세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > 전체기사
전세계에 대한민국 해커 위상 드높인 포스텍 ‘PLUS’
  |  입력 : 2009-08-11 15:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
[인터뷰] 포항공대 보안연구동아리 ‘PLUS’

2009 DEFCON 17 CTF 본선 3위 수상...한국 역대 최고 성적 달성

해커, “열정과 끈기, 그리고 적극적인 자세 필요”

 

▲데프콘 CTF 본선대회에서 3위의 우수한 성적을 낸 포스텍 PLUS팀 멤버들이 본선대회가 끝난 지난 8월 2일 대회장에서 찍은 기념사진. 사진은 상하 구분 없이 왼쪽부터 장태웅(물리학과, 07), 채동주(컴퓨터공학과, 08), 곽인범(컴퓨터공학과, 08), 이병영(컴퓨터공학과, 03), 조국현(컴퓨터공학과, 03), 장준호(컴퓨터공학과, 07), 배병욱(전자기계공학과, 05), 김영석(컴퓨터공학과, 08), 이호진(컴퓨터공학과, 06), 차명훈(컴퓨터공학과, 07), 송재혁(컴퓨터공학과, 05), 김영수(물리학과, 07), 최하늘(컴퓨터공학과, 07), 송종혁(컴퓨터공학과, 04) 학생. @PLUS@postech

 

세계에서 가장 유명한 해킹 컨퍼런스 중 하나인 데프콘에서 동시 개최하는 데프콘 CTF 본선 대회에 올라 실력을 과시하는 것은 전세계 해커들에게 있어서는 무척이나 명예로운 일이다. 수백여 팀이 예선을 거쳐 그중 오직 10개팀만이 데프콘 CTF 본선에 참가할 수 있는 자격이 주어지기 때문이다. 올해 대회에서는 500여팀이 치열한 예선을 거친 결과, 10개팀 중 한국의 3개팀이 본선에 올라 자랑스러운 대한민국의 위상을 높였다. 더구나 이번 본선대회에서는 한국 역대 최고성적인 3위의 성과를 달성하는 쾌거마저 이루었다. 올해 데프콘 CTF에서 전세계에 대한민국을 다시 한번 각인시킨 주인공들은 바로 포항공대 보안연구동아리 PLUS@postech’팀이다.

 

보안뉴스는 지난 8월 2일 대회를 마치고 라스베이거스에서 막 돌아온 PLUS팀을 직접 만나 소감 및 이번 대회의 이모저모에 대해 들어봤다. 아울러 이번 대회에 참여한 플러스팀 14명 중 아직 미국에 잔류하고 있는 등의 이유로 만날 수 없었던 팀원을 제외한 7명과의 인터뷰 시간을 가졌다. 

 

이번에 만난 PLUS팀 멤버 7명은 장준호(컴퓨터공학과, 07) 회장을 비롯해 멤버 중 유일한 졸업생으로 현재 넥스토릭 둠바스팀에서 프로그래머로 근무 중인 조국현(컴퓨터공학과, 03)씨, 그리고 이호진(컴퓨터공학과, 06), 송재혁(컴퓨터공학과, 05), 장태웅(물리학과, 07), 이병영(컴퓨터공학과, 03), 차명훈(컴퓨터공학과, 07)  등 7명이다. 아래 인터뷰 내용은 PLUS팀원들이 답변한 내용을 요약정리한 것. 

 

▲(인터뷰 참석자)왼쪽부터 이호진, 송재혁, 조국현, 장준호, 장태웅, 차명훈, 이병영 학생.

@보안뉴스.

- 데프콘 CTF에서 한국 역대 최고 기록인 3위의 성과를 달성한 소감은?

예선을 통과한 후 본선 대회 규칙을 잘 몰라 어려움을 겪는 등 스트레스를 많이 받았지만, 어쨌든 본선에 참가해 7월 31일 오전 10시(현지시간)부터 3일 간을 제대로 잠도 자지 못한 채 실력을 뽐내야 했다. 그렇게 3일 간 잠을 제대로 이루지 못한 채 8월 2일 오후 2시, 드디어 본선이 마무리 되면서 너나할 것 없이 우리 팀원들은 모두 잠에 골아 떨어졌고, 성적발표 시에도 비몽사몽의 정신이라 실제로는 3위라는 성적을 실감하지 못했던 것이 사실이다.


