해킹은 무조건 범죄? 해킹대회도 있는걸요!

보안라이프/IT트렌드 2014.07.12 11:42

해킹은 무조건 나쁘다고 인식하는 시대는 지났다. 오히려 해킹대회를 주최하여, 보안전문가들을 양성하기 위한 해킹대회들이 많이 열리고 있다. 각 대회마다 출제 유형도 다르고, 취지도 다르다.오늘은 바로 이 해킹대회를 알아보려고 한다.

 

<Code gate(코드게이트)>

Code gate는 해킹대회를 포함하여, 국제보안콘퍼런스 등을 총징하는 말이다. 2008년 총 상금 1억원을 걸었던 Code Gate는 국내 최대 규모의 해킹/보안 대회로 손꼽힌다. 특히, 올해는 전세계 74개국이 1,200개의 팀이 참여했다. 이 팀들 중 우승을 한 팀은 미국의 ‘PPP’팀이다. ‘PPP’팀은 카네기멜론 대학생들로 구성되어 있는데, 작년 시큐인사이드에서 우승을 한 실력파 팀이다. 이 팀은 우승과 함께 8월에 열릴 DEFCON의 본선에 나갈 수 있는 기회를 얻었다. 또한 선린인터넷 고등학교 3학년인 임정원 학생의 경우에는 주니어 해킹방어대회에서 1등을 하는 영광을 누리게 되었다. 임정원학생의 경우에는 중고생정보보호 올림피아드 대회에서 우승을 했었다.

 

<Secuinside(시큐인사이드)>

1등 상금이 3000만원으로, 스마트폰, 스마트TV등 다양한 문제가 출제되는 “Secuinside”는 코스콤의 주최로 열린다. 벌써 4번째 열린 시큐인사이드에서 2014년의 수상자는 미국의 ‘tomcr00se’, 한국의 ‘CodeRed’ 그리고 러시아의 ‘MoreSmoked LeetChicken’팀이다. 특히 우승팀인 ‘tomcr00se’‘Georgy hotz’가 홀로 출전한 것이라서 눈길을 끈다. 작년에는 1000개 팀 이상이 참여했으며, 이 중 본선에서 해외 5개 팀, 국내에서는 2등을 차지한 벌레잡이팀을 포함하여 3팀등이 올라갔다. 최근 우승팀은 미국 카네기멜론대학교 재학생 및 졸업생으로 구성된 ‘PPP’, 한국 교 박세준씨가 팀을 이끌고 있다.

 

<중고생정보보호올림피아드 대회>

초·중·고교생을 대상으로 하는 정보보호 올림피아드. 매년 관계 정부기관등과 서울호서직업전문학교에서 주최하는 이 대회에는 개인전으로 진행된다. 올해로 9번째 열리는 대회로, 앞서 코드게이트 주니어 부분 우승자로 언급한 임정원 학생의 경우에도 올림피아드 대회의 우승 경험이 있다. 접수는 중고생정보보호올림피아드 홈페이지(http://olympiad.hisecure.ac.kr)에서 할 수 있다. 접수기간은 918일 까지이며, 행사는 920일 온라인 예선을 거쳐 1017일 오프라인으로 본선이 진행될 예정이다.

 

<DEFCON(데프콘)>

전세계 최고의 해킹대회로 여겨지고 있는 데프콘(DEFCON). 이 대회는 Capture The Flag라는 CTF방식을 채택하고 있다. 조금 더 설명을 덧붙이자면, CTF2명 혹은 2팀의 플레이어가, 상대의 깃발을 뺏어오며, 자신의 깃발을 뺏기지 않게 방어하는 형식이다.

해커들의 꿈의 무대라고 하는 데프콘이지만, 실무에 적절하지 못하며 대학교 내에서도 많이 열리는 점을 감안했을 때 해킹대회의 진정한 의미인 인재양성지식공유보다는 뽐내기에 지니지 않다는 평가를 받고 있다. 올해 DEFCON CTF 201487일부터 10일까지 미국 라스베가스에서 열린다.


 

위에서 언급한 해킹대회뿐만 아니라, 기업 및 대학교에서 주최하는 해킹대회 역시 다양하게 있다. 이렇듯 해킹이란 무조건적으로 금지하거나 부정적인 선입견을 가져야 하는 것이 아니다. 오히려 대회에 참여하면서 기술 개발 및 지식 공유를 한다면 더 바람직한 IT세상을 만들어 나갈 수 있다.




