ISEC 2009 CTF

화이트 해커 양성과 사이버공격에 대한 전방위적 공동대응 일환

ISEC 2009 CTF는 국내 해킹 및 보안 인력들의 정보보호 능력 함량과 동기부여라는 취지에서 기획됐다. 270개의 국내팀과 30여개의 해외팀이 참가, 열띤 경쟁을 펼친 예선 결과 상위 8개 팀이 본선에 진출했으며 지난 달 8일과 9일 양일간에 걸쳐 24시간 동안 진행된 본선 대회에서는 막판 치열한 순위 경쟁을 벌이며 국내팀인 beistlab without BOBANA팀이 우승했다.

행정안전부가 주최하고 와우해커/쉬프트웍스가 주관한 ISEC 2009 CTF가 지난달 8일 오후 12시부터 다음날 9일 오후 12시까지 24시간 동안 코엑스(COEX) 그랜드볼룸에서 개최됐다. 8월 예선을 통과한 8개 팀이 경합을 벌인 이번 본선대회에는 베트남의 CLGT 팀과 국내 7개 팀(GoN, beistlab without BOBANA, silverbug, plus, 男女老少, 777, codeEngn 팀)으로 구성됐으며 회사원 17명, 대학생 37명, 고등학생 2명, 기타 1명 등 총 57명이 참가했다.

이번 대회는 지난 7.7 DDoS 공격과 같이 조직화·지능화되는 사이버 공격에 대응할 수 있는 국제적 수준의 전문가 양성을 위해 실제와 같은 사이버공격 상황을 만들어 놓고 본선에 참여한 8개 팀들이 서로 공격과 방어를 겨루는 방식으로 진행됐다.

12시간의 치열한 접전 끝에 김은수 등 8명으로 구성된 ‘beistlab without BOBANA팀(이하 beistlab팀)이 2,438점을 획득하며 우승을 거머쥐었으며, 김경동 등 8명으로 이뤄진 ‘男女老少’팀이 2,119점을 획득, 준우승을 차지했다. 특히 beistlab팀은 ‘09년에 Padocon Hacking Contest에서도 1등을 수상한 바 있으며 그간 CodeGate 등 해킹대회에서 문제 출제 및 운영 등 경험이 많아 이미 실력을 인정받은 팀이다.

본 대회의 시상식은 행정안전부 정보화전략실장, 이재우 ISEC 행사조직 위원장 및 민관 정보보호담당자 1,000여명이 참석한 가운데 우승자인 beistlab팀에게는 행정안전부 장관상과 1000만원의 상금을, 그리고 준우승자인 ‘男女老少’팀에게는 행정안전부 장관상과 200만원의 상금이 수여됐다.

정하경 행정안전부 정보화전략실장은 시상식 폐회사를 통해 우리나라가 IT강국이지만 정보보호 분야는 취약하다면서 “사이버안전이 보장된 진정한 IT강국으로 재도약하기 위해서 정보보호에 재능이 있는 인재를 발굴, 양성하는 국가적 체계를 마련하는 것이 무엇보다 중요하다”며 “해킹대회 참가자 등 전문가 여러분들이 합심해 사이버세상의 안전을 지키는 ‘평화유지군’의 역할을 다해주길 바란다”고 당부했다.

우승을 차지한 beistlab팀의 김은수씨는 “집중해서 대회를 치르다 보니 좀 긴장도 되고 지치기도 했지만 우승을 하게 돼 매우 기쁘다”며 “앞으로 이런 대회가 더욱 활성화돼 해커들에 대한 부정적인 인식도 변화되고 자유롭게 활동할 수 있는 공간과 나아가 사회에 기여할 수 있는 기회도 넓어졌으면 한다”고 소감을 밝혔다.

mini interview

CTF 우승, ‘beistlab without BOBANA’ 팀

“2분 남기고 푼 문제, 기립박수의 감동 기억남아”

이번 ISEC 2009 CTF에서 우승을 차지한 beistlab without BOBANA(이하 비스트랩)팀은 얼마 전 열린 세계 제일 국제 해킹대회인 데프콘에서 우수한 성적을 올리고 국내 해킹대회인 코드게이트를 운영했던 우수한 해킹 그룹이다. 비스트랩은 이번 ISEC 2009 CTF에서 종료 2분을 남겨놓고 고난이도 문제를 해결해 1위를 차지하게 됐다. 우승한 비스트랩의 멤버인 박천성(닉네임 ashine)씨와 성지호(닉네임 slayer1000)씨를 만나 대회에 대한 소감을 들어봤다.

