보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

방어자 관점의 진짜 해킹방어대회? 직접 참가했더니...

입력 : 2014-10-30 17:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
침해사고에 직접 대응하는 형태...해킹방어대회 HDCON 참가자 후기


[보안뉴스 김지언] 공격자 중심의 해킹대회가 아닌 실제 해킹사고의 대응능력을 키울 수 있도록 하기 위한 방어자 중심의 진짜(?) 해킹방어대회가 개최돼 눈길을 끌고 있다.

 


지금껏 국내에서 개최된 대부분의 해킹방어대회는 방어보다는 해킹에 초점을 맞춘 해킹대회에 가까웠다. 이에 한국인터넷진흥원은 국내 참가자들의 방어능력을 테스트할 수 있는 차별화된 해킹방어대회 HDCON을 준비하게 됐다.


10월 18일과 19일 2차례에 걸쳐 예선을 진행한 HDCON은 한국인터넷진흥원에서 해킹사고에 대한 대응능력 향상을 위해 올해로 11회째를 맞이하는 행사다. 기존 HDCON 문제풀이 방식은 시스템 인증을 우회해 관리자 권한을 획득하거나 DB의 취약점을 찾거나 바이너리 파일을 크랙하는 것과 같이 대부분 공격자 입장에 초점을 맞춘 문제였다. 그러나 이번 HDCON의 경우 공격자 입장이 아닌 방어자 입장에서 피해 시스템에 대한 원인을 제대로 분석하고 취약한 부분을 제대로 방어하느냐에 초점을 맞춰 문제가 출제된 것으로 알려졌다.


한국인터넷진흥원 침해사고분석팀 이동근 팀장은 “1차 예선에서는 악성코드와 트레픽을 분석하는 기본적인 능력을 평가한 후, 이중 상위 88개 팀을 대상으로 2차 예선을 진행했다”며 “2차 예선에서는 피해를 당한 가상서버를 만들어 네트워크 VPN으로 참가자들이 참여할 수 있게 한 다음 사고 피해서버를 참가자들이 어떻게 침해사고 분석자의 입장에서 대응할 수 있는지에 대해 테스트했다”고 밝혔다.


이번 대회에 출전한 참가자들은 대부분 혼란스럽긴 했지만 신선했다는 반응이다. 이에 2차 예선 참가자들과의 간단한 인터뷰를 통해 이번 대회가 그들에게 어떤 의미로 다가왔는지 들어봤다. 


김종민 : 1차 예선은 기존이랑 똑같이 해킹 중심의 문제였으나 2차 예선은 사고 대응 및 분석에 관한 것이었다. 기존 대회에서도 포렌식 분야로 사고분석 문제가 나오긴 했지만 사고대응이라는 측면에서 신선하게 느껴졌다. 다만 어떤 식으로 사고에  대응해야 하는지 갈피를 잡을 수 없었던 측면과 문제 내용이 애매했던 부분이 혼란스러웠다.


하동주 : HDCON은 오래전부터 참여해왔던 대회이고 지금의 소중한 인연을 만들어준 대회이기에 애착이 많다. 예전부터 HDCON은 기존 해킹대회들과는 달리 말 그대로 해킹방어를 실력을 겨룰 수 있도록 많은 노력을 해왔던 것 같다. 1차 예선에서는 참가팀이 많아 어쩔 수 없이 기존 해킹대회처럼 운영방식이나 문제유형을 해킹에 중심을 두어 참가팀을 거를 수밖에 없었던 것 같으나, 2차 예선에서는 해킹방어에 맞춰 실력을 겨룰 수 있는 문제들이 많이 출제됐다.


특히 이번 대회는 공격과 관련된 문제들이 실제 발생하고 있고, 앞으로 발생할만한 이슈들을 중심으로 출제돼 신기하고 재미있었으며 많이 배울 수 있는 기회가 된 것 같다.


그러나 이번 대회 2차 예선은 기존에 접하지 못한 새로운 형태로 진행되다 보니 설명이 애매하거나 설명이 되어 있지 않은 부분들을 상식적인 선에서 생각해 진행하는데 있어 어려움이 많았다. 우리가 제대로 패치를 진행하지 않은 것인지 아니면 운영진 측에서 검증하는 패치 기준에 부합하지 않은 것인가에 대해서도 애매했다.


