Home > 전체기사
전세계에 대한민국 해커 위상 드높인 포스텍 ‘PLUS’
  |  입력 : 2009-08-11 15:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
[인터뷰] 포항공대 보안연구동아리 ‘PLUS’

2009 DEFCON 17 CTF 본선 3위 수상...한국 역대 최고 성적 달성

해커, “열정과 끈기, 그리고 적극적인 자세 필요”

 

▲데프콘 CTF 본선대회에서 3위의 우수한 성적을 낸 포스텍 PLUS팀 멤버들이 본선대회가 끝난 지난 8월 2일 대회장에서 찍은 기념사진. 사진은 상하 구분 없이 왼쪽부터 장태웅(물리학과, 07), 채동주(컴퓨터공학과, 08), 곽인범(컴퓨터공학과, 08), 이병영(컴퓨터공학과, 03), 조국현(컴퓨터공학과, 03), 장준호(컴퓨터공학과, 07), 배병욱(전자기계공학과, 05), 김영석(컴퓨터공학과, 08), 이호진(컴퓨터공학과, 06), 차명훈(컴퓨터공학과, 07), 송재혁(컴퓨터공학과, 05), 김영수(물리학과, 07), 최하늘(컴퓨터공학과, 07), 송종혁(컴퓨터공학과, 04) 학생. @PLUS@postech

 

세계에서 가장 유명한 해킹 컨퍼런스 중 하나인 데프콘에서 동시 개최하는 데프콘 CTF 본선 대회에 올라 실력을 과시하는 것은 전세계 해커들에게 있어서는 무척이나 명예로운 일이다. 수백여 팀이 예선을 거쳐 그중 오직 10개팀만이 데프콘 CTF 본선에 참가할 수 있는 자격이 주어지기 때문이다. 올해 대회에서는 500여팀이 치열한 예선을 거친 결과, 10개팀 중 한국의 3개팀이 본선에 올라 자랑스러운 대한민국의 위상을 높였다. 더구나 이번 본선대회에서는 한국 역대 최고성적인 3위의 성과를 달성하는 쾌거마저 이루었다. 올해 데프콘 CTF에서 전세계에 대한민국을 다시 한번 각인시킨 주인공들은 바로 포항공대 보안연구동아리 PLUS@postech’팀이다.

 

보안뉴스는 지난 8월 2일 대회를 마치고 라스베이거스에서 막 돌아온 PLUS팀을 직접 만나 소감 및 이번 대회의 이모저모에 대해 들어봤다. 아울러 이번 대회에 참여한 플러스팀 14명 중 아직 미국에 잔류하고 있는 등의 이유로 만날 수 없었던 팀원을 제외한 7명과의 인터뷰 시간을 가졌다. 

 

이번에 만난 PLUS팀 멤버 7명은 장준호(컴퓨터공학과, 07) 회장을 비롯해 멤버 중 유일한 졸업생으로 현재 넥스토릭 둠바스팀에서 프로그래머로 근무 중인 조국현(컴퓨터공학과, 03)씨, 그리고 이호진(컴퓨터공학과, 06), 송재혁(컴퓨터공학과, 05), 장태웅(물리학과, 07), 이병영(컴퓨터공학과, 03), 차명훈(컴퓨터공학과, 07)  등 7명이다. 아래 인터뷰 내용은 PLUS팀원들이 답변한 내용을 요약정리한 것. 

 

▲(인터뷰 참석자)왼쪽부터 이호진, 송재혁, 조국현, 장준호, 장태웅, 차명훈, 이병영 학생.

@보안뉴스.

- 데프콘 CTF에서 한국 역대 최고 기록인 3위의 성과를 달성한 소감은?