그렇게 시상을 위해 얼떨결에 무대로 오른 순간, 천여명의 관중이 보내준 뜨거운 박수 소리에 감동이 북받쳐 올랐다. 그저 컴퓨터를 하고, 보안을 공부하면서 최고가 되고 싶다는 막연함에서 이를 확인해보고자 선택한 데프콘 CTF에서 몇 백팀이 참가해 치열하게 예선을 거쳐 오직 10팀만이 나갈 수 있는 본선에 오른 것만으로도 뿌듯했는데 그중에서도 3위의 성적을 올렸다는 것이 실감이 되지 않으면서도 무척이나 영광스럽고 기뻤다. 말로 표현할 수 없는 무한감동을 느끼는 순간이었으며, 그 감동은 현재까지도 여전하다. 세계적인 친구들과 어깨를 나란히 한 우리 플러스팀이 무척이나 자랑스럽다.


- 데프콘 CTF 본선대회 참가 중 어려웠던 점, 혹은 에피소드가 있다면?

우선 국내 해커와 해외 해커의 근본적인 차이점은 언어다. 실제 국내 해커들의 경우 영어를 잘 하지 못하는 것이 사실이다. 이번 데프콘 CTF 본선대회가 끝나고 리더들이 모인 회의에서도 그러한 점은 여실히 드러났다. 이 자리에서는 국내 해커들 중에서 반젤리스(Song of Freedom팀 리더)를 제외하고는 모두가 영어 언어구사 능력이 떨어져 하고 싶은 말이 있어도 하지 못하는 아쉬운 상황이 있었다.


더구나 그렇듯 언어구사 능력이 떨어지다 보니 본선을 치루면서 정말이지 큰 문제가 발생하기도 했다. CTF 본선 첫날, 대회가 시작하기 전 네트워크 등을 세팅해 경기에 임해야 함에도 불구하고 언제 세팅을 하고, 어떻게 해야 하는지를 몰라 대회가 시작된 지 5시간이 경과할 때까지도 대회가 시작한지도 모르는 촌극이 벌이졌던 것이다. 그렇게 5시간이 경과해서야 대회운영진 측에서 왜 시작을 안하냐고 해서 그제서야 급히 세팅을 해서 시작하게 되는 웃지 못할 상황이 벌어졌다. 하지만 그런 설정상의 문제는 다른팀도 비슷한 것 같았다. 언어장벽으로 인한 헤프닝이라고 하기엔 운영적 미스가 크게 보였던 부분이기도 하다.


- 이번 데프콘 CTF 대회는 운영상 여러 문제들이 있었던 것으로 알고 있는데, 어떤 부분이 아쉬웠는지?

앞서 말한 바와 같이 언어장벽이 있는 팀에 대해서는 이를 해결해 줄 수 있는 통역 등의 부분이 우선 아쉬운 부분이었던 것 같다. 또한 다른 팀에서는 운영 측에서 의도하지 않은 취약점 등을 통해 루트권한을 획득해 Dos공격 등을 감행한 점도 발생했다. 루트권한 획득이 대회규정 상 페널티를 주는 것은 아닌 것으로 알고 있으나 Dos공격에 대해서는 페널티를 주는 것으로 알고 있는데, 이 역시 묵인된 것으로 알고 있다. 더구나 그러한 공격으로 서버가 다운된 후에도 대회운영진 측에서는 즉각적인 조치를 취해 주지 않은 점도 아쉬웠던 부분이다.


그리고 무엇보다 가장 혼란스러웠고 불만족스러웠던 부분은 그렇듯 규칙대로 하지 않는 부분에 대해서도 투명하지 못했던 점도 있지만 점수계산에 있어서도 투명하지 않았던 것 같다. 중간 중간 각 팀들의 점수가 오르고 내려도 어떤 기준에 의해 순위가 바뀌는지 명확히 알 수 없어 혼란스러웠다.