이외에도 감점 규정중 대회 종료 시점까지 대응하지 못할 경우 200점이 감점되는 문제가 있었다. 이 문제의 경우 실제로 종료 30분전까지 해결하지 못할 경우 200점이 감점되었는데 종료시점을 종료하는 시간으로 해석하고, 마지막에 대응하려고 했던 팀에게는 불리하게 작용했던 것 같다.


권형서 : 가상서버를 주고 실제 침해상황과 같이 시나리오를 주면서 해킹방어대회를 개최했다는 점에서 흥미진진하게 다가왔다. 그러나 규정항목 기준이 명확하지 않고 문제설명이 애매한 부분이 있어 소위 ‘삽질’을 많이 해야만 했다.


진용휘 : 1차 예선은 기존 해킹방어대회들과 같이 웹이 아닌 네트워크 서비스에 대한 공격 중심의 문제였다. 2차 예선은 디도스 봇넷에 감염된 컴퓨터를 각 팀이 원격 데스크톱으로 연결할 수 있게 해줬다. 즉, 봇넷이라는 침해사고에 대응하는 문제였다. 문제는 두 종류가 있었는데 봇넷이 업로드 된 흔적을 찾는 것과 감염 컴퓨터 내의 침해상황에 제대로 대응했느냐에 관한 것이었다. 실시간으로 제대로 대응을 하지 못한 팀에게는 점수 감점이 있었는데 긴박한 상황이 계속되니 긴장이 되면서도 스릴 있고 재밌었다.


그러나 대회가 끝나기 몇 시간 전 컴퓨터를 종료시키는 명령이 전달되는데, 이 방식에 대해 좀더 구체적으로 일찍 공지됐으면 좋았을 뻔했다. 또 규정과 일부 문제 지문이 애매해 이는 개선됐으면 한다.


이와 관련 이동근 팀장은 “실제 침해사고가 발생하면 취약점 패치, 악성코드 설치 여부 확인, CNC 위치 확인, 트레픽 분석 등을 한다. 그러나 정확한 사고 원인이 무엇인지 어떻게 대응해야 하는지는 해결 전까진 알 수 없기에 증상만 갖고 파악해야 한다. 이러한 점을 반영해 문제를 의도적으로 애매하게 출제한 부분이 있다”고 밝혔다.

이어 그는 “이에 대응법을 한정짓지 않고 취약점이 있으면 가용성을 침해하지 않는 선에서 제대로 패치했는지, 악성코드가 다시 삽입되지 않도록 삭제한 것인지를 중점적으로 확인했다. 문제풀이 형식은 본선이 끝난 후 공개할 예정”이라고 밝혔다.


이에 HDCON 본선 역시 침해사고가 발생한 환경이 주어지고 보안담당자로서 사고원인을 파악하고 문제를 해결하는 형식으로 진행될 계획이다.

 

많은 대회가 보안전문가를 양성하기 위해 해킹방어대회를 개최한다고 하지만, 실제로는 해킹 위주의 문제가 주로 출제돼 왔다. 이로 인해 보안전문가 양성보다 청소년들의 상용망 대상 공격을 부추기는 게 아니냐는 지적이 제기된 게 사실이다. 

 

이러한 측면에서 이번 대회는 방어자 입장에서 해킹방어대회를 개최함으로써 유사대회의 향후 문제출제 방향에 있어서도 시사하는 바가 크다. 보안전문가를 양성하려면 해킹기술 뿐만 아니라 방어기술에 대한 역량 강화가 필수적이기 때문이다.


한편, 2차 예선 통과 상위 10개 팀은 오는 12월 4일 오전 9시부터 오후 6시 30분까지 파티오나인 그레이스홀에서 진행되는 본선을 치르게 된다.

[김지언 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
<보안뉴스>의 보안전문 기자들이 선정한 2024년 주요 보안 키워드 가운데 가장 파급력이 클 것으로 보는 이슈는?
점점 더 지능화되는 AI 보안 위협
선거의 해 맞은 핵티비즘 공격
더욱 강력해진 랜섬웨어 생태계
점점 더 다양해지는 신종 피싱 공격
사회기반시설 공격과 OT 보안 위협
더욱 심해지는 보안인력 부족 문제
제로트러스트와 공급망 보안
가속화되는 클라우드로의 전환과 이에 따른 보안위협
모바일 활용한 보인인증 활성화와 인증보안 이슈
AI CCTV의 역할 확대