이번 대회에 대한 소감 한마디씩 부탁드립니다.

박천성 : 이번 대회에서 재미있는 문제들을 많이 접해서 문제를 푸는 내내 정말 즐거운 시간을 보냈고요. 이런 문제를 내준 와우해커에게 일단 감사하고 대회와 컨퍼런스를 열어준 보안뉴스와 행정안전부에도 감사합니다.

성지호 : 비스트랩 멤버들 중 최대인원이 같이 문제를 풀 수 있어서 너무나 즐겁고 유익한 대회였습니다. 해킹이라는 분야를 접한 지 얼마 되지 않았지만 팀원들의 도움으로 우승까지 할 수 있어서 개인적으로도 아주 뜻 깊은 대회가 되었습니다. 이런 기회를 주신 보안뉴스와 행정안전부 그리고 문제를 내주신 와우해커팀에게 감사하다는 말을 전하고 싶습니다.

비스트랩은 어떤 해킹 그룹인지?

박천성 : 저희는 해킹에 대해 연구와 프로젝트를 하는 비영리 그룹입니다. 그전에는 비스트형(비스트랩의 대장)이 계속 이끌어 오셨고요. 현재 멤버들이 다 같이 활동한지는 몇 년 되지 않았지만 가족적인 분위기로 각자 프로젝트나 연구를 진행하면서 그 결과를 발표하거나 대회를 할 때 주로 모입니다.

비스트랩에서 가장 기억에 남는 활동이 있었다면 어떤 것이 있나요?

박천성 : 일단 ISEC CTF에서 우승한 것과 데프콘 CTF 참석 한 것. 그리고 코드게이트 대회를 개최한 것이 기억에 남습니다. 모두 하나하나 강렬한 기억으로 남아있고 정말 즐거운 시간을 보내고 배운 것도 많은 경험들이었습니다.

성지호 : 저는 개인적으로 코드게이트 행사 중 해킹대회를 저희가 운영한 게 기억에 남네요, 국내 해커들뿐 아니라 그때는 수많은 외국해커들과 만나서 좋았습니다. 특히 2등을 한 섹시 판다스 팀과는 아직도 지속적인 연락을 통해서 우호관계를 다지고 있죠. 대회 중에 제가 실수한 것도 있고 해서 더 경험도 많이 되었고 기억에도 남는 것 같습니다.

경기 종료 2분을 남겨놓고 문제를 풀었을 때 기립박수가 나오던데?

박천성 : 모든 팀이 마지막까지 매달리던 문제였는데 저희가 운 좋게 마지막에 풀 수 있었습니다. 그리고 대회 2분전에 풀은 문제가 저희가 처음으로 해결해 풀은 문제여서 더 감동적이었죠. 처음 문제를 풀게 되면 약간의 보너스 점수(Breakthrough)를 더 받게 되기 때문이죠. 그리고 대회 당시에 브레이크쓰루(Breakthrough)를 받게 되면 화면이 몇 분정도간 그에 관한 출력을 해주게 돼 주목받게 됩니다.

팀명이 beistlab without BOBANA으로 독특한데 특별한 이유가 있나요?

박천성 : 원래 BOBANA라는 닉네임을 쓰시는 분은 우리 팀의 멤버가 아닙니다. 그냥 이름을 짓다가 재미있게 지어보려고 평소에 친분이 있는 BOBANA님의 이름을 팀명에 넣게 됐습니다. 그후 BOBANA님은 여기저기서 놀림감이 됐다고 하네요. 하하(웃음). 그런데 대회 당시에는 BOBANA는 대문자고 beistlab은 소문자였기 때문에 많은 사람들이 보바나 팀이라고 불러 안타까웠습니다.

이번 해킹 대회에서 잘된 점과 아쉬웠던 점을 꼽는다면?