- 국내 해커와 해외 해커들 간에 있어 환경적인 차이가 있다면?

이번 대회에서도 느꼈지만 해외 해커들은 우선 대회 말고도 외적인 부분에서의 연구 등의 활동이 많은 것 같다. 이번 참가 팀 중에서도 리버스엔지니어링 등의 현업에 종사하는 팀과 팀원들이 많았다. 우리 팀만 하더라도 직업적으로 활동하지 않아 차이가 있다. 그 차이란 특히 경험적인 차가 두드러져 해외 해커들은 경험상 문제를 푸는데 있어서도 엄청난 속도를 보인다.


또한 그러한 환경은 장비에 있어서도 차이를 보인다. 우리 팀의 경우에는 학교 차원에서 여러 지원을 받고 있다. 가령 다른 팀의 경우에는 아직까지도 CRT 모니터를 쓰는 등 열악한 장비를 사용하고 있기도 하다. 물론 장비가 좋아야 좋은 결과가 있는 것은 아니다. 장비가 갖춰졌다고 1등을 하는 것은 아니다. 다만 소프트웨어를 이용함에 있어 좋은 장비가 있다면 좀더 편하게 할 수 있는 여건 등으로 다양한 환경에서 좀더 많은 연구 및 공부가 가능할 것이다.


- 플러스팀은 이번에 처음으로 단일팀을 구성해 참가한 것으로 알고 있다. 팀워크가 얼마만큼 중요한가?

팀웍은 이번 대회에서 많은 이득을 주었다. 우선 처음 만나 함께하는 것보다는 편하다는 점이 가장 큰 장점이다. 편하다는 것은 부탁도 어렵지 않게 할 수 있다는 것과 서로의 장·단점에 대해 알기에 그 역할을 분명하게 나눌 수 있다는 장점이 있다. 공격방법을 안다는 것만으로 모든 것이 해결되는 것은 아니다. 서로 협력을 통한 협업이 이루어졌을 때 그 힘은 배가 된다는 것을 우리 팀원들은 알고 있으며, 그것을 믿었기에 이번에 좋은 결과를 얻을 수 있었던 것 같다.


- 국내 해킹 대회와 데프콘 CTF의 차이점이 있다면?

국내 해킹 대회와 데프콘 CTF는 방식적인 측면에서 다르다. 우선 국내 해킹 대회는 점수를 얻는 방식, 즉 시험을 치루는 것과 같다면 CTF는 실제 해킹과 가까워 무언가 자유롭다는 생각이 든다. 그런 자유스러운 룰이 사실 관리하기가 힘든 것이 사실이다. 국내 해킹 대회는 CTF 룰과는 다른 방식을 채택했던 것 같다. 하지만 최근에 들어서는 국내에서도 CTF 대회가 많이 열리고 있으며, 실제 그 문제나 관리적 측면에서 해외 CTF 대회와 비교해도 크게 뒤지지 않는다고 생각한다.


CTF는 개최한 팀의 실력에 따라 다를 뿐 외국이나 국내나 큰 차이는 없는 것 같다. 이번 데프콘 CTF는 앞서의 언급처럼 운영상에 있어 적잖은 불만이 있었다. 국내 CTF 대회는 데프콘과 같이 역사가 그렇게 오래 되지 않아 전세계적으로 유명한 대회로 자리를 잡지 못했지만 지속적인 운영상의 관리 및 홍보 등을 지속한다면 데프콘 CTF와 같이 유명한 대회로 자리매김할 수 있으리라 생각된다. 아울러 최근 국내 해킹대회가 활성화되면서 우리 팀도 많이 참가를 했는데, 그러한 경험이 이번 대회에서 좋은 성과를 얻는 데 많은 도움이 된 것 역시 사실이다. 그런 점에서 국내에서 대회가 좀더 활성화되길 바란다.


- 해커에 대한 국내 외 인식의 차이가 있다면?

