소감을 밝혔습니다.

Pwn20wn 경진대회는 2023년 10월 24일부터 27일까지 캐나다 토론토에서 개최되었습니다. 14명의 젊은이(가장 어린 나이는 20세)가 우승이라는 목표를 달성하기 위해 결의에 차 있었습니다. 이전 대회처럼 많은 취약점을 찾는 데 집중하는 대신, 이번 대회에서는 젊은 엔지니어들이 체계적인 전략을 수립하여 소수의 사람만 발견하고 악용했던 오류를 찾아냈습니다. 팀 리더인 응오 안 후이(Ngo Anh Huy)가 가장 걱정하고 고민했던 것 중 하나는 팀원들을 어떻게 팀워크로 연결시킬 것인가였습니다. 대회 2주 전까지 팀 전체가 하루 20시간씩, 거의 현장에서 먹고 자면서 조직위원회에 제출할 보고서를 작성하고 취약점 패치 업데이트를 확인해야 했습니다. 팀원 하 안 황(Ha Anh Hoang)은 "취약점은 대회 전에 제조업체에서 발견하여 패치할 수 있습니다. 따라서 최고 점수를 받으려면 가능한 한 많은 취약점을 찾고 백업 공격 계획을 준비해야 합니다."라고 덧붙였습니다. 모든 것을 신중하게 준비하며 캐나다에서 경기에 나갈 날만을 손꼽아 기다렸지만, 가장 안타까운 것은 경기 날짜가 다가왔는데도 팀 전원이 입국 비자를 받지 못했다는 점이었습니다. "비엣텔 팀은 직접 경기하는 대신 집에 머물며 온라인으로 경기를 해야 했습니다. 이 또한 직접 경기에 비해 단점인데, 카메라를 통해 원격으로 장비를 점검할 수밖에 없다는 점입니다. 직접 경기하면 현장에서 협의하거나 주최측에 즉시 점검을 요청할 수 있습니다. 게다가 온라인 경기는 기계 및 장비 관련 예상치 못한 문제가 발생할 수 있습니다..."라고 호앙은 회상했습니다.

숨 막힐 듯 설득력 있는 승리

3개월 동안 "먹고, 자고, 취약점 찾기"를 반복한 끝에 마침내 G 시간이 왔습니다. 베트남 팀은 짧은 시간 안에 보안 취약점을 공격하는 능력을 입증해야 합니다. 참가자 응우옌 쑤언 호앙은 "다른 보안 대회는 보통 시간 제한이 없지만, 이번 대회에서는 30분 안에 취약점을 찾아내야 합니다. Pwn2Own은 주요 기술 기업의 최첨단 공격 대상과 장비를 통합하고 최신 소프트웨어 버전을 설치합니다. 팀의 임무는 공격 방향을 파악하고 이전에 발견되지 않은 취약점을 찾아내는 것입니다."라고 말했습니다. 각 팀은 각 대상에 대해 한 번만 해킹할 수 있습니다. 대상이 어려울수록 점수가 높아집니다. 대회가 종료되면 가장 높은 점수를 획득한 개인 또는 단체가 상품을 획득하게 됩니다. "가장 큰 걱정은 중복 오류가 발생하거나 제조사에서 제때 발견하여 패치를 적용하지 않을까 하는 것입니다. 팀원들이 다양한 홀을 준비했기 때문에, 해당 부문에서 준비해야 할 점수가 많을수록 더 많은 오류를 준비해야 합니다. 이 부분에서는 작년처럼 중복 오류가 발생하지 않고 최고 점수를 받았습니다. 감점된 점수였습니다. 너무 기뻐서 눈물이 날 정도였습니다."라고 하 안 황 씨는 말했습니다. 가장 흥미진진했던 부분은 마지막 라운드인 SOHO Smashup(소형 사무기기)이었습니다. 팀의 가장 큰 장애물은 심리적인 문제였습니다. 작년 챔피언십에 진출하지 못했기 때문에 다소 조심스러웠습니다. 계획대로 되지 않는 경우도 몇 번 있었습니다. 모두가 걱정에 진땀을 뺐습니다. 세 개의 홀을 준비했지만, 처음 두 번의 공연은 실패했습니다. 세 번째 성공했을 때 비로소 멤버들은 기쁨에 휩싸였습니다. 상대팀 또한 베트남 팀의 끈질긴 투지에 감탄해야 했습니다.