박천성 : 이번 해킹대회에서 잘된 점은, 본선은 CTF로 운영되었는데 CTF 방식의 대회는 대회를 여는 것이 상당히 어려운데 와우해커에서 정말 잘 열어주시고 운영도 잘해주셔서 아무런 문제없이 대회가 잘 진행되어서 국내에서도 수준 높은 대회가 되었던 것 같습니다.

특히 진행을 위해 와우해커 분들이 항상 상주해 계시면서 밤새도록 있으셨고, 혹시 궁금한 점이나 문제가 발생하면 바로바로 처리해주셔서 진행이 잘 된 것 같습니다. 다만 아쉬웠던 점은 CTF장이 조금 좁았다는 점과 휴식공간이 조금 미흡했던 것 같습니다. 하하(웃음).

그리고 대회 진행 상황을 보여주는 화면이 좀 작아서 주목이 덜된 것 같아 아쉽습니다.

참가팀 인터뷰

Ⅰ준우승 ‘男女老少’팀Ⅰ

팀에 대한 소개

이름 그대로 남녀노소가 모여 보안을 공부하고 ISEC 대회를 나오기 위해 결성된 팀입니다. Defcon 17 CTF에 참가했던 Song of Freedom 팀의 일부 멤버들로 이뤄졌습니다.

이번 해킹 대회의 잘된 점과 개선돼야 할 점은?

CTF형식을 띤 대회며 문제 난이도도 다양하게 출제돼 재미있게 즐길 수 있어서 좋았습니다. 하지만 대회장이 전반적으로 좁았으며 점수가 나오는 화면이 너무 작아 구경하시는 분들 뿐 아니라 참여하는 저희도 알아보기 힘들었습니다. 또한 24시간 대회니만큼 참가자들이 잠깐이나마 쉴 수 있는 자리가 있었으면 좋았을 것 같은 아쉬움이 듭니다.

현재 우리나라는 보안에 대한 인식이 부족한 편인데, 정부의 방침이나 법제도 등 어떤 부분이 개선돼야 한다고 보는지?

정부의 방침이나 법제도가 너무 처벌에만 국한되어 있다는 점이 아쉽습니다. 최근에는 이렇게 정부가 주최하는 대회도 열리고 해서 좋아지는 듯 합니다만, 조금 더 자유롭게 보안을 공부하는 사람들이 연구할 수 있는 환경이나 제도가 뒷받침돼야 보안 분야가 발전할 수 있다고 봅니다.

해커들이 생각하는 ‘보안은 이것이다’에 대한 의견

‘정보화 사회, 정보가 힘이다’라는 말들을 많이 하는데 이런 사회에서 보안은 필수라고 생각합니다. 부차적인 것으로 여기다 보면 제2, 3의 인터넷 대란이 일어나는 것은 불보듯 뻔한 일입니다.

이번 해킹 대회 참석 소감 한마디

먼저 행안부 및 보안뉴스 그리고 와우해커와 시프트웍스 분들께 감사말씀 드립니다. ISEC 2009 CTF에 참가해서 너무 즐거웠고 재미있었습니다. 앞으로 지속적으로 발전하는 ISEC이 되길 바라며 내년도 ISEC CTF 우승을 위해 열심히 노력하겠습니다.

Ⅰ‘GoN’팀Ⅰ

팀에 대한 소개

GoN은 KAIST의 해킹/보안 동아리입니다. 학교에서 배우기 힘든 보안을 공부하자는 데에서 출발했고 KAIST-POSTECH Science war 해킹대회를 시작으로 각종 국내외 해킹대회에 출전/입상하고 있습니다.

이번 해킹 대회의 잘된 점과 개선돼야 할 점은?

CTF형태의 대회가 잘 구성된 것은 이번이 처음인 것 같습니다. 모든 문제가 CTF로 진행된 이번 대회는 한순간도 긴장을 놓을 수 없는 스포츠 경기와 같은 느낌을 줬습니다. 개선되어야 할 점으로는 점수 획득 방식에서 공격점수 이외에 방어점수도 추가가 된다면 더 좋을 것 같고 조금 더 넓은 공간에서 대회가 진행됐다면 멤버간 커뮤니케이션이 더 좋지 않았을까 합니다.

현재 우리나라는 보안에 대한 인식이 부족한 편인데, 정부의 방침이나 법제도 등 어떤 부분이 개선돼야 한다고 보는지?

