10월 27일 오전 1시, 비엣텔 사이버 보안 회사(VCS)의 불이 켜진 방에서 VCS팀원 14명이 기쁨에 터졌습니다. 팀이 세계에서 가장 크고 권위 있는 사이버 공격 대회인 Pwn2Own 2023에서 우승을 차지했습니다.

이는 팀 전체가 3개월 동안 밤낮으로 쉬지 않고 일한 결과이자 전 세계에서 가장 강력한 경쟁자들과의 끈질긴 경쟁에서 얻은 예상된 결과일 뿐만 아니라!

그것은 팀의 막내 멤버인 2003년생으로 현재 기술대학교(VNU) 3학년인 도안중에게 첫 달콤한 과일이 아닙니다!

응오 안 후이, 응우옌 쑤언 호앙, 응우옌 홍 꽝 등 이 토너먼트에 수년간 참가해 온 멤버들의 열망은 단지 경쟁에서 가장 높은 순위에 오르는 것만이 아니었습니다!

또한, 이번 대회는 세계에서 가장 권위 있는 대회 중 하나에서 우리나라에 최고의 자리를 안겨주어 정보 보안 및 안전 분야에서 베트남 국민의 역량을 입증하는 영광스러운 자리입니다.

그리고 무엇보다도, 그것은 비에텔이 수년 전 꾸준히 심어온 씨앗에서 수확한 "달콤한 과일"입니다. 오늘날에도 VCS와 정보 보안 전문가 팀을 보유한 Viettel은 정보 보안 및 안전 역량 분야에서 세계를 선도하는 기업 중 하나라는 자부심을 갖고 있습니다.

2023년 Pwn2Own 챔피언십에서 우승한 VCS 팀의 14명의 멤버는 모두 매우 젊습니다. 대부분의 멤버가 9x세대이고, 가장 어린 멤버는 2003년에 태어났습니다.

하지만 대부분의 팀은 수년간 "싸움"에 종사해 왔으며, 보안 및 정보 안전 분야에서 풍부한 경험과 업적을 가지고 있습니다. 팀의 가장 어린 멤버인 도 안 중(Do Anh Dung)조차도 자신을 주장할 수 있었습니다. 이 대회에서 기적을 만들어낸 사람은 바로 중이었고, 팀 전체의 전반적인 결과에 기여하는 부문에서 우승했습니다.

10월 27일 저녁 최종 라운드가 끝날 무렵, Viettel Cyber ​​​​Security(VCS) 팀이 Master of Pwn 포인트 30점을 획득하여 공식적으로 최고 우승을 차지했고, 2위 팀과의 격차를 12.75점으로 줄였습니다.

VCS는 이러한 설득력 있는 점수로 토너먼트 우승의 강력한 후보로 여겨지는 Sea Security(싱가포르), Vupen, Synacktiv(프랑스), Devcore(대만 - 작년 우승팀) 등 많은 국제적인 경쟁자들을 누르고 우승 타이틀을 확보했습니다.

VCS 팀원인 하 안 황은 대회 준비 과정에서 겪었던 어려움에 대해 다음과 같이 말했습니다. 대회가 시작되기 3개월 전에 조직위원회는 정복해야 할 장비를 발표했습니다. 그래서 준비기간은 3개월 밖에 걸리지 않았습니다. 그 기간 안에 팀이 연구에 필요한 장비를 구매할 수 있었거든요. 이러한 장치 중 다수는 해외에서 수입해야 하며 베트남에 도착하는 데 몇 달이 걸립니다.

또 다른 팀원인 응우옌 쑤언 호앙(Nguyen Xuan Hoang)은 "이 대회에는 오랫동안 참가해 온 선수들이 있습니다. 풍부한 경험을 가지고 있을 뿐만 아니라 경제적, 전문적으로도 매우 강력한 선수들이 있습니다. VCS 팀은 올해 대회에서 최고의 성공을 거두기 위해 가장 신중한 준비, 단결, 그리고 적절한 경쟁 전략을 갖추고 대회에 참가해야 한다고 판단했습니다."라고 말했습니다.

황 씨는 작년에 VCS팀이 이 대회에서 우승팀과 매우 가까운 점수로 2위를 차지했으며, 단 2.5점 차이로 졌다고 덧붙였습니다. 그래서 올해 팀은 우승을 목표로 삼았습니다.

하지만 우승으로 가는 길은 단순하지 않습니다. 이 대회의 공격 대상은 모두 Microsoft, Apple, Google, Samsung 등 세계 유수의 제조업체에서 생산된 인기 있는 기기와 소프트웨어입니다. - Nguyen Xuan Hoang이 공유했습니다.

