보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

핵테온 세종 2023, 명색이 국제해킹대회인데... 예선 이어 본선도 공정성 ‘논란’

입력 : 2023-05-12 19:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
‘핵테온 세종 2023’ 사이버보안 경진대회, 예선에서 지난해 CCE 대회 문제 재사용 논란
본선 대회도 출제 문제의 퀄리티와 평가 방식 및 기준 두고 공정성 이슈 제기돼
예선 이어 본선에서도 논란 생겨 개운치 않은 뒷맛...시상식에 수상팀 2팀 불참하기도


[보안뉴스 김경애 기자] 세종시가 주최한 국제 대학생 사이버보안 경진대회 ‘2023 HackTheon Sejong’(핵테온 세종 2023, 이하 핵테온)을 두고 참가자들 사이에서 논란이 확산되고 있다. 예선에서는 지난해 개최된 2022 사이버공격방어대회(CCE 2022)에서 나왔던 문제가 재사용됐다는 논란이 제기됐으며, 12일 시상식까지 마친 본선에서는 출제 문제를 두고 평가 기준과 방식, 평가 점수 결과를 공개해야 한다며 또 다시 잡음이 일고 있다. 관련 커뮤니티, 단체 카톡방에서는 물론 세종시에 민원 제기 움직임까지 나오는 등 참가자들 사이에서는 공정성에 대한 불만의 목소리가 커지고 있다.

▲세종시가 주최한 ‘2023 HackTheon Sejong’ 사이버보안 경진대회 홈페이지 화면[이미지=세종시]


핵테온은 세종시가 주최하고, 국가정보원, 국가보안기술연구소와 고려대(세종캠퍼스), 홍익대(세종캠퍼스) 등이 후원하는 대학생 사이버보안 경진대회로 올해로 2회째를 맞았다. 세종시가 사이버보안 인재 양성 및 발굴, 사이버보안 선도 도시로 발돋움하기 위해 개최한 대회로, 지난해에는 국내 대학생 대상으로 참가신청을 받았으나, 올해부터는 외국인 대학생도 참가할 수 있도록 국제대회로 확대시켰다.

사이버보안 경진대회는 참가신청이 승인된 전 세계 대학생이 온라인으로 예선전을 치렀으며, 상위 50개 팀이 본선 진출팀으로 확정됐다. 이어 11일 세종시 세종컨벤션센터에서 열린 본선에서 경쟁해 최종 10팀이 선발됐다. 12일에는 최종 선발된 10팀 가운데 대상 1팀(3,000만 원), 최우수상 2팀(각 1,000만 원), 우수상 3팀(각 300만 원), 특별상 4팀(각 100만 원)에게 총 6,300만 원 상당의 상금과 부상이 수여됐다.

그러나 이보다 앞서 열린 이번 예선에서 이른바 재탕 문제 이슈가 제기되며, 대회 참가자들 사이에서는 상당한 불만이 제기된 바 있다. 당시 본지가 확인했던 핵테온 참가자 단체 카톡방에서는 “지난해 출제됐던 사이버공격방어대회(CCE) 문제 유형과 유사하거나 똑같다”며 “CCE에 참가한 학생들에게 유리하고, 외국인을 비롯한 미참가자는 불리한 상황이었다”는 내용으로 내내 시끄러웠다.

이번 대회에 참가한 외국인 대학생, CCE 2022 대회 미 참가자 등 다수가 포함된 또 다른 단톡방에서도 출제 문제를 두고 “문제가 똑같다”, “국제적 망신이다”, “국민청원 게시판에 올려야 한다”, “세종시에 항의해야 한다” 등의 대화를 주고받았던 것으로 드러났다.

세종시도 이번 예선에서 낸 문제가 다른 대회에서 나온 문제와 유사하다는 항의전화를 받았던 것으로 본지 취재 결과 확인됐다. 이러한 항의는 대회 운영위원회가 대회 운영 중 참가자들의 문의를 받는 온라인 메신저 ‘디스코드’에서도 제기됐다. 본지가 입수한 디스코드 화면에서도 문제가 똑같다는 지적의 글들이 올라왔다.

익명을 요청한 A 교수는 “이번 핵테온 대회 본선에 진출한 학생이 문제가 똑같다고 디스코드로 문의했더니 운영위원회에서 지워버리는 일도 있었다”고 전하기도 했다.

지난해와 올해 연이어 핵테온에 출전한 한 대학생은 본지와의 인터뷰에서 “CCE 2020 Coverage 문제는 올해 핵테온에 출제된 go flag 문제와 동일했다. 또한, 지난해 핵테온에서도 CCE 2021에 출제된 문제가 플래그까지 그대로 나온 바 있는데, ‘WEB HACKING 1(SJ-006)[30]-정보 노출’, ‘WEB HACKING 2(SJ-007)[91]-JS 프로토타입 오염’, 두 문제는 확실히 기억난다”며 “이 때문에 대회기간 중에도 디스코드에서 논란이 많았다. 참가자 일부는 문제가 동일하다고 항의했고, 항의한 학생 상당수는 대회 운영진으로부터 퇴장 조치될 수 있다는 경고를 받기도 했다”고 말했다.