예선을 통과한 후 본선 대회 규칙을 잘 몰라 어려움을 겪는 등 스트레스를 많이 받았지만, 어쨌든 본선에 참가해 7월 31일 오전 10시(현지시간)부터 3일 간을 제대로 잠도 자지 못한 채 실력을 뽐내야 했다. 그렇게 3일 간 잠을 제대로 이루지 못한 채 8월 2일 오후 2시, 드디어 본선이 마무리 되면서 너나할 것 없이 우리 팀원들은 모두 잠에 골아 떨어졌고, 성적발표 시에도 비몽사몽의 정신이라 실제로는 3위라는 성적을 실감하지 못했던 것이 사실이다.


그렇게 시상을 위해 얼떨결에 무대로 오른 순간, 천여명의 관중이 보내준 뜨거운 박수 소리에 감동이 북받쳐 올랐다. 그저 컴퓨터를 하고, 보안을 공부하면서 최고가 되고 싶다는 막연함에서 이를 확인해보고자 선택한 데프콘 CTF에서 몇 백팀이 참가해 치열하게 예선을 거쳐 오직 10팀만이 나갈 수 있는 본선에 오른 것만으로도 뿌듯했는데 그중에서도 3위의 성적을 올렸다는 것이 실감이 되지 않으면서도 무척이나 영광스럽고 기뻤다. 말로 표현할 수 없는 무한감동을 느끼는 순간이었으며, 그 감동은 현재까지도 여전하다. 세계적인 친구들과 어깨를 나란히 한 우리 플러스팀이 무척이나 자랑스럽다.


- 데프콘 CTF 본선대회 참가 중 어려웠던 점, 혹은 에피소드가 있다면?

우선 국내 해커와 해외 해커의 근본적인 차이점은 언어다. 실제 국내 해커들의 경우 영어를 잘 하지 못하는 것이 사실이다. 이번 데프콘 CTF 본선대회가 끝나고 리더들이 모인 회의에서도 그러한 점은 여실히 드러났다. 이 자리에서는 국내 해커들 중에서 반젤리스(Song of Freedom팀 리더)를 제외하고는 모두가 영어 언어구사 능력이 떨어져 하고 싶은 말이 있어도 하지 못하는 아쉬운 상황이 있었다.


더구나 그렇듯 언어구사 능력이 떨어지다 보니 본선을 치루면서 정말이지 큰 문제가 발생하기도 했다. CTF 본선 첫날, 대회가 시작하기 전 네트워크 등을 세팅해 경기에 임해야 함에도 불구하고 언제 세팅을 하고, 어떻게 해야 하는지를 몰라 대회가 시작된 지 5시간이 경과할 때까지도 대회가 시작한지도 모르는 촌극이 벌이졌던 것이다. 그렇게 5시간이 경과해서야 대회운영진 측에서 왜 시작을 안하냐고 해서 그제서야 급히 세팅을 해서 시작하게 되는 웃지 못할 상황이 벌어졌다. 하지만 그런 설정상의 문제는 다른팀도 비슷한 것 같았다. 언어장벽으로 인한 헤프닝이라고 하기엔 운영적 미스가 크게 보였던 부분이기도 하다.


- 이번 데프콘 CTF 대회는 운영상 여러 문제들이 있었던 것으로 알고 있는데, 어떤 부분이 아쉬웠는지?

앞서 말한 바와 같이 언어장벽이 있는 팀에 대해서는 이를 해결해 줄 수 있는 통역 등의 부분이 우선 아쉬운 부분이었던 것 같다. 또한 다른 팀에서는 운영 측에서 의도하지 않은 취약점 등을 통해 루트권한을 획득해 Dos공격 등을 감행한 점도 발생했다. 루트권한 획득이 대회규정 상 페널티를 주는 것은 아닌 것으로 알고 있으나 Dos공격에 대해서는 페널티를 주는 것으로 알고 있는데, 이 역시 묵인된 것으로 알고 있다. 더구나 그러한 공격으로 서버가 다운된 후에도 대회운영진 측에서는 즉각적인 조치를 취해 주지 않은 점도 아쉬웠던 부분이다.


