국제해킹대회 참가해 목격한 한국인의 활약상

올해로 18회를 맞은 데프콘(DEFCON, http://defcon.org)은 매년 미국 라스베이거스에서 열리는 세계 최대의 해커 컨퍼러스로서 각종 해킹/보안 관련 발표와 이벤트가 진행된다.

데프콘이 열린 Riviera 호텔. 내년에는 Rio 호텔에서 열릴 예정이다.

데프콘 행사장에 입장하려면 먼저 등록을 해야 한다. 데프콘은 온라인 사전 등록 없이 직접 현장에서 등록해야 하며, 시작 전날부터 행사장 입구에서 가능하다. 당일 오전에는 엄청나게 긴 줄을 서서 기다려야 하고, 전날 하더라도 약간 줄을 서서 기다려야 하므로 서둘러 해야 한다. 앞서 열리는 블랙햇 행사장에서도 마지막 날 데프콘 등록을 할 수 있는데 역시 줄을 서서 기다려야 한다. 그만큼 인기가 높다. 등록을 빨리 해야 하는 또 다른 이유는 등록자에게 지급되는 뱃지의 수량이 넉넉하지 않기 때문이다.

데프콘18 뱃지

데프콘 뱃지는 전자 기판과 여러 가지 방법으로 출력이 가능한 LCD, 그리고 각종 회로와 칩으로 구성되어 있다. 발표 자료와 함께 제공되는 CD에는 해당 뱃지를 조작할 수 있는 메뉴얼과, 프로그래밍된 ROM의 원본 소스도 들어있다. 참가자는 이것들을 이용해 직접 자신의 뱃지를 멋있게 바꾼 뒤, ‘뱃지 해킹 컨테스트’에 참가할 수 있다.

이 뱃지는 데프콘에 참석하는 전체 인원만큼 제작되지 않으며(사실 정확한 참가 인원도 알 수 없다), 대부분 등록 초기에 동이 난다. 올해는 시작 전날 이미 물량이 소진되었다. 안타깝지만, 그 후에 등록하는 사람은 종이로 만들어진 뱃지를 받는다.

입장한 뒤 가장 먼저 접할 수 있는 곳은 이벤트 룸이다. 이곳에서는 대부분의 컨테스트와 재미있는 이벤트가 진행되며, 참석한 전세계 해커들이 서로 이야기를 나누며 쉴 수 있는 공간도 있다.

535개 팀 중 3위 차지한 카이스트-포항공대 연합 팀

데프콘 이벤트 중 국내에 잘 알려진 CTF(Capture The Flag; 팀 간 상호 공격과 방어를 하며 점수를 획득하기)는 본 컨퍼런스에서 진행되는 가장 큰 컨테스트이다. 이를 포함해 다채로운 행사 중 특기할 만한 것은 다음 7개이다. 

- Toxic BBQ : 데프콘 시작 전날 저녁에 선셋 파크(Sunset Park)에서 열리는 BBQ 파티다. 참가자들이 준비해온 음식을 서로 나눠 먹으며 돈독한 우정(?)을 쌓을 수 있다.

다양한 행사가 이벤트가 열리는 이벤트 룸

- CTF : 국내에도 잘 알려진 해킹대회로서 좋은 성적을 거두려면 다양한 분야의 전문적인 기술은 물론, 팀원 간 호흡과 믿음이 중요하다. 우리나라 팀도 2006년(데프콘14)부터 꾸준히 본선에 진출했으며, 올해는 카이스트(KAIST)와 포스텍(포항공대) 연합 팀이 본선에 진출했다. 대회 초반부터 1위 자리를 지켰지만 결과는 아쉽게 3위에 머물렀다. 하지만 총 535개 팀 중 3위이니 매우 좋은 성적이다. 또한, 국내 대학생들이 서로 도와 힘을 합쳐서 이루어낸 결과이기 때문에 더욱 더 의미가 크다. :)

CTF에 참가한 KAIST-POSTECH 연합 팀 (출처 : 보안뉴스)

- oCTF(Open CTF) : 앞서 언급한 CTF는 전세계의 수많은 팀과 온라인으로 예선을 거친 후 본선에 진출해야 참가 가능하지만, 이러한 절차 없이 데프콘 현장에서 바로 즐길 수 있는 것이 바로 oCTF이다. 예전에는 aCTF(amateur CTF)라는 이름을 사용했다. 실제로 CTF 문제와 비교해봐도 결코 쉬운 문제는 아니다. 다만, CTF는 바이너리와 리버싱이 꼭 필요한 문제가 주로 출제되지만, oCTF는 웹과 프로그래밍 관련 문제도 많이 출제된다. 온라인 워 게임(war game)이나 국내 해킹대회에 익숙한 우리나라 사람이 비교적 쉽게 접근할 수 있는 대회인 것 같다. 실제로, 데프콘16 oCTF에 우연히 출전한 우리나라 팀 ‘DDUCK’이 룰도 잘 모르는 상태에서(심지어 대회가 끝날 때까지도) 엄청난 집중력(?)을 발휘해 준우승을 차지하기도 했다.

