보안 마을의 '황금' 소년들

"구멍으로 먹고 자고…"

2023년은 Viettel 팀이 Pwn2Own 대회에 참가한 지 4년째 되는 해로, 진정한 영광을 안았습니다. 첫 번째 대회가 단순한 연습이었다면, 두 번째 대회(2021년)에서는 상위 5위 안에 들었고, 2022년 대회에서는 아쉽게 우승팀에게 패하며 2위를 차지했습니다. 팀장 응오 안 휘(Ngo Anh Huy)는 "Pwn2Own은 세계에서 가장 크고 권위 있는 사이버 공격 대회로, 총 상금이 수백만 달러에 달하는 보안계의 "월드컵"과도 같습니다. 공격 대상은 마이크로소프트, 애플, 구글, 삼성, 샤오미 등 세계 유수의 공급업체에서 출시한 모든 인기 기기와 소프트웨어입니다."라고 소감을 밝혔습니다.

Pwn20wn 경진대회는 2023년 10월 24일부터 27일까지 캐나다 토론토에서 개최되었습니다. 14명의 젊은이(가장 어린 나이는 20세)가 우승이라는 목표를 달성하기 위해 결의에 차 있었습니다. 이전 대회처럼 많은 취약점을 찾는 데 집중하는 대신, 이번 대회에서는 젊은 엔지니어들이 체계적인 전략을 수립하여 소수의 사람만 발견하고 악용하는 오류를 찾아냈습니다. 팀 리더인 응오 안 후이(Ngo Anh Huy)가 가장 걱정하고 고민했던 것 중 하나는 팀원들을 어떻게 팀워크로 연결하느냐였습니다. 대회 2주 전까지 팀 전체가 하루 20시간씩, 거의 현장에서 먹고 자면서 일했습니다. 조직위원회에 제출할 보고서를 작성하고, 업데이트를 확인하고, 취약점을 패치해야 했습니다. 팀원 하 안 황(Ha Anh Hoang)은 "취약점은 대회 전에 제조업체에서 발견하여 패치할 수 있습니다. 따라서 최고 점수를 받으려면 가능한 한 많은 취약점을 찾고 백업 공격 계획을 준비해야 합니다."라고 덧붙였습니다. 모든 것을 신중하게 준비하며 캐나다에서 경기에 나갈 날만을 손꼽아 기다렸지만, 가장 안타까운 것은 경기 당일이 다가왔는데도 팀 전원이 입국 비자를 받지 못했다는 점이었습니다. "비엣텔 팀은 직접 경기하는 대신 집에 머물며 온라인으로 경기를 치러야 했습니다. 이 또한 직접 경기하는 것에 비해 단점인데, 카메라를 통해 원격으로만 기기를 확인할 수 있기 때문입니다. 직접 경기하면 현장에서 바로 확인하거나 주최측에 즉시 상황을 점검해 달라고 요청할 수 있습니다. 게다가 온라인 경기는 기계 및 장비 관련 예상치 못한 문제가 발생할 수 있습니다..."라고 호앙은 회상했습니다.

숨 막힐 듯 설득력 있는 승리

3개월 동안 "먹고, 자고, 취약점을 찾는" 시간을 보낸 후, 마침내 베트남 팀은 단시간 내에 보안 취약점을 공격할 수 있는 능력을 입증해야 할 때가 왔습니다. 참가자 응우옌 쑤언 호앙은 "다른 보안 대회는 보통 시간 제한이 없지만, 이번 대회에서는 30분 안에 취약점을 찾아내야 합니다. Pwn2Own은 주요 기술 기업의 최첨단 공격 대상과 장비를 통합하고 최신 소프트웨어 버전을 설치합니다. 팀의 임무는 공격 방향을 파악하고 이전에 발견되지 않은 취약점을 찾아내는 것입니다."라고 말했습니다. 각 팀은 각 대상에 대해 한 번만 해킹할 수 있습니다. 대상이 어려울수록 점수가 높아집니다. 대회 종료 시 가장 높은 점수를 획득한 개인 또는 단체가 상금을 획득합니다. "가장 큰 걱정은 중복 오류가 발생하거나 제조사에서 제때 발견하여 패치를 해 버리는 것이었습니다. 팀원들이 여러 개의 구멍을 준비했는데, 해당 부문에서 준비해야 할 점수가 많을수록 오류도 더 많아졌습니다. 이 부분에서는 팀이 최고 점수를 받았고, 작년처럼 중복 오류가 발생하지 않아 점수가 감점되는 일도 없었습니다. 너무 기뻐서 울었습니다."라고 하 안 황 씨는 말했습니다. 가장 흥미진진했던 부분은 SOHO 스매시업(소형 사무기기) 결승전이었습니다. 작년 챔피언십에 진출하지 못했던 경험이 있는 만큼 심리적인 부담이 컸기에 다소 조심스러웠습니다. 계획대로 되지 않는 경우도 몇 번 있었습니다. 모두가 걱정에 진땀을 흘렸습니다. 세 개의 구멍을 준비했지만, 처음 두 번은 실패했습니다. 세 번째 성공했을 때 비로소 멤버들은 기쁨의 눈물을 흘렸습니다. 상대 팀 또한 베트남 팀의 끈질긴 투지에 감탄해야 했습니다.