티.토

Dinh Quang Vu는 이번 대회에 처음 참가했지만, 휴대전화 취약점 부문에서 팀이 우승하는 데 중요한 기여를 했습니다. 이 부문은 대회에 새롭게 추가된 부문입니다. Vu는 "저희 팀은 삼성과 샤오미 모바일 기기 두 대를 선택했습니다. 대회 당일까지 충분히 조사하고 준비했으며 제조사 패치도 통과했지만, 삼성 모바일 기기로는 첫 번째 시도에서 실패했습니다. 당시에는 숨이 막히고 마음이 아팠지만, 다행히 침착하게 샤오미 모바일 기기로 대회를 통과했습니다."라고 소감을 밝혔습니다. 전 세계 최강 팀들과 4일간 치열한 경쟁을 벌인 끝에, 10월 27일 새벽 1시, Viettel 팀은 총점 30점으로 2위 팀보다 12.75점 앞서 대회를 성공적으로 마쳤습니다. 베트남의 젊은 엔지니어들은 Pwn2Own 챔피언십에서 7개 부문 모두에서 만점을 획득하여 18만 달러의 상금을 거머쥐며 압도적인 우승을 차지했습니다. 오류가 발견된 제품에는 Xiaomi 13 Pro, QNAP 스토리지 시스템, Canon, HP, Lexmark 프린터, Sonos 스마트 스피커, SOHO Smashup 등이 포함되었습니다. 이번 우승은 베트남 정보 보안 업계가 명망 높은 국제 대회에서 처음으로 우승을 차지하며 새로운 도약을 이룬 것을 의미했습니다. Pwn2Own에서의 수상 외에도, VSC Company의 젊은 엔지니어들은 Microsoft, Oracle, Google, Apache, VMWare 등 주요 정보 기술 플랫폼 및 시스템에서 400개 이상의 제로데이 보안 취약점을 발견했습니다.

새로운 높이를 정복하려는 열망

대회가 끝난 후, 팀 전체는 안주하지 않고 2024년 초 일본 도쿄에서 개최될 다음 대회를 위한 준비를 시작하며 새로운 도약을 향한 결의를 다졌습니다. 하 안 황은 "오늘 승리를 거두기 위해 쉬운 것부터 어려운 것까지 차근차근 정복해 왔습니다. 팀의 승리는 매우 설득력이 있지만, 경쟁자들을 무시할 수는 없습니다. 전문성 측면에서 외국 팀들이 가지고 있는 연구 분야와 역량이 아직 남아 있기 때문입니다. Viettel 팀은 할 수 없습니다. 팀의 당면 목표는 새로운 연구 주제를 찾고 Apple, Google과 같은 거대 공급업체의 보안 취약점을 찾아내는 것입니다. 그리고 더 나아가 세계 보안 분야를 선도하는 것입니다."라고 말했습니다. 국제 사회에서 인정받는 베트남의 젊은 보안 전문가 중 한 명인 응오 안 휘는 수많은 유명 기술 기업에서 수천 달러의 연봉을 받으며 근무하도록 초청받았지만, 여전히 Viettel 팀에 남아 있습니다. "제게 이 도전을 정복하는 것은 단순히 자신을 드러내고 새로운 보안 순위를 달성하는 것만이 아닙니다. 저는 베트남에 남아 같은 열정을 공유하는 젊은이들과 함께 정보 보안 산업의 새로운 역사를 써 내려가고, 베트남을 국제 무대에서 유명하게 만들고 싶습니다."라고 후이는 말했습니다. 비엣텔 이사회 의장 겸 대표이사인 타오 득 탕 대령에 따르면, 이것은 정답을 찾는 경쟁이 아니라 "그림을 보고 단어를 보는" 게임처럼 젊은 엔지니어들이 세계 유수의 기술 장비 공급업체 및 제조업체들과 "싸워야" 합니다. 공급업체 뒤에는 캐논, 샤오미와 같은 거대 기업이 있습니다. 공급업체가 마지막 순간에 갑자기 패치를 배포하여 경쟁 팀들이 수동적이고 대응하지 못하게 만들 가능성이 매우 높기 때문에 승리는 쉽지 않습니다. 타오 득 탕 대령은 Pwn2Own 2023의 우승은 단지 시작일 뿐이라고 생각합니다. "화이트 해커"의 앞날은 여전히 ​​험난합니다. 사이버 보안 분야는 매우 광활하고, 사이버 공간은 광활하며, 젊은 엔지니어들이 앞으로 마주할 수많은 도전 과제들이 기다리고 있기 때문입니다. IoT 분야뿐만 아니라 산업, 에너지, 전기, 안전 등 다양한 분야에서도 젊은 엔지니어들은 자신의 역량을 펼칠 기회를 얻고 있습니다.