이와 관련 보안기업의 한 관계자는 “디스코드에서 문제가 똑같다는 문의가 올라온 날, CCE 2022에서 운영했던 디스코드가 닫혔다”며 “같은 운영진이 관리하고 있었는데, 논란이 될 만한 내용들이 있어 닫은 것으로 보인다”고 말했다.

참가자들 사이에서 논란이 됐던 문제 유형은 총 19개로 파악됐다. 상당수가 사이버공격방어대회(CCE)에 출제됐던 문제로 CCE 2020 Coverage, CCE 2020 StorageService, CCE 2021 Proton Note, CCE 2021 MS, CCE 2021 simple overflow, CCE 2021 nvodia, CCE 2021 revpwn, CCE 2021 babyll, CCE 2021 jscfun1, CCE 2021 random, CCE 2021 rox, CCE 2021 TES, CCE 2021 Search King, CCE 2021 gs25, CCE 2020 easy ssrf, CCE 2021 basic web, CCE 2021 baby first, CCE 2021 Special Event, CCE 2021 Diamod, Ruby, Peral 문제다.

이에 기자가 논란이 된 문제 유형 중 일부 문제를 확인해본 결과, 인터넷 상에 올라온 2021년 CCE SQL 인젝션 타입의 문제 유형과 핵테온 참가자의 문제 풀이가 동일한 것을 확인할 수 있었다.

예선에서의 문제 재탕 논란와 관련해 세종시 관계자는 “세종시에서 사이버보안의 중요성을 제고하고, 인재 양성과 저변 확대를 목적으로 학생들에게 더 많은 기회를 주고자 만든 좋은 취지의 대회다. 그동안 물신양면으로 많은 공을 들였음에도 이런 이슈가 불거져 안타깝다”며, “문제 출제는 문제출제 운영위원회가 문제 난이도, 기출문제 등을 고려해 최종 결정한 것으로 알고 있다”고 답변했다.

예선 당시 문제출제 운영위원회로 참여한 공공기관의 한 관계자는 “일부 논란이 된 문제는 예선전에서 기존 다른 대회 기출 문제를 일부 활용한 것으로 기출 문제를 많이 풀어보고 다방면으로 공부한 참가자들이 풀 수 있는 문제 유형”이라며, “동기 부여는 물론 저변 확대를 위해 난이도, 영역 등을 최대한 다양하게 고려해 출제했으나 논란의 여지가 있는 만큼 본선에는 문제 출제에 좀 더 심혈을 기울이겠다”고 설명한 바 있다.

단톡방, 커뮤니티에서 언급된 내용과 핵테온 참가자 등 본지가 취재했던 대다수의 목소리는 공정성 부분이었다. CCE 대회와 동일한 문제가 나왔다는 건 지난해에 해당 CCE 대회 참가자들에게 유리하고, 외국인 대학생을 비롯한 미 참가자는 상대적으로 불리할 수 있다는 점이다. 더욱이 후원기관으로 국가정보원, 국가보안기술연구소가 참여했고, 올해부터는 외국인도 참가할 수 있는 국제대회인 만큼 주최 측과 문제 출제 운영진이 논란의 여지가 없도록 보다 철저한 검증을 거쳤어야 한다는 얘기다.

이와 관련 익명을 요청한 B교수는 “외국 대회에서도 기출 문제가 변형돼 출제된 적이 있지만 풀이까지 동일한 경우는 극히 드물다. 해킹대회, 특히 국제대회의 입상 실적은 취업시 매우 중요한 가점요소가 되기 때문에 우수 인재를 양성한다는 관점에서도 공정성 확보는 매우 중요하다”고 강조했다.

C교수도 “사이버보안 경진대회는 공정성 시비가 발생하지 않도록 세심하고 정교한 대회 준비와 운영이 중요하다”며 “출제 문제도 원리는 비슷할 수 있지만 풀이 환경과 과정이 유사하지 않도록 해야 하고, 이전 대회 문제에 대한 세밀한 검토를 통해 재탕 시비가 발생하지 않도록 각별한 주의가 필요하다”고 지적했다.

이번 대회의 경우 공정성 논란만 제기된 게 아니다. 참가자에 대한 필터링 작업도 필요하다는 우려도 제기됐다. CCE 대회의 경우 외부 전문기업에 맡겨 문제를 출제하는데, 문제를 출제했던 전문기업 소속 직원 또는 관련 대학생이 이번 대회에 참가할 수 있기 때문이다. 이렇듯 기출 문제 출제 이슈와 함께 참가자 필터링이 이루어지지 않으면 공정성 논란은 언제든 다시 불거질 수 있다는 의미다.

또 다른 보안기업의 한 관계자는 “CCE 대회는 외부 전문기업에 요청해 문제를 출제한다”며 “CCE 문제를 출제한 회사 관계자가 이번 대회에 참가할 수 있었다. 이번 경우처럼 문제가 동일했다면 결국 문제 출제자가 동일한 문제 풀이자로 대회에 참가한 셈”이라고 지적했다.

