"먹고, 자고…구멍"

2023년은 Viettel 팀이 Pwn2Own 대회에 참여한 4번째 해이며, 그들에게 진정한 영광이 찾아왔습니다. 첫 번째 대회가 단순히 연습용이었다면, 두 번째 대회(2021년)에서는 상위 5위에 진입했고, 2022년 대회에서는 아쉽게도 우승팀에게 패해 2등을 차지했습니다. Ngo Anh Huy(팀장)는 "Pwn2Own은 세계에서 가장 크고 권위 있는 사이버 공격 대회로, 보안계의 "월드컵"으로 총 상금이 수백만 달러에 달합니다. 공격 대상은 모두 Microsoft, Apple, Google, Samsung, Xiaomi와 같은 선도적인 공급업체의 인기 있는 기기와 소프트웨어입니다..."라고 말했습니다.

Pwn20wn 대회는 2023년 10월 24일부터 27일까지 캐나다 토론토에서 열리는 대회로, 가장 어린 소년이 불과 20살인 14명의 소년들이 우승이라는 목표를 달성하기 위해 결의를 다졌습니다. 이번 대회에서는 이전 대회처럼 많은 취약점을 찾는 데 집중하는 대신, 젊은 엔지니어 그룹은 소수의 사람만 발견하고 악용한 오류를 찾아 체계적인 전략을 구축했습니다. 팀 리더인 응오 안 휘가 가장 걱정하는 것 중 하나는 팀원들을 어떻게 연결하여 팀에서 일할 것인가(팀워크)입니다. 대회가 시작되기 전 마지막 2주 동안, 팀 전체는 하루 20시간씩 일했습니다. 거의 그 자리에서 먹고 자면서 일하면서, 조직위원회에 보낼 보고서를 준비하고, 업데이트를 확인하고, 취약점을 패치해야 했습니다. "취약점은 경쟁 전에 제조업체에서 발견하여 패치할 수 있습니다. 따라서 최고 점수를 받으려면 가능한 한 많은 취약성을 찾아 백업 공격 계획을 준비해야 하는 경우가 많습니다."라고 회원 Ha Anh Hoang이 덧붙였습니다. 모든 것을 신중하게 준비했고, 캐나다에서 경쟁을 위해 출국할 날만을 기다렸습니다. 하지만 가장 유감스러운 것은 경쟁 날짜가 가까워졌는데도 팀 전원이 아직 입국 비자를 받지 못했다는 것입니다. "팀 비엣텔은 라이브 경쟁 대신 집에 머물러 온라인으로 경쟁해야 했습니다. 이는 라이브 경쟁에 비해 단점이기도 한데, 카메라를 통해 원격으로만 장비를 확인할 수 있기 때문입니다. 라이브 경쟁을 하면 현장에서 협의하거나 주최측에 발생하는 상황을 즉시 확인해 달라고 요청할 수 있습니다. 게다가 온라인 프로세스는 기계 및 장비와 관련된 예상치 못한 문제가 발생할 수 있습니다..."라고 황은 회상했습니다.

숨 막힐 듯한, ​​설득력 있는 승리

3개월 동안 "먹고, 자고, 취약점을 찾는" 시간을 보낸 끝에 마침내 G 시간이 왔습니다. 베트남 팀은 짧은 시간 내에 보안 취약점을 공격할 수 있는 능력을 입증해야 합니다. 회원 Nguyen Xuan Hoang은 "다른 보안 대회에서는 일반적으로 시간 제한이 없지만, 이 대회에서는 30분 이내에 취약점을 찾는 것을 보여줘야 합니다. Pwn2Own은 주요 기술 회사의 가장 진보된 대상과 장치를 모아 최신 소프트웨어 버전으로 설치합니다. 팀의 임무는 공격 경로를 찾고 아직 발견되지 않은 취약점을 찾는 것입니다."라고 말했습니다. 각 팀은 타겟당 한 번만 해킹할 수 있습니다. 목표가 어려울수록 점수는 높아집니다. 경쟁이 끝나면 가장 높은 점수를 받은 개인이나 조직이 상을 받게 됩니다. "우리가 가장 걱정하는 것은 중복 오류가 있거나 제조업체가 제때 구멍을 발견하고 패치했다는 것입니다. 팀원들은 다른 구멍을 준비했습니다. 범주에 대한 포인트가 많을수록 준비해야 할 오류도 많아집니다. 이 섹션에서 팀은 작년에 포인트가 차감되었을 때와 같이 중복 오류 없이 전체 포인트를 받았습니다. 우리는 기쁨의 눈물을 흘렸습니다."라고 하 안 황은 말했습니다. 가장 흥미로운 부분은 마지막 라운드인 SOHO Smashup(소규모 사무 기기)이었습니다. 팀의 문제는 심리적인 것인데, 작년에 우승을 놓쳤기 때문에 그들은 약간 조심하고 있습니다. 그렇더라도, 계획대로 되지 않는 때도 있었습니다. 모두가 걱정으로 땀을 흘렸습니다. 3개의 홀을 준비했는데도 처음 2번은 실패했어요. 세 번째 성공하고서야 멤버들은 기쁨에 휩싸였다. 상대팀도 베트남 팀의 끈기 있는 투쟁에 감탄하지 않을 수 없었다.