대회의 요구 사항을 충족시키기 위해 이 기기는 미국에서 주문해야 했지만, 순간의 부주의로 인해 기기가 "죽어"버렸습니다. 미국 시장에 적합한 110V 전원을 사용하는 반면, 베트남에서는 220V를 사용하기 때문입니다.

이 대회에 4번이나 참여한 팀원 응오 안 휘(Ngo Anh Huy)에 따르면, 팀의 가장 큰 두려움은 중복된 오류이거나, 팀이 등록한 보안 취약점을 제조업체가 패치할 시간이 없다는 것입니다. 작년에 Viettel팀은 이 대회에 참가하여 중복된 허점으로 인해 점수가 감점되어 준우승을 차지했습니다.

그뿐만 아니라, 비자 절차가 지연되어 팀 전체가 토론토(캐나다)에 제시간에 도착하여 라이브 경쟁에 참여할 수 없었기 때문에 이 도전은 마지막 순간에 이루어졌습니다. 그 대신, VCS 팀의 14명의 멤버는 경쟁 중에 해결할 수 없는 문제에 대한 엄청난 불안을 안고 온라인에서 경쟁해야 했습니다...

하지만 최종 결과가 모든 것을 말해주었습니다. VCS 팀은 단순히 승리한 것이 아니라, 엄청나게 멋진 승리를 거두었습니다.

"우리가 최종 10개 최고 포인트 부문에서 우승했을 때, 팀 전체가 기쁨과 행복에 휩싸였습니다. 이 챔피언십이 의심의 여지 없이 확실한 승리라는 것을 증명했기 때문입니다." 응우옌 쑤언 호앙은 그 순간을 자랑스럽게 회상했습니다.

VCS 팀은 지난 4년간 Pwn2Own에 지속적으로 참여하여 처음으로 Pwn2Own 챔피언십 트로피를 획득했습니다. 이는 현재 세계에서 가장 "어려운" 사이버보안 대회 중 하나로, 사이버보안 기구인 제로데이이니셔티브가 매년 두 번씩 개최하는 소프트웨어 및 가전제품 공격 대회입니다.

VCS의 이사인 응우옌 손 하이 씨는 2020년 비엣텔이 스마트TV 부문에서 이 "놀이터"에서 첫 승리를 거두었다고 말했습니다. 2021년에 Viettel은 상위 5위에 진입했습니다. 2022년에는 2위를 차지했습니다. 그리고 올해는 압도적인 포인트로 챔피언십 우승을 향해 나아가는 것이 목표입니다.

Pwn2Own에는 세계적으로 유명한 사이버보안 그룹뿐만 아니라 전 세계의 대형 제조업체와 기술 기업도 참여하고 있습니다. 각 시험에서는 Windows 운영 체제, Apple, Xiaomi, Samsung 휴대폰, Canon, HP 프린터 등과 같은 인기 있는 소프트웨어나 하드웨어 장치에 대한 질문이 나옵니다.

각 팀은 소프트웨어와 기기에서 알려지지 않은 보안 취약점을 찾기 위해 경쟁하며, 30분 이내에 해당 취약점을 실시간으로 악용하는 모습을 보여줘야 합니다.

"왜 다른 보안 전문가 그룹뿐만 아니라 애플, 샤오미, 캐논, TP Link 같은 기기 제조업체들도 경쟁 상대라고 말할 수 있을까요? 그들은 자사 기기에 취약점이 있다는 사실이 알려지면서 고객의 신뢰를 잃는 것을 싫어하기 때문입니다. 이러한 기기 공급업체들은 항상 보안팀을 운영하고 있으며, 경쟁이 시작되기 전에 자사 제품의 버그를 패치하기 위해 거액을 기꺼이 지불합니다. 그래야 제품이 대중 앞에서 망신을 당하지 않을 수 있기 때문입니다."라고 VCS 팀원인 전문가 응우옌 홍 꽝은 투오이 트레(Tuoi Tre) 에 밝혔습니다.

따라서 이번 대회는 시작부터 마지막 ​​순간까지 흥미진진할 것으로 예상된다. 경쟁 팀에서 취약점을 발견하더라도 제조업체가 경쟁 당일 바로 직전에 갑자기 패치를 적용해 팀이 그동안 기울인 노력과 성과를 모두 잃게 될 가능성이 있습니다.

VCS 팀의 숙련된 Pwn2Own 플레이어인 응오 안 휘(Ngo Anh Huy)는 "따라서 성능 향상을 위해 밤낮으로 일하며 발견한 취약점이 여전히 존재하는지 '감시'해야 했고, 제조업체가 발견한 버그를 패치했는지 면밀히 모니터링해야 했습니다."라고 말했습니다.