- Wall of Sheep : 데프콘 측에서 공식적으로 인터넷을 사용할 수 있도록 무선 네트워크를 제공하지만, 이 네트워크를 사용하는 사람들에 대한 개인 정보를 와이파이(wifi) 스니핑 등으로 마음껏 수집해 이벤트 룸의 스크린에 공개한다. 해당 네트워크에서 어떠한 사이트에 로그인을 하면 ID와 PW가 모든 사람에게 공개된다. 물론 전부 보여주지 않고 일부는 *표 처리한다.

Wall of Sheep (출처-vissago)

- CTP(Capture The Packet) : 올해 처음 시작된 패킷 분석 대회이다. 예선에서 우승한 팀들이 마지막 결선에서 최종 우승을 놓고 겨룬다. 각 팀은 문제 페이지에서 각 문제를 확인하고, 네트워크에 발생하는 패킷을 분석한 뒤 답을 찾는다. 이번 대회의 1등에게는 아이패드(세상에!)가 제공되었다. 우리나라 팀인 't2'(팀명을 'tg'라고 제출했는데, 운영진이 g를 2로 해석했다는 안타까운 이야기)가 2위를 차지했는데, 대회가 끝난 후에야 1등 하면 아이패드를 받을 수 있다는 사실을 알았다. 알았다면 더 열심히 했을 듯.

- Crack Me If You Can : 암호화한 패스워드를 최대한 많이 크랙(복호화하여 원본 패스워드 찾기)하는 대회이다. 크랙 방식에 제한이 없기 때문에 최대한 효율적인 알고리즘과 컴퓨팅 파워를 이용해야 한다.

- Beverage Cooling Contraption Contest : 데프콘이 시작되기 전에 진행되는 것으로서 맥주를 최대한 빠르고 차갑게 만드는 것이 목표이다. 역시 방식은 제한이 없다. 수상자들이 사용한 방식과 결과는 데프콘 마지막에 진행되는 폐회식(closing ceremony) 때 공개된다.

모든 이벤트와 발표가 끝나면, 모든 참가자와 발표자가 한 곳에 모여서 폐회식을 진행한다. 각종 이벤트에 대한 시상이나, 이번 데프콘 운영에 관한 평가 등이 자유로운 분위기에서 진행된다. 데프콘 행사 일정에 나와 있지 않더라도(올해가 그랬다) 꼭 참석해야 하는, 재미있는 순서이다.

자신감으로 해낸 생애 첫 국제 컨퍼런스 발표

 
한편, 올해 데프콘에는 총 5개의 트랙(발표장)에서 다양한 발표가 진행되었다. 발표 내용은 웹사이트(https://www.defcon.org/html/defcon-18/dc-18-speakers.html)에서 확인할 수 있다. 주요 발표 자료가 공개되며, 추후에는 발표 동영상도 공개된다. :)

나는 작년까지 CTF에 참가하거나 각종 이벤트를 즐기고 발표를 들으러 참가했지만, 이번에는 직접 발표를 했다. '임베디드 시스템 환경에서의 보안문제'로 휴대용 게임기와 콘솔 게임기가 해킹에 이용되면 얼마나 위험한지를 발표했다.
*관련 인터뷰 “게임기도 해킹 도구로 이용될 수 있어요!!!”

국외에서 하는 발표는 처음인데다가 꿈에 그리던 엄청난(?) 곳에서 해야 했기 때문에 떨리고 무섭기까지 했다. 물론 혼자가 아닌 듬직한 동생과 함께 하는 발표였기에 자신은 있었다. :) 영어 때문에 국제 행사에서 발표하기가 부담스러운 건 사실이다. 하지만 블랙햇이나 데프콘 등 국제 컨퍼런스의 영어 발표를 들어보면, 모든 발표자가 영어를 잘하는 것은 아니기 때문에 자신 있게 도전하는 것이 좋다! 

<데프콘에서 발표하기까지 과정> 

-발표 내용, 어떻게 발표할 것인지를 알리는 CFP(Call For Paper)를 제출한다. CFP 제출 기한과 방식은 웹에 공개되며, 정해진 양식에 따라 작성하면 된다.

-발표 수락 메일이 오면 지정된 날짜까지 발표 자료와 발표자 소개 등을 보낸다. 혹시 기한 내에 전달하지 못하더라도 담당자와 연락해 진행 상황만 알려주면 문제 없다.

-발표 준비를 열심히 한 뒤, 발표 전날 발표자 등록 장소에 가서 등록한다.

-발표 당일 30분 전까지 발표자 대기 장소로 가서 발표 준비가 되었음을 알리고 기다린다. 자원봉사자의 안내에 따라 발표장으로 이동해 준비한 대로 잘 발표하면 된다. Ahn 
 

사내기자 하동주 / 시큐리티대응센터(ASEC) 주임연구원

'착한 아이'라는 뜻이지만 '착잡한 아이'라고 더 많이 불리는 '착이'라는 별명을 가진 하동주 연구원은 오늘도 안철수연구소에서 동료들과 함께 우리나라를 지키고 있다.