티.토

Dinh Quang Vu는 이번이 처음 대회에 참가했지만 팀이 휴대전화 취약성 부문에서 우승하는 데 큰 기여를 했습니다. 이것은 이번 대회에 새로 등장한 부문입니다. Vu는 "저희 팀은 삼성과 샤오미의 모바일 기기 2개를 선택했습니다. 경쟁일 전에 조사하고, 매우 신중하게 준비하고, 제조업체의 패치를 통과했지만, 삼성과의 첫 번째 시도에서 실패했습니다. 그 당시의 감정은 숨 막히고 가슴 아팠지만, 다행히도 우리는 침착했고 샤오미 모바일 기기로 경쟁에서 승리했습니다."라고 말했습니다. 전 세계 여러 지역의 최강 팀들과 4일간 치열한 경쟁을 벌인 끝에, 10월 27일 오전 1시, Viettel 팀은 총점 30점을 기록하여 2위 팀보다 12.75점 앞서 대회를 성공적으로 마쳤습니다. 베트남의 젊은 엔지니어들이 Pwn2Own 챔피언십에서 우승을 차지하며, 7개 등록 부문에서 모두 완벽한 점수를 받아 18만 달러의 상금을 획득했습니다. 영향을 받는 제품으로는 Xiaomi 13 Pro, QNAP 스토리지 시스템, Canon, HP, Lexmark 프린터, Sonos 및 SOHO Smashup 스마트 스피커가 있습니다. 이번 승리는 베트남 정보 보안 산업이 권위 있는 국제 대회에서 처음으로 우승을 차지한 이래로 새로운 돌파구를 마련했다는 것을 의미합니다. Pwn2Own에서 수상한 것 외에도 VSC 회사의 젊은 엔지니어들은 Microsoft, Oracle, Google, Apache, VMWare 등 주요 정보기술 플랫폼과 시스템의 400개 이상의 제로데이 보안 취약점을 발견했습니다.

새로운 높이를 정복하려는 열망

팀은 안주하지 않고 대회가 끝난 후 2024년 초 일본 도쿄에서 개최될 다음 대회를 준비하기 시작했으며, 새로운 기록을 정복하겠다는 결의를 다졌습니다. 하 안 황은 "오늘의 승리를 이루기 위해 우리는 쉬운 것에서 어려운 것으로 단계적으로 정복했습니다. 팀 전체의 승리는 매우 설득력이 있지만, 이 경쟁의 상대를 무시할 수는 없습니다. 전문성 측면에서 외국 팀이 가지고 있는 연구 분야와 역량이 있고, Viettel 팀은 할 수 없기 때문입니다. 팀의 즉각적인 목표는 새로운 연구 주제를 찾고 Apple, Google과 같은 거대 공급업체의 보안 취약점을 찾는 것입니다. 그리고 더 나아가 세계 보안 분야에서 선두를 달리는 것입니다."라고 고백했습니다. 국제 사회에서 인정받는 베트남의 젊은 보안 전문가 중 한 명인 응오 안 휘는 수천 달러의 급여를 받으며 많은 유명 기술 회사에서 일하도록 초대받았으며, 그는 여전히 Team Viettel에 남아 있습니다. "저에게 있어 도전을 극복하는 것은 단순히 제 자신을 주장하고 새로운 보안 순위를 달성하는 것만이 아닙니다. 저는 베트남에 머물러서 같은 열정을 공유하는 젊은이들과 함께 정보 보안 산업의 새로운 역사의 페이지를 계속 쓰고, 베트남을 국제 무대에서 유명하게 만들고 싶습니다."라고 후이는 말했습니다. Viettel 이사회 의장 겸 사장인 타오 덕 탕 대령에 따르면, 이것은 정답을 찾는 경쟁이 아니라, 젊은 엔지니어들이 세계 유수의 기술 장비 공급업체 및 제조업체와 "싸워야" 하는 "단어 잡기" 게임입니다. 공급업체 뒤에는 Canon, Xiaomi와 같은 매우 큰 그룹이 있습니다. 마지막 순간에 공급업체가 갑자기 패치를 출시하여 경쟁 팀이 수동적이고 대응할 수 없게 만들 수 있으므로 승리하기 쉽지 않습니다. 타오 덕 탕 대령은 Pwn2Own 2023에서 우승하는 것이 시작일 뿐이라고 말했습니다. "화이트 해커"의 앞길은 여전히 ​​멀다. 사이버 보안 분야는 매우 방대하고, 사이버 공간은 광활하며, 젊은 엔지니어들이 앞으로 겪게 될 과제도 많기 때문이다. 사물인터넷 분야에만 그치지 않고 산업, 에너지, 전기, 안전 등 다양한 분야에서도 젊은 엔지니어들이 자기 주장을 펼칠 기회가 주어집니다.