티.토

Dinh Quang Vu는 이번 대회에 처음 참가했지만, 팀이 모바일 기기 취약점 부문에서 우승하는 데 중요한 기여를 했습니다. 이 부문은 대회에 새롭게 추가된 부문입니다. Vu는 "저희 팀은 삼성과 샤오미의 모바일 기기 두 대를 선택했습니다. 대회 당일 전에 제조사 패치를 통과하고 면밀히 조사하고 준비했지만, 삼성과의 첫 번째 시도에서 실패했습니다. 숨이 막히고 가슴이 아팠지만, 다행히 침착하게 샤오미 모바일 기기 대회에 합격했습니다."라고 소감을 밝혔습니다. 전 세계 최강 팀들과 4일간 치열한 경쟁을 벌인 끝에, 10월 27일 새벽 1시, Viettel 팀은 총점 30점으로 2위 팀보다 12.75점 앞서 대회를 성공적으로 마쳤습니다. 베트남의 젊은 엔지니어들은 Pwn2Own 챔피언십에서 7개 부문 모두에서 만점을 기록하며 18만 달러의 상금을 거머쥐며 압도적인 우승을 차지했습니다. 오류가 발견된 제품에는 샤오미 13 Pro, QNAP 스토리지 시스템, 캐논, HP, 렉스마크 프린터, 소노스 스마트 스피커, SOHO Smashup 등이 포함되었습니다. 이번 우승은 베트남 정보 보안 업계가 명망 높은 국제 대회에서 처음으로 우승을 차지하며 새로운 도약을 이룬 것을 의미했습니다. Pwn2Own에서의 수상 외에도 VSC Company의 젊은 엔지니어들은 Microsoft, Oracle, Google, Apache, VMWare 등 주요 정보 기술 플랫폼 및 시스템에서 400개 이상의 제로데이 보안 취약점을 발견했습니다.

새로운 높이를 정복하려는 열망

대회가 끝난 후, 팀 전체는 "자만하지 않고" 2024년 초 일본 도쿄에서 개최될 다음 대회를 위한 준비를 시작했습니다. 새로운 도약을 향한 결의를 다졌습니다. 하 안 황은 "오늘의 승리를 위해 쉬운 것부터 어려운 것까지 차근차근 정복해 왔습니다. 팀의 승리는 매우 설득력이 있지만, 경쟁자들을 무시할 수는 없습니다. 전문성 측면에서 외국 팀들이 보유하고 있는 연구 분야와 역량은 Viettel 팀에는 아직 부족하기 때문입니다. 팀의 당면 목표는 새로운 연구 주제를 찾고 Apple, Google과 같은 거대 공급업체의 보안 취약점을 찾아내는 것입니다. 그리고 더 나아가 세계 보안 분야를 선도하는 것입니다."라고 말했습니다. 국제 사회에서 인정받는 베트남의 젊은 보안 전문가 중 한 명인 응오 안 휘는 수많은 유명 기술 기업으로부터 수천 달러의 투자를 유치하며 Viettel 팀에 남아 있습니다. "저에게 이 도전을 극복하는 것은 단순히 자신을 드러내고 보안 분야에서 새로운 순위를 달성하는 것만이 아닙니다. 저는 베트남에 남아 같은 열정을 공유하는 젊은이들과 함께 정보 보안 산업의 새로운 역사를 써 내려가고, 베트남을 국제 무대에서 유명하게 만들고 싶습니다."라고 후이는 말했습니다. 비엣텔 이사회 의장 겸 대표이사인 타오 득 탕 대령에 따르면, 이것은 정답을 찾는 경쟁이 아니라 "단어 맞추기" 게임처럼 젊은 엔지니어들이 세계 유수의 기술 장비 공급업체 및 제조업체들과 "싸워야" 합니다. 공급업체 뒤에는 캐논, 샤오미와 같은 거대 기업이 있습니다. 공급업체가 마지막 순간에 갑자기 패치를 배포하여 경쟁 팀들이 수동적이고 대응하지 못하게 만들 가능성이 매우 높기 때문에 승리는 쉽지 않습니다. 타오 득 탕 대령은 Pwn2Own 2023 챔피언십 우승은 단지 시작에 불과하다고 생각합니다. 사이버 보안 분야는 매우 광활하고 사이버 공간은 광활하며, 앞으로 젊은 엔지니어들을 기다리고 있는 수많은 도전 과제들이 있기 때문에 "화이트 해커"의 앞날은 여전히 ​​멉니다. 사물인터넷 분야에만 그치지 않고 산업, 에너지, 전기, 안전 등 다양한 분야에서 젊은 엔지니어들이 자신의 역량을 발휘할 수 있는 기회가 제공됩니다.