2020-09-25 22:15 (금)
PPP팀 “데프콘 CTF 2020 운영진, 명백한 잘못에 해명도 없어…재발방지 차원 문제제기”
상태바
PPP팀 “데프콘 CTF 2020 운영진, 명백한 잘못에 해명도 없어…재발방지 차원 문제제기”
  • 길민권 기자
  • 승인 2020.08.12 01:27
이 기사를 공유합니다

박세준 대표 “운영진, 잘못과 실수가 대회 순위에 결정적 영향 미쳐”
“결과 바꿀 순 없지만, 열심히 임한 팀들 위해 공식적 사과와 해명 요구할 것”
데프콘 CTF 2020 파이널 대회 점수표. PPP팀은 운영진 잘못으로 피해가 발생했다며 재발방지 차원에서 공식적으로 해명과 사과를 요구할 것이라고 밝혔다.
데프콘 CTF 2020 파이널 대회 점수표. PPP팀은 운영진 잘못으로 피해가 발생했다며 재발방지 차원에서 공식적으로 해명과 사과를 요구할 것이라고 밝혔다.

지난 8월 7일부터 9일까지 온라인으로 진행된 세계 최고 권위의 해킹대회 데프콘 CTF 2020은 중국 텐센트 멤버들로 구성된 ‘A*0*E'팀이 970점을 획득해 우승을 차지했다. 반면 지난해 우승팀인 PPP팀은 968점을 획득해 2위를 차지했다. 1위와 2위의 점수차는 불과 2점차다.

PPP팀 멤버인 티오리 박세준 대표는 데일리시큐와 인터뷰에서 “중국 A*0*E팀은 예선에서도 1위를 차지해 본선에서도 잘할 것이라고 예상했다. 하지만 이번 데프콘 CTF는 운영상의 문제가 좀 심각했다. 만약 운영상의 문제가 아니었다면 우승팀이 바뀌었을 것”이라며 “팀원들과 재미있게 대회에 임했지만 2점차로 우승을 놓친 것은 아쉬운 부분이다. 결과를 뒤집을 순 없지만 열심히 한 팀원들을 위해 그리고 다음 대회에 이런 운영상 문제가 재발되지 않도록 운영진에 공식적으로 문제제기를 할 것”이라고 말했다.


그렇다면 온라인으로 진행된 데프콘 CTF 2020에 어떤 문제가 있었을까.

박세준 티오리 대표에 따르면, 대회 종료 4시간 30분 전, PPP팀은 어떤 팀도 풀지 못한 문제(bdooos)를 해결해서 플래그 획득에 성공했다. 하지만 메모리에서 읽은 플래그를 인증했지만, 해당 플래그가 만료되었다며 점수가 올라가지 않았다.

운영진에게 문의했으나 서비스 상태 체크와 관련된 플래그이며 실제 플래그와는 상관 없다고 답변을 받는다.

또한 그 이전에 /flag 경로에 있는 파일을 읽는 풀이 방향에 대해 맞다는 것을 확인 받았다. 문제 설명에도 그렇게 표시 되어 있었다.

PPP팀은 해당 정보에 기반해 메모리에서 읽는 방법을 포기하고, 2시간 30분 정도 추가적으로 작업해 /flag 파일을 읽는 방식으로 공격 기법을 바꾸었다. 하지만 /flag 파일의 내용을 읽을 수 없었다.

다시 문의를 했지만, /flag 파일은 존재하지 않는다고 공지를 했다고 했으나, 보통 공지하던 방법으로 하지 않아서 전달 받지 못했다. 대회 종료 시까지도 문제 설명에는 여전히 잘못된 정보가 기재되어 있는 것을 확인했다.

결국 PPP팀이 처음에 시도했던 방법대로 메모리에 있는 플래그를 제출하는 것이 올바른 방법이었다.

처음에 공격에 성공해서 얻은 플래그는 운영진의 실수로 새로운 플래그가 공급되지 않아서 발생한 문제였던 것이다.

즉, 운영진이 잘못 알려준 정보와 시스템의 문제로 인해 이미 해결한 문제에 대해서 2시간 이상 점수 획득이 불가능했던 상황이다.

대회 결과, 1위와 2위의 점수차가 2점에 불과하다. 만약 운영진의 운영미숙과 실수가 아니었다면 대회 우승팀은 달라졌을 것이라고 아쉬움을 전했다.


박 대표는 “당시 운영진에 잘못된 이슈에 대해 문제제기를 했지만 받아들여 지지 않았고 PPP팀은 잘못된 정보를 기반으로 문제를 다시 풀기 시작했지만, 결국 해당 이슈가 수정되면서 중국팀이 해당 문제에 점수를 획득하기 시작했다. 알고보니 PPP팀이 처음했던 방식이 맞았고 플래그를 공급하는 부분에 이슈가 있던 것을 고치면 됐었는데, 아쉽게도 그 부분이 결과에 직접적인 영향을 미치게 됐다”라며 “모든 상황이 정상적으로 돌아갔다면 중국팀이 플래그를 획득하기 2시간 전에 이미 PPP팀이 플래그를 획득했을 것이고 이후 공격과 방어 점수차는 더욱 크게 날 수 있었을 것”이라고 당시 상황을 설명했다.

이어 박 대표는 “PPP도 A*0*E’도 잘했고 열심히 했다. 두 팀의 순위결과를 떠나 운영진의 실수와 잘못으로 인해서 최종 결과에 심각하게 영향을 미치면서 열심히 한 팀들이 피해를 보는 상황으로 이어졌다. 그럼에도 그에 대한 공식적인 사과나 해명을 전혀 하지 않았다는 것은 아쉽다. 다음에도 이런 문제가 재발하지 않도록 데프콘 CTF 운영진에 정식으로 항의 내용을 전달할 것”이라고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★