본선에서도 논란 이어진 ‘핵테온 세종 2023’, 무슨 일 있었나
예선전에 이어 11일 열린 본선에서도 참가자들의 불만의 목소리가 이어졌다. 이번 본선 대회 문제 유형은 문제 풀이(Jeopardy) 방식과 실시간 사이버 공격 EHRS(Ethical Hacking of Real-time Systems: 실시간 서버 공격) 유형으로 복사한 세종시 홈페이지를 클라우드에 올려놓고 취약점을 찾아 리포트를 작성해 제출하는 방식 2가지로 진행됐다.

이 가운데 문제 풀이 유형 7문제 중 3문제는 대회 당일 오전 9시 문제 오픈 이후 15분 만에 풀린 것으로 알려졌다. 해당 문제는 난이도 측면에서 볼 때 그리 어려운 수준은 아니라는 평가로, 대회에서 수상할 정도의 실력을 갖췄다면 다수의 문제를 풀 수 있었을 것으로 예측되는 대목이다.

그런데 문제 풀이 유형에서 1문제 밖에 풀지 못한 팀이 EHRS 문제에서는 5,000점을 받은 팀도 있어 본선 진출팀 사이에서는 평가 방식 및 기준을 투명하게 공개해야 한다고 목소리를 높이고 있다.

익명을 요청한 참가자 A씨는 “참가자들 사이에서는 본선 출제 문제의 평가 방식에 대해 불만이 많다”며 “문제 풀이 유형이 7개가 나왔는데, 수상팀 중에는 1문제 밖에 풀지 못한 팀도 있다”며 평가 결과와 평가 방식에 의구심을 드러냈다. B씨도 “이번 대회 심사위원 중에는 후원기관 대학교 교수도 포함돼 있다”며, “만약 해당 대학 교수의 제자들이 참가했다면 형평성과 공정성 측면에서 문제가 될 소지가 있다”며 우려를 제기했다.

익명을 요청한 참가자 C씨는 “일부 문제 풀이 중에는 누구나 인정할 수밖에 없는 검증 방식의 문제 유형이 아닌 ‘때려 맞추기’ 식의 문제 유형도 있었다”며, “문제 자체의 퀄리티가 떨어진다는 생각이 들었다. 말도 많고 탈도 많았던 예선에 이어 본선까지 문제가 되니 괜히 참가해 시간만 허비한 기분이었다”고 말했다. D씨도 “핵테온은 해킹대회인 만큼 다른 부분의 예산보다 기본이 되는 출제 문제의 퀄리티에 가장 큰 공을 들였어야 했다”고 아쉬워했다.

이에 대해 핵테온 운영진 관계자는 “기존 대회에 많이 나오는 문제 풀이 유형에 익숙한 참가자라면 실시간 취약점 문제가 낯설 수 있다”며 “사전에 취약점 수준별로 점수 배점을 하겠다는 공지가 나갔다. 이를테면 파일 업로드 취약점은 1,000점이다. 찾은 취약점을 잘 작성해 제출해야 점수 배점이 높다”고 설명했다.

그러면서 그는 “이의제기가 있는 팀은 별도로 면담을 진행했고, 이의제기한 부분에 대해서는 충분한 설명과 함께 별도의 날인을 받았다”며 “참가팀 중 한 팀의 학생이 취약점을 제출했는데, 9명 심사위원이 평가했을 때는 증거샷이 부족했다. 그 부분에 대해서는 해당 학생도 인정하고 돌아갔다”고 답변했다. 또한, 후원기관 대학의 교수가 심사위원으로 포함된 데 대해서는 심사위원이 총 9명으로, 그 중에는 KISA 연구원 등 전문가가 다수 포함돼 있어 특정 교수의 점수가 편중돼 평가되는 건 말이 안 된다고 공정성과 형평성 논란을 일축했다.

그럼에도 논란은 가라앉지 않고 있다. 또 다른 참가자는 “참가자들의 대동소이한 정답 제출에 대해 어떤 팀은 고득점으로 인정이 되고 어떤 팀은 점수가 인정되지 않기도 했는데, 각 팀별 세부 채점 내역과 평가 결과를 알려주지 않았다”며, “메일로 제출하는 취약점 문제의 경우 채점이 다 끝나고 시상식이 끝난 오늘까지도 읽지 않은 메일이 존재할 정도로, 공정한 채점을 위해 리포트를 제출한 팀들에게 최소한의 알 권리도 부여하지 않았다”고 지적했다.

이렇듯 예선에 이어 본선에서까지 논란이 이어지고, 수상자 불참 소식까지 알려지면서 이번 대회는 개운치 않은 뒷맛을 남기게 됐다. 본선 참가자를 대상으로 운영되는 오픈 채팅방에 수상자가 불참한다는 공지가 올라온 것. 본지 확인 결과, 수상팀 2곳이 시상식에 참석하지 않은 것으로 확인됐다. 이를 두고 일부 참가자들은 예선에서의 문제 재탕 논란에 이어 본선 문제의 평가 방식 이의 제기 등으로 납득할 수 없는 결과가 나와 불참한 것으로 해석했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)