그리고 무엇보다 가장 혼란스러웠고 불만족스러웠던 부분은 그렇듯 규칙대로 하지 않는 부분에 대해서도 투명하지 못했던 점도 있지만 점수계산에 있어서도 투명하지 않았던 것 같다. 중간 중간 각 팀들의 점수가 오르고 내려도 어떤 기준에 의해 순위가 바뀌는지 명확히 알 수 없어 혼란스러웠다.


- 국내 해커와 해외 해커들 간에 있어 환경적인 차이가 있다면?

이번 대회에서도 느꼈지만 해외 해커들은 우선 대회 말고도 외적인 부분에서의 연구 등의 활동이 많은 것 같다. 이번 참가 팀 중에서도 리버스엔지니어링 등의 현업에 종사하는 팀과 팀원들이 많았다. 우리 팀만 하더라도 직업적으로 활동하지 않아 차이가 있다. 그 차이란 특히 경험적인 차가 두드러져 해외 해커들은 경험상 문제를 푸는데 있어서도 엄청난 속도를 보인다.


또한 그러한 환경은 장비에 있어서도 차이를 보인다. 우리 팀의 경우에는 학교 차원에서 여러 지원을 받고 있다. 가령 다른 팀의 경우에는 아직까지도 CRT 모니터를 쓰는 등 열악한 장비를 사용하고 있기도 하다. 물론 장비가 좋아야 좋은 결과가 있는 것은 아니다. 장비가 갖춰졌다고 1등을 하는 것은 아니다. 다만 소프트웨어를 이용함에 있어 좋은 장비가 있다면 좀더 편하게 할 수 있는 여건 등으로 다양한 환경에서 좀더 많은 연구 및 공부가 가능할 것이다.


- 플러스팀은 이번에 처음으로 단일팀을 구성해 참가한 것으로 알고 있다. 팀워크가 얼마만큼 중요한가?

팀웍은 이번 대회에서 많은 이득을 주었다. 우선 처음 만나 함께하는 것보다는 편하다는 점이 가장 큰 장점이다. 편하다는 것은 부탁도 어렵지 않게 할 수 있다는 것과 서로의 장·단점에 대해 알기에 그 역할을 분명하게 나눌 수 있다는 장점이 있다. 공격방법을 안다는 것만으로 모든 것이 해결되는 것은 아니다. 서로 협력을 통한 협업이 이루어졌을 때 그 힘은 배가 된다는 것을 우리 팀원들은 알고 있으며, 그것을 믿었기에 이번에 좋은 결과를 얻을 수 있었던 것 같다.


- 국내 해킹 대회와 데프콘 CTF의 차이점이 있다면?

국내 해킹 대회와 데프콘 CTF는 방식적인 측면에서 다르다. 우선 국내 해킹 대회는 점수를 얻는 방식, 즉 시험을 치루는 것과 같다면 CTF는 실제 해킹과 가까워 무언가 자유롭다는 생각이 든다. 그런 자유스러운 룰이 사실 관리하기가 힘든 것이 사실이다. 국내 해킹 대회는 CTF 룰과는 다른 방식을 채택했던 것 같다. 하지만 최근에 들어서는 국내에서도 CTF 대회가 많이 열리고 있으며, 실제 그 문제나 관리적 측면에서 해외 CTF 대회와 비교해도 크게 뒤지지 않는다고 생각한다.


CTF는 개최한 팀의 실력에 따라 다를 뿐 외국이나 국내나 큰 차이는 없는 것 같다. 이번 데프콘 CTF는 앞서의 언급처럼 운영상에 있어 적잖은 불만이 있었다. 국내 CTF 대회는 데프콘과 같이 역사가 그렇게 오래 되지 않아 전세계적으로 유명한 대회로 자리를 잡지 못했지만 지속적인 운영상의 관리 및 홍보 등을 지속한다면 데프콘 CTF와 같이 유명한 대회로 자리매김할 수 있으리라 생각된다. 아울러 최근 국내 해킹대회가 활성화되면서 우리 팀도 많이 참가를 했는데, 그러한 경험이 이번 대회에서 좋은 성과를 얻는 데 많은 도움이 된 것 역시 사실이다. 그런 점에서 국내에서 대회가 좀더 활성화되길 바란다.