최근에는 해커에 대한 인식이 많이 좋아졌다고는 하지만 아직까지 해외 쪽의 인식과 비교해서는 많이 뒤쳐져 있는 것 같다. 그중에 하나가 보안이 잘돼 있는 외국의 온라인게임과는 달리 우리나라의 온라인게임은 핵 프로그램 등이 창궐하는 모습들이 특히 해커에 대한 이미지를 좋지 못하게 하는 것 같다.


그런 측면에서 정부나 기업에서는 크래커가 아닌 화이트 해커의 수요를 만드는데 좀더 치중해 주었으면 좋겠다. 최근에 해커라고 하더라도 실력이 좋다면 영입해 이를 크래커가 아닌 화이트 해커로 활용하겠다는 미국 정부의 해커 영입 기사를 봤다. 반면 우리나라는 어떤가? 실제로 사이트의 취약점이 있으니 보완하라고 알려주는데도 오히려 화를 내거나 의심하는 경우가 대부분이다. 외국은 적극적으로 막으려고 하고 우리나라는 감추려고 한다는 점에서 의식의 큰 차이가 있는 것 같다.


덧붙여 현재 우리들은 보안이 좋아서 학교에서도 동아리를 통해 공부를 계속하고 있다. 또한 졸업 후 진로도 보안 쪽 업무를 담당하고 싶다. 하지만 현실은 그렇지 못한 것이 사실이다. 국내 보안 인력들에 대한 대우는 보안 산업 기반 허약 등의 이유와 함께 그 궤를 같이 하는 것 같아 안타깝기만 하다.


- 마지막으로 해킹을 공부하고 싶어 하는 후배들에게 한 말씀?

앞서 언어장벽에 대한 에피소드(?)를 말했는데, 우리도 마찬가지겠지만 언어, 영어 공부는 필수다. 충분한 실력이 쌓여도 언어장벽이 있으면 커뮤니케이션 그리고 좋은 문서도 읽을 수 없다. 해커의 뜻이 컴퓨터를 매우 좋아하는 사람인데 컴퓨터에 관련된 것에 대한 모든 다양한 분야를 공부하려면 영어 공부가 필수적으로 뒤따라야한다고 생각한다. 


또한 해킹은 특별하다는 시선이 많은데, 해킹 공부는 딱히 다를 바 없다. 학생 때부터 구체적으로 어떻게 해킹 공부를 할까 하는 것보다 일단 공부를 열심히 해라. 공부는 논리가 중요하듯 컴퓨터도 논리가 가장 중요하다. 논리적인 관계를 이해하면 어떤 문제점이 있는지 이해하는 게 자명해 진다. 모든 과목 공부와 같이 논리적으로 이해하고 있으면 이를 집어내는 것이 필요하다.


또한 그러한 공부를 함에 있어 무엇보다 열정과 끈기, 그리고 적극적인 자세가 무엇보다 필요하다. 리버스엔지니어링만해도 양이 매우 많다. 이를 다 분석해야하는데 이를 위해서는 근성이 필요하다. 12시간이라도 앉아 있을 근성이 필요하다. 해킹이란 분야가 특별한 테크닉이 필요한 것은 아니다. 최대한 폭넓게 알아야하는데 최대한 적극적인 태도가 필요하다.


아울러 잘하는 사람이 대회에 나가는 것이 아니라 경험을 쌓기 위해 나가는 것인 만큼 데프콘 CTF와 같은 대회에 많이 참가하길 바란다. 공부만 한다면 현재 자신이 어느 위치에 있는지 알지 못하는데 대회를 통해 자신이 얼마만큼의 위치에 있는 지를 확인할 수 있을 것이다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 공공 및 민간의 클라우드 컴퓨팅 도입이 더욱 활발해질 것으로 보입니다. 보안성과 효율성을 고려할 때 자사의 클라우드 도입시 가장 우선적으로 검토할 기업 브랜드는?
아마존웹서비스(AWS)
마이크로소프트 애저(MS Azure)
IBM 클라우드
오라클 클라우드
NHN엔터테인먼트 토스트 클라우드
NBP 네이버 클라우드 플랫폼
기타(댓글로)