저는 우선 방침보다 사용자에 대한 교육이 절실하다고 생각합니다. 갈수록 복잡해지는 인터넷 환경에서 사용자 자신이 자신의 정보를 지킬 줄 알아야 하는데 그런 의식의 부족으로 생기는 사고가 많습니다. 국가 차원에서 인터넷 사용자들에게 보안 교육을 실시한다면 이런 점이 사전에 예방되지 않을까 생각합니다.

해커들이 생각하는 ‘보안은 이것이다’에 대한 의견

앞에서도 말씀 드렸듯이 실 생활에서 건강관리나 운동, 호신술 등으로 자기가 자신의 몸을 지키듯, 보안 역시 사이버 스페이스에서 자기 자신을 지키는 일이 아닌가 하고 생각합니다. 자기 자신 뿐만이 아니라 회사, 국가도 마찬가지인 것 같습니다.

이번 해킹 대회 참석 소감 한마디

DEFCON CTF가 세계 최고의 해킹대회로 알려져 있는데 활발히 연구 활동을 펼치는 우리나라 보안전문가들이라면 우리나라에서 머지 않아 세계 최고의 해킹대회가 열릴 날을 기대할 수 있다고 생각합니다.

 

Ⅰ‘PLUS’팀Ⅰ

팀에 대한 소개

PLUS팀은 포항공대 정보보안 연구회입니다.

이번 해킹 대회의 잘된 점과 개선돼야 할 점은?

잘된 점으로는 문제들이 참신했던 점을 꼽을 수 있습니다. 개선돼야 할 점으로는 대회장 구조가 각 팀마다 너무 붙어있어서 불편했습니다. 사람들이 테이블 안쪽으로 앉을 수 있도록 해 주셨으면 좋았을 것 같습니다. 또한 대회 시작시간이 너무 일렀습니다. 지방에서 올라가는 사람들에게는 다소 힘든 시간이었습니다. 이 외에 아쉬운 점으로는 key를 덮어쓰거나 packet을 분석하는 것들은 할 수가 없었던 점, 서비스 가동률 체크하는 것이 엉성했던 점입니다.

현재 우리나라는 보안에 대한 인식이 부족한 편인데, 정부의 방침이나 법제도 등 어떤 부분이 개선돼야 한다고 보는지?

화이트 해커들을 육성할 수 있는 터전을 마련해 주었으면 합니다. 이런 대회에서 그칠 것이 아니라 실제로 한국 보안에 대해서 토론하고 같이 고민할 수 있는 장을 만들어 주셨으면 합니다.

해커들이 생각하는 ‘보안은 이것이다’에 대한 의견

보안은 현대사회에서 꼭 필요한 요소입니다. 정보화 시대에서 가장 가치있는 것은 정보이니만큼 정보를 많이 가지고 있는 것도 중요하지만 그 것을 지키는 것도 매우 중요하다고 생각합니다.

이번 해킹 대회 참석 소감 한마디

말로만 들어왔던 국내 해커들이 한자리에 모였던 자리인 만큼 굉장히 뜻 깊었습니다. 앞으로도 대회가 계속 진행된다면 꼭 참가하고 싶습니다. 감사합니다.

Ⅰ‘777’팀Ⅰ

팀에 대한 소개

각기 다른 곳의 고등학생과 대학생들로 이루어진 연합팀입니다. 팀 이름 ‘777’은 ‘777 대란을 잊지 말자’ 라는 뜻과 ‘행운의 숫자 7’의 의미를 갖고 있습니다.

이번 해킹 대회의 잘된 점과 개선돼야 할 점은?

전체적으로 너무 좋은 대회였습니다. 다만, 본선 대회가 본래 예상 시간보다 3시간 늦게 시작 했던 점이 조금 아쉬웠습니다.

현재 우리나라는 보안에 대한 인식이 부족한 편인데, 정부의 방침이나 법제도 등 어떤 부분이 개선돼야 한다고 보는지?

물론 현재 정부에서 많은 노력을 해주고 있지만 많은 일반인들이 백신설치나 패스워드 변경과 같은 기본적인 보안 수칙을 지키지 않는 경우가 많이 있습니다. 이 부분에 대해서 더 많은 캠페인과 홍보가 이뤄졌으면 합니다.