Pwn2Own 2023 토론토 대회는 모바일 폰, 스마트 스피커, 감시 시스템, 네트워크 스토리지 시스템, 사무용 전자 제품 등의 범주를 포함한 하드웨어에 중점을 둡니다. 각 카테고리에는 30,000~100,000달러의 상금이 주어지며, 장치 공격의 난이도와 공격 시연의 완료 수준에 따라 2~10점이 부여됩니다.

상금과 포인트 모두에서 가장 가치 있는 부문은 마지막 부문인 매시업입니다. 매시업은 각 팀이 경쟁에서 주어진 네트워크 라우터 중 하나에서 익스플로잇 코드를 실행하여 앞서 언급한 부문의 장치를 공격하는 부문으로, 상금은 10만 달러와 10점입니다.

VCS팀은 개인 부문을 모두 완주하고, Xiaomi 13 Pro 휴대폰, QNAP TS 464 스토리지 시스템, Canon imageClass MF753Cdw 프린터, Sonos Era 100 스피커를 성공적으로 공략하여 20점을 획득했습니다. 상대인 Sea Security가 모든 개인 부문과 종합 부문을 완주한 후에도 17.25점에 그쳐 우승이 거의 확실시되었습니다.

경쟁의 압박은 더 이상 크지 않지만, 최종 부문은 VCS 엔지니어들을 괴롭힙니다. 왜냐하면 매시업 라운드에서 포인트가 부족했기 때문에 이 그룹이 작년에 챔피언십에서 탈락했기 때문입니다. "이번에 스매시업 부문에 진출하면서 다음 라운드 추첨에서 여전히 불리한 입장에 있습니다. 이전 팀과 같은 홀을 기록하면 점수가 감점됩니다."라고 응오 안 휘는 말했습니다. 이러한 중복된 오류로 인해 VCS는 작년 Pwn2Own에서 1위 팀보다 2.5점이나 낮은 성적을 기록했습니다.

"올해 우리는 새로운 취약점을 악용하려고 노력했을 뿐만 아니라, 찾기 매우 어렵고 다른 팀과 중복되기 어려운 취약점, 또는 찾기는 쉽지만 악용하기 어려운 취약점을 의도적으로 선택했습니다. 또한, 다양한 백업 계획도 마련해 두었습니다. 이는 팀 전체가 3개월 동안 집중적으로 연구한 결과입니다."라고 Huy는 말했습니다.

그 결과, VCS팀은 종합 부문에서 10/10점을 획득하여 총점 30점으로 종합 우승을 차지하였고, 준우승팀보다 12.5점 앞서 화려하고 완벽하게 우승을 차지했습니다.

VCS의 이사인 응우옌 손 하이(Nguyen Son Hai) 씨는 "우리는 Pwn2Own을 경쟁에 참여시키기로 했습니다. 이 대회는 엄격한 테스트 과정을 거치는 선도적인 제조업체의 세계에서 가장 인기 있는 기기를 대상으로 하는 대회이기 때문입니다."라고 말했습니다. "전문 연구팀에 투자하고 국제 무대에서 경쟁하는 것은 VCS가 인적 자원을 개발하려는 노력의 일환입니다."

VCS팀의 2023년 Pwn2Own 챔피언십 우승을 향한 여정은 긴 여정의 결과이며, 유산이며, 수년 전 정보 보안 분야 Viettel Group 리더들의 비전을 생생하게 보여주는 것입니다.

10년 전, VCS 이사인 응우옌 손 하이가 Pwn2Own 2023 챔피언십 팀원들과 같은 나이였을 때, Viettel Group의 임원들은 정보 보안 분야에 투자하기로 결심했습니다.

Viettel은 신생 농장의 첫 씨앗을 곧 심고 체계적이고 전략적인 방식으로 관리했습니다.

VCS의 심층 연구 여정은 초창기부터 시작되었는데, 처음에는 정보 보안에 종사하는 사람이 겨우 6명에 불과했습니다. VCS팀은 2011년부터 Viettel 그룹 내의 부대를 대상으로 모의 공격을 실시하여 보안 문제를 입증해 왔습니다.

"Viettel은 중요한 인프라를 운영하기 때문에 네트워크 보안을 핵심 요소로 생각하는 연구 비전을 가지고 있습니다."라고 Son Hai 씨는 말했습니다. 사이버 보안에서 가장 중요한 요소는 바로 사람입니다. 세계 최고의 제품을 최종 사용자로서만 사용하더라도 공격 위험은 여전히 ​​매우 높습니다. 특히 모바일 및 인터넷과 같은 비엣텔의 핵심 인프라는 세계 최대 규모의 공격 대상입니다.