- 해커에 대한 국내 외 인식의 차이가 있다면?

최근에는 해커에 대한 인식이 많이 좋아졌다고는 하지만 아직까지 해외 쪽의 인식과 비교해서는 많이 뒤쳐져 있는 것 같다. 그중에 하나가 보안이 잘돼 있는 외국의 온라인게임과는 달리 우리나라의 온라인게임은 핵 프로그램 등이 창궐하는 모습들이 특히 해커에 대한 이미지를 좋지 못하게 하는 것 같다.


그런 측면에서 정부나 기업에서는 크래커가 아닌 화이트 해커의 수요를 만드는데 좀더 치중해 주었으면 좋겠다. 최근에 해커라고 하더라도 실력이 좋다면 영입해 이를 크래커가 아닌 화이트 해커로 활용하겠다는 미국 정부의 해커 영입 기사를 봤다. 반면 우리나라는 어떤가? 실제로 사이트의 취약점이 있으니 보완하라고 알려주는데도 오히려 화를 내거나 의심하는 경우가 대부분이다. 외국은 적극적으로 막으려고 하고 우리나라는 감추려고 한다는 점에서 의식의 큰 차이가 있는 것 같다.


덧붙여 현재 우리들은 보안이 좋아서 학교에서도 동아리를 통해 공부를 계속하고 있다. 또한 졸업 후 진로도 보안 쪽 업무를 담당하고 싶다. 하지만 현실은 그렇지 못한 것이 사실이다. 국내 보안 인력들에 대한 대우는 보안 산업 기반 허약 등의 이유와 함께 그 궤를 같이 하는 것 같아 안타깝기만 하다.


- 마지막으로 해킹을 공부하고 싶어 하는 후배들에게 한 말씀?

앞서 언어장벽에 대한 에피소드(?)를 말했는데, 우리도 마찬가지겠지만 언어, 영어 공부는 필수다. 충분한 실력이 쌓여도 언어장벽이 있으면 커뮤니케이션 그리고 좋은 문서도 읽을 수 없다. 해커의 뜻이 컴퓨터를 매우 좋아하는 사람인데 컴퓨터에 관련된 것에 대한 모든 다양한 분야를 공부하려면 영어 공부가 필수적으로 뒤따라야한다고 생각한다. 


또한 해킹은 특별하다는 시선이 많은데, 해킹 공부는 딱히 다를 바 없다. 학생 때부터 구체적으로 어떻게 해킹 공부를 할까 하는 것보다 일단 공부를 열심히 해라. 공부는 논리가 중요하듯 컴퓨터도 논리가 가장 중요하다. 논리적인 관계를 이해하면 어떤 문제점이 있는지 이해하는 게 자명해 진다. 모든 과목 공부와 같이 논리적으로 이해하고 있으면 이를 집어내는 것이 필요하다.


또한 그러한 공부를 함에 있어 무엇보다 열정과 끈기, 그리고 적극적인 자세가 무엇보다 필요하다. 리버스엔지니어링만해도 양이 매우 많다. 이를 다 분석해야하는데 이를 위해서는 근성이 필요하다. 12시간이라도 앉아 있을 근성이 필요하다. 해킹이란 분야가 특별한 테크닉이 필요한 것은 아니다. 최대한 폭넓게 알아야하는데 최대한 적극적인 태도가 필요하다.


아울러 잘하는 사람이 대회에 나가는 것이 아니라 경험을 쌓기 위해 나가는 것인 만큼 데프콘 CTF와 같은 대회에 많이 참가하길 바란다. 공부만 한다면 현재 자신이 어느 위치에 있는지 알지 못하는데 대회를 통해 자신이 얼마만큼의 위치에 있는 지를 확인할 수 있을 것이다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향