해커들이 생각하는 ‘보안은 이것이다’에 대한 의견

보안은 한마디로 ‘관심’인 것 같습니다. 사람이든 물건이든 자신이 관심이 있는 것에 대해서는 애착을 갖고 돌보기 마련입니다. 자신이 사용하는 컴퓨터에 대해 관심을 쏟는 것이 보안의 핵심이라고 생각합니다.

이번 해킹 대회 참석 소감 한마디

한고비만 넘기면 풀 수 있는 문제들이 몇 문제 있었는데 대회 종료 때까지 끝내 풀지 못해서 너무 아쉬웠던 대회였습니다.

또한 저 자신의 부족한 실력을 알 수 있었던 아주 좋은 기회였습니다. 더 열심히 내공을 쌓아서 다음에 다시 한번 도전해보고 싶습니다.

Ⅰ‘CLGT’팀Ⅰ

팀에 대한 소개

저희 팀은 베트남에 있는 정보보호 연구팀인 VNSECURITY(http://vnsecu rity.net) 의 멤버들로 9명이 모여 만든 팀입니다. CLGT는 베트남어로 ‘9마리의 용이 머무는 강’이라는 의미의 메콩강을 지칭하며 약자를 따 팀명으로 만들었습니다.

이번 해킹 대회의 잘된 점과 개선돼야 할 점은?

대회 운영이 체계적으로 잘 이뤄졌다고 생각합니다. 다양한 해킹 분야의 문제가 출제돼 흥미로웠으며 질적인 면에서도 우수한 문제들이었습니다. 24시간 진행됐기 때문에 체력적으로 많이 힘들었지만 좋은 경험이 됐던 것 같습니다.

이번 해킹 대회에서 기억에 남았던 것은?

모든 문제를 다 풀어서 기뻤지만 다른 팀들이 먼저 취약점을 발견했기 때문에 낮은 점수를 받을 수 밖에 없었습니다. 비록 6위를 했지만 그래도 본선에 진출한 것 자체가 우리에겐 이미 승리라고 생각했습니다. 그래서 기쁜 마음으로 대회에 열중할 수 있었습니다. 가장 기억에 남는 순간은 많은 시간 동안 공들여 첫 점수를 다 풀고 난 후 8위에서 6위로 올라갔을 때입니다. 이 외에도 한국의 행안부 장관님과 대화를 나누게 돼 개인적으로 영광이었습니다.

해커들이 생각하는 ‘보안은 이것이다’에 대한 의견

세계적 보안 기술자인 브루스 쉬나이어(Bruce Schneier)는 “보안이란 설명할 수 없기 때문에 어려운 것이다”라고 말한 바 있습니다. 솔직히 말해서 저도 보안을 어떻게 설명해야 할지 모르겠습니다. 간단히 말하자면, 보안이란 위기 관리에 대한 모든 것이며 예방 및 탐지와 대응이 잘 갖춰져 있을 때 비로소 빛을 발하는 것이라 생각합니다.

이번 해킹 대회 참석 소감 한마디

24시간이란 짧지 않은 시간 동안 8개의 팀 모두가 정말 수고 많이 했다고 생각합니다. 다음에 기회가 된다면 꼭 다시 와서 더 나은 성적을 거두 갈 수 있길 희망해 봅니다. 이번 대회를 계기로 더 배워야겠다는 결심을 굳히게 됐습니다. 한국 ISEC 2009 CTF에 초청해 주신 행안부와 보안뉴스에 감사의 말을 전하고 싶습니다.

Ⅰ‘CodeEngn’팀Ⅰ

팀에 대한 소개

저희는 이번 ISEC 2009 CTF를 위해 만든 팀으로 국내 리버싱 전문 컨퍼런스를 개최하는 커뮤니티인 ‘코드엔진’의 멤버들로 구성됐습니다.

이번 해킹 대회의 잘된 점과 개선돼야 할 점은?

정확한 의미에서의 CTF 운영은 아니지만 대회 운영 중 생기는 문제점에 대한 빠른 대응이 좋았습니다.