 안랩대학생기자단 홍수영 / 서울여대 정보보호학과


 omnia tempus habent

 

댓글을 달아 주세요

다양한 보안 이슈, 보안 전문가를 한 곳에서 만나다

현장속으로/세미나 2013.07.12 07:00

"큐인사이드는 3년만에 세계 해커들 사이에서 가장 출전하고 싶은 대회가 됐습니다. 글로벌에서 라스베이거스 '데프콘'과 견줄만큼 규모가 큰데다 팀에게 지원도 많이 해줍니다. 1회 때는 입소문이 많이 퍼지지 않았지만 올 해는 다르더군요." 


지난 7월 2일부터 3일까지, 이틀 동안 진행된 '시큐인사이드' 해킹방어대회에서 3연패를 달성한 PPP팀의 팀원 '리키 주' 씨의 인터뷰 내용이다. '국제 규모의 해킹방어대회' 라는 타이틀에 걸맞게 77개국의 나라에서 총 1083팀이 참가했다. 다양한 발표가 이어지는 3일, 서울 콘래드 서울 호텔에 모인 인파에 시큐인사이드의 규모를 짐작할 수 있었다. 시큐인사이드는 화이트해커들을 중심으로 다양한 보안 이슈에 대해 실무적인 정보를 공유하는 국제 컨퍼런스로, 2011년부터 개최되어 올 해 3회를 맞았다. 

 


아침 일찍 도착해 등록을 마치고, 이름표와 발표자료집을 받아 컨퍼런스 홀로 들어갔다. 첫 키노트 세션이 시작되기 전, 10시가 안된 이른 시각부터 홀은 좋은 자리(?)를 찾기가 힘들었다. 가운데 앞자리는 예약석. 꽉 찬 자리의 빈틈을 찾아 두리번 두리번. 


그리고 10시, 시큐인사이드 2013 시작! 컨퍼런스의 시작은 김승주 교수의 <암호학과 해킹의 결합, 가능한가?(Combination of Crypto and Hacking, Possible?)> 라는 주제의 키노트 세션이었다. 그는 암호학, 시스템 보안, 네트워크 보안, 보안 정책은 '보안'을 구성하는 요소이며, 이 요소들을 잘 연결하고 결합시켜야 한다는 것을 강조했다. 또한 '암호학'을 어떻게 해킹과 결합하여 사용할것인지에 대해서도 어필했다. 보안을 위해서는 다양한 분야에 대해 넓은 지식을 가지고 있으면서도 자기 전문 분야를 가지고 있는 'All-Round Player'가 되어야 한다는 많은 전문가의 충고가 다시 한번 생각나는 세션이었다.



두 번째 키노트 세션은 'Beist' 이승진씨의 <소스코드 불법 복제에 대한 이슈(Issues of illegal copy and unauthorized use for source code copyright)>라는 주제로 진행되었다. 그는 한국에서 뿐 아니라 전세계에서 프로그램을 무단으로 사용하고 소스코드를 훔치는 사례가 발생하고 있고, 이런 경우를 분석하기 위해 어떻게 소스코드의 유사성을 평가하는지에 대해 이야기했다. 기술적인 이야기들은 완전하게 이해하지 못해 아쉬움이 남지만, 오픈소스 프로그램의 라이센스 정책에 대해 다시 한번 되새겨보는 계기가 되었던 시간이었다.



키노트 이후에 잠깐의 점심시간을 가지고, 본격적으로 다양한 주제의 발표가 진행되었다. 총 3개의 트랙으로 나누어져 다양한 이슈들을 다루었는데, 한 번에 한 트랙밖에 들을 수 없다는 것이 아쉬웠다. A, B, C 트랙에서 진행된 발표의 주제들은 다음과 같다.


A트랙

최원혁, <한글 취약점을 이용한 APT 공격 사례 및 분석 그리고 대응방안>

Byungho Min, <Security of anti-virus solution>

강흥수(jz), <Sandbox for security (Understanding sandbox and attack examples)>

Long Le, <Exploiting nginx chunked overflow bug, the undisclosed attack vector>

B트랙

안상환, <How to find vulnerability in software>

신정훈(sjh21a), <Hacking smart devices (I just drank c0ffee only!)>

구사무엘(dual5651), <한국형 봇넷 개발&분석>

장상근(maxoverpro), <Mobile game hacking and defense strategy> 

A+B 통합트랙

유동훈(x82), <Writing ARM32 Linux kernel exploitation>

C트랙(Invited Only)

구태인 변호사(태크엔로 법률사무소), <개정 전자금융거래법에 따른 새로운 보안패러다임>

조규민 단장(KISA), <금융분야 개인정보가이드라인>

김기영 실장(AhnLab), <GAP>

이주호 차장(코스콤), <금융 정보보호 참조모델 소개-개발보안프로세스 위주)



C트랙은 초대받은 사람들만들 대상으로 하는 비공개 세미나였기 때문에 내게는 선택권이 없었다. 대신 A, B트랙중에서 좀 더 흥미를 끄는 주제의 발표를 들어보기로 결정했다. 상당히 흥미롭고 다채로운 주제로 발표들이 진행되었지만, 아직 턱없이 부족한 실력으로 발표를 완벽하게 이해하는 것은 무리였다. 모르는 것은 메모하고, 아는 것은 다시 한번 짚는다는 생각으로 발표 듣기 시작!