VCS는 중요 인프라를 보호하는 전문가 팀을 구축하기 위해 세계적인 수준의 역량을 갖춘 사이버 보안 인력을 양성하는 것을 목표로 합니다. 하이 씨는 2015년부터 Viettel과 VCS가 450명의 학생을 교육했으며, 그 중 가장 적합한 인력의 5%가 계속 일하도록 채용되었다고 말했습니다.

"전문가 팀을 구성하고 심층 연구에 투자한 후, VCS 전문가 팀의 공격 능력을 향상시키기 위한 투자 방안을 지속적으로 모색하고 있습니다. 세계적인 대회에 참가하는 것 또한 이러한 목적에 부합합니다."라고 응우옌 손 하이(Nguyen Son Hai) 씨는 말했습니다.

VCS는 2013년에 알려지지 않고 패치가 적용되지 않아 가장 비용이 많이 드는 제로데이 취약점에 대한 연구를 시작했으며, 안 후이와 홍꽝은 최초의 전문가 두 명이었습니다. 2015년에 VCS 팀은 최초의 취약점을 발견했으며, 현재까지 VCS가 발견한 취약점의 수는 400개에 달했습니다.

하이 씨는 "베트남의 어떤 기업도 이런 규모에 도달한 적이 없으며, 세계적으로도 많지 않습니다."라고 표현했습니다.

심층적인 연구를 통해 학습할 수 있는 기회는 VCS가 최근 Pwn2Own에서 1위를 차지한 사이버 보안 전문가들에게 매력적인 직장이 되는 이유입니다. Viettel을 선택한 이유를 묻는 질문에 Anh Huy는 "제 경험상 사이버 보안 연구와 연구 그룹에 장기적으로 투자하려는 회사는 많지 않습니다."라고 답했습니다.

"특히 사이버 보안 분야에서는 인적 요소가 가장 중요합니다. 따라서 VCS는 항상 교육, 팀 역량 강화, 그리고 차세대 고급 인력 양성에 힘쓰며, 국제적인 문제에 항상 대비하고 있습니다."라고 VCS의 응우옌 손 하이 이사는 강조했습니다.

대회에 참가한 팀원들을 기리고 축하하는 행사에서 Viettel 그룹의 회장 겸 사장인 Tao Duc Thang은 Viettel의 "화이트 해커"에 대한 자부심을 표현했습니다. 그는 "Viettel은 VCS 그룹이 대규모 R&D 부서를 갖춘 세계 유수의 장비 제조업체와 '경쟁'하여 글로벌 사이버 보안 분야에서 권위 있는 상을 수상하게 되어 자랑스럽게 생각합니다."라고 단언했습니다.

비엣텔 그룹 대표는 "Pwn2Own은 모든 해커에게 매우 높은 난이도를 지닌 명망 있는 대회입니다. 이 대회는 세계 최고의 정보 보안팀을 보유한 제조업체들이 마지막 순간까지 해커에 대응할 준비가 되어 있는 '전투'에 비유됩니다. 연령 제한이 없고, 심지어 다국적 게임까지 가능합니다..."라고 평가했습니다. 따라서 타오 득 탕(Tao Duc Thang) 씨는 "Pwn2Own 2023 챔피언십은 비엣텔과 베트남을 국제 무대에서 유명하게 만들었습니다"라고 그룹 회장이 자랑스럽게 말했습니다.

타오 득 탕 회장은 사이버 보안 분야가 매우 광범위하고, 비엣텔 전문가들이 가야 할 길이 멀며, 앞으로도 많은 과제가 있을 것이라고 말했습니다.

"1위 자리를 유지하는 것은 쉽지 않기 때문에 우리는 계속해서 더 열심히 일하고 큰 꿈을 가져야 하며, 베트남을 세계에 알리기 위해 꿈을 현실로 만들고자 끊임없이 열망해야 합니다."라고 타오 득 탕 씨는 강조했습니다.

비엣텔 그룹 회장은 또한 앞으로도 그룹은 우수한 인력을 양성하기 위한 구체적인 정책을 마련하여 이들이 자신감을 가지고 업무에 전념할 수 있도록 할 것이라고 밝혔습니다.

타오 득 탕(Tao Duc Thang) 씨는 VCS에 이 업무를 할당하면서 VCS가 더 많은 보안 전문가를 양성해야 하며, 기업뿐 아니라 국가에 봉사하고 사이버 공간에서 국가를 보호하기 위해 최고의 기반을 갖춘 차세대를 양성하기로 결심했다고 강조했습니다.