개선돼야 할 점은 보다 CTF 운영에 맞게끔 daemon이 내려가 있으면 해당 팀에 penalty를 주거나(이번 대회에서는 penalty가 없어 데몬을 내려놓은 팀이 존재했음) 혹은 플래그를 주기적으로 랜덤하게 변경시키는 등 보다 전문적인 운영을 해야 할 것으로 봅니다.

‘국내에서 보안전문가로서 일한다는 것’에 대한 의견

국내 보안전문가의 인력수 대 인터넷 이용자 수 비율로 보면 한 사람당 너무나 많은 짐을 지고 있는 것이 아닌가 하는 생각이 됩니다.

물론 보안전문가의 활동 분야에 따라 인터넷 이용자와 연관관계가 없을 수도 있지만 그 업무의 책임감이 막중하다고 보고 있으며 앞으로의 국내 보안 기술을 강화하기 위한 시발점에 있기 때문에 아직은 고충이 많을 것이라 생각합니다.

해커들이 생각하는 ‘보안은 이것이다’에 대한 의견

해커로서 생각한다면 보안은 사소하거나 혹은 매우 뛰어난 반항으로 볼 수 있습니다. 적절치 못한 정책과 기술을 바탕으로 하는 보안은 해커에게는 웃음거리가 될 수 있지만 뛰어난 기술과 아이디어로 뭉친 보안은 해커에게 큰 난제를 제공함으로써 다시금 골머리를 쓰게 합니다.

이번 해킹 대회 참석 소감 한마디

앞으로 이와 같은 대회가 꾸준히 열리는 것으로 알고 있는데 대회 문제 출제 및 운영진을 국내로 한정할 것이 아니라 국외 유능한 운영진을 초대해 보는 것은 어떨까 하는 생각을 합니다.

Ⅰ‘실버버그’팀Ⅰ

팀에 대한 소개

Silverbug는 제 닉네임입니다. 해킹/보안을 시작한지 10여년 정도 됐고 현재 HSD 동호회에서 활동 중입니다.

이번 해킹 대회의 잘된 점과 개선돼야할 점은?

예선 문제에서 다양한 경험을 할 수 있는 문제들과 실전에서 일어날 수 있는 문제들로 구성돼 좋았습니다. 본선 또한 CTF 형태로 시스템 해킹이 주 문제들로 나왔는데 기존 해킹 대회의 향수를 느낄 수 있었고 공격과 방어 둘 다 동시에 이뤄지는 점이 좋았습니다. 개선돼야 할 점이라고 한다면 대회장 구성과 스케일(?)인것 같습니다. 대회장을 조금더 넓게 구성해 좀 더 편의를 주고 문제 풀이에만 집중하게 하는 것보다 자유롭게 다양한 이벤트와 해커들이 대회를 즐기면서 할 수 있는 부분도 고려됐음 합니다.

현재 우리나라는 보안에 대한 인식이 부족한 편인데, 정부의 방침이나 법제도 등 어떤 부분이 개선돼야 한다고 보는지?

항상 무슨 일이 터져야 그때서야 관심을 갖는 현실이 참 안타깝습니다. 정부나 언론 등에서 해킹에 대해 안좋은 인식을 갖게 하는 것도 문제라고 생각합니다. 용어를 적절히 잘 사용해 나쁜 짓을 하는 사람들과 해킹/보안을 연구하는 사람들의 용어를 구별해주셨음 합니다.

해커들이 생각하는 ‘보안은 이것이다’에 대한 의견

보안하면 단어 하나만 떠올리는 분들이 많으실 겁니다. 사실 ‘보안’은 단어 하나로는 표현하기 힘든 분야가 해킹/보안입니다. 시스템/데이터베이스/운영체제/메모리/네트워크/하드웨어 등등 수많은 부분을 공부해야 하는 분야고 하루가 멀다 하고 많은 정보들이 쏟아져 나오기 때문에 평생 공부하고 익혀야 하는 분야입니다.

이번 해킹 대회 참석 소감 한마디

CTF 형태로 진행된 대회라 더욱더 재미있고 흥미로웠습니다. 시스템 해킹 문제들이 재미를 더 했습니다. 혼자였지만 나름 재미있게 즐기고 와서 좋았습니다.

<글 : 오병민(boan4@boannews.com), 호예진 기자(is@boannews.com)>

[월간 정보보호21c 통권 제110호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>