특히 지난 해 전광판 해킹으로 많은 주목을 받았던 신정훈씨의 Track2에서 진행된 <Hacking Smart Devices> 발표가 기억에 남는다. 많은 사람들이 몰려서 서서 들어야 했던 발표! 카페의 POS, CCTV, Pager(카페에서 쓰는 진동벨을 pager라고 부른다) 해킹에 대해 연구한 발표였다. 카페에서 익숙하게 서비스 받던 익숙한 시스템들을 해킹하는 참신하고 흥미로운 주제라 더욱 관심이 갔던 것 같다. 게다가 재미있고도 다소 충격적이었던 시연영상에 집중할 수 밖에 없던 발표였다. 모든 기기의 경우, 초기에 설치할 당시 설정해둔 디폴트 비밀번호를 그대로 쓰기 때문에 해킹이 가능하다는 공통점이 있었다. Pager 해킹은 실패했다고 했지만, 그렇기 때문에 그의 다음 발표가 더욱 기대된다.


또 하나 재미있었던 발표는 Track2의 마지막 발표였던 장상근씨의 <Mobile game hacking and defense strategy> 였다. 모바일 게임에서 게임핵이 어떻게 돌아가는지, 그리고 어떻게 방어를 해야 하는지에 대한 이야기로 채워진 시간이었는데, 구체적으로 실체 우리가 하는 모바일 게임의 게임핵 적용 사례를 살펴보고 그 시연 영상을 볼 수 있어서 더욱 와닿고 흥미로웠던 세션이었다. 


마지막 세션은 시쳇말로 정말 '멘붕'을 일으켰던 발표였다. A,B 통합 트랙으로 <Writing ARM32 Linux Kernel Exploit>이라는 주제로 진행된 발표였는데, 리눅스 커널의 취약점과 커널을 공격해 권한을 상승시키는 방법에 대해 상세히 분석하고 커널 취약점에 대해 어떻게 대응해야 하는지- 에 관한 내용이었다. 나에게는 상당히 어려웠던 주제였다. 초반이 지나고부터는 무슨 내용을 듣는 것인지 정신 없었던 시간이었다. 한계를 느끼고, 자극을 받고, 이런 발표를 다음에는 조금 더 이해하며 들을 수 있도록 해야겠다는 생각만 줄곧 하다가 끝난 발표 세션이었다. 


폐회식과 함께 시큐인사이드 2013 해킹방어대회 시상식이 있었다. 1위는 대회를 3회째 제패한 미국의 'PPP'팀이 차지했다. 2위는 한국의 '벌레잡이' 팀, 3위는 스웨덴의 'Hacking for Soju' 팀이었다. 치열한 순위경쟁 끝에 PPP팀이 종료 2분을 남겨두고 모든 문제를 'All-Clear' 하는 저력을 보이면서 우승을 차지했다고. 그만큼 뜨거운 대회였고, 작년에 비해 훨씬 다양한 국가에서 많은 팀이 참가했다는 소식이 내년의 대회를 더 기대하게 만들었다. 정말 다들 멋있는 '화이트 해커' 라는 생각이 절로 들고, 동시에 열심히 하자, 즐기자, 이런 긍정적인 에너지를 잔뜩 얻어갈 수 있었던 컨퍼런스였다.


올해의 3.20 사이버 테러, 6.25 사이버 공격 등 크고 작은 사이버 공격이 끊이지 않는 때, 보안 의식을 높이고 다양한 보안 이슈들을 공유할 수 있는 좋은 기회였다는 생각이 든다. 그만큼 마음을 다시 한번 가다듬고, 만만치 않은 보안 이슈에 대해 좀 더, 나름대로 생각해볼 수 있는 시간을 가질 수 있었다. Ahn



대학생기자 강정진 / 숙명여자대학교 컴퓨터과학과


學而不思則罔思而不學則殆

배우기만 하고 생각하지 않으면 멍청해지고, 생각하기만 하고 배우지 않으면 위태로워진다.


댓글을 달아 주세요

  1. 임지연 2013.07.12 23:59  Address |  Modify / Delete |  Reply

    좋은기사 감사합니다~~!