세계 최대 해킹대회 데프콘(Defcon) 2014 CTF가 지난 8월 8일부터 8월 10일까지 개최됐다. 총 20개 세계 최고의 해커팀들이 참가한 가운데 카네기멜론 대학 멤버들로 구성된 PPP팀이 우승을 차지했다. 지난해에 이어 2회 연속 데프콘 해킹대회 최강자의 자리에 올라 현존 최강의 해커팀임을 다시 한번 확인시켜준 자리였다.
 
또 이번 본선에는 한국팀이 raon_ASRT, CodeRed, HackingForChimac, KAIST GoN 등 4개팀이 참가했다. 또 한국인 혼합팀 1팀([SEworks]penhackon)도 본선에 올랐다. 본선에 오른 것만해도 해커들에게는 대단한 자부심이 아닐 수 없다. 그런 의미에서 거의 5개팀이 본선에 오른 한국 해커들의 저력이 어느 정도인지를 알 수 있다.
 
데일리시큐는 데프콘 2014 CTF 대회 종료 직후 우승을 차지한 PPP팀 박세준 멤버와 한국팀 최고 성적을 낸 raon_ASRT 박찬암 팀장과 간략하게 온라인 인터뷰를 진행했다.
 
◇PPP팀 박세준 인터뷰
-우선 PPP팀 소개를 부탁드립니다.
저희 팀은 2009년 8월에 설립된 CMU(Carnegie Mellon University; 카네기 멜론 대학) 해킹/방어 동아리입니다. 정식 명칭은 학교 색깔/무늬인 ‘Plaid’(격자무늬), 완승을 거둔다는 인터넷 언어인 ‘pwning’, 그리고 밤에 깨있는 부엉이들을 뜻하는 ‘parliament’를 합쳐서 만들어진 Plaid Parliament of Pwning이지만, 이름이 너무 길어서 보통 PPP라는 이름을 사용합니다. 하지만 가끔 대회 사이트들이 팀 이름을 최소 4자 이상 요구하는 곳들 때문에 ‘PPP_’ 등의 이름을 쓰기도 한답니다.
 
제가 아직 학부생이던 시절에 해킹대회들을 혼자 참여하다가 팀이 있으면 더 재미있을 것 같다는 생각이 들어서 지도교수님과 연구실에 계시던 대학원생 형님들의 도움을 받아 팀을 만들게 되었습니다. 그런 후 얼마 지나지 않아, 정말 잘하고 열심히 하는 친구들이 많이 들어와서 처음으로 참여한 대회들에서도 3위 밖으로 벗어나지 않으며 해킹 대회 참여를 시작하게 되었습니다. 제가 초대 회장으로 2009년부터 2012년까지 맡았고, 졸업 후에는 후배들이 이어가고 있죠. 저를 포함해 학교를 졸업한 멤버들 대다수가 아직까지 꾸준히 활발하게 활동하고 있습니다. 현재 팀 재적 인원은 20여명 정도 되지만 활동 인원은 약 14명 정도됩니다. 매 해마다 새로운 멤버를 영입하는데 어려움을 겪고 있어 고민이 많은 동아리입니다.
 
초기에는 참여 가능한 모든 대회를 참여하는 것을 규칙으로 삼았지만, 최근엔 너무 대회들이 많아져서 큰 대회들을 제외하고는 그때그때 시간이 되는 멤버들만 참여하는 형식으로 대회들을 참여하고 있습니다.

 
-이번 데프콘 대회 우승 소감 한 마디 해 주신다면
초반 슬럼프와 스코어보드 비공개 때문에 경기 내내 불안한 마음으로 진행했지만, 첫째 날 이후 마음을 다잡고 계획한 대로 경기를 진행해서 좋은 결과로 마무리 짓게 되어서 무척 기뻤습니다. 작년 우승때는 경기 초반부터 꽤 격차가 많이 벌어져 있어서 큰 걱정 없이 마무리를 했었는데, 올해에는 초반부터 밀리는 바람에 경기 종료시점까지 긴장감을 갖고 대회를 진행했습니다. 제가 저희 팀에서 가장 큰 강점으로 생각하는 팀워크를 통해 초반 슬럼프를 벗어내고 우승까지 하게 된 점에 대해서 자랑스럽게 생각합니다.
 
-첫날에 밀리다가 둘째날부터 1위로 올라섰는데 그 과정을 듣고 싶네요
첫날 스코어보드를 보신 분들은 아시겠지만 저희 팀 첫날 성적이 좋지 못해서 초반에 꽤나 긴장하고 걱정했습니다. 이대로 가면 순위권 안에도 들지 못할 수 있겠다는 생각에 첫째날 밤에 팀원들끼리 긴급회의를 열어 무엇을 잘 못했는지, 어떤 점을 어떻게 개선해야 할지, 아침이 되어 경기가 재시작되기 전에 완성해야 할 것들이 무엇이고 시작 후에 어떻게 진행할 것인지 등에 대해서 계획을 세우고 새벽 늦게까지 작업을 했습니다.
 
둘째날이 되고 준비해온 공격들을 시작하고 방어를 위해 패치 등을 설치한 후에 새로 나온 문제들을 최대한 다른 팀들보다 빨리 풀어서 공격하면서 조금씩 랭킹이 올라가기 시작했습니다. 둘째 날 중후반부터는 마침내 1위를 탈환했지만, 점수 격차는 가려진 상태였기 때문에 다음 날 언제든지 역전 당할 수 있다는 생각에 불안해하고 있었습니다. 마지막 날인 셋째날에는 랭킹조차 공개되지 않아서 4시간 내내 최대한 저희가 할 수 있는 공격과 방어를 하며 순위가 바뀌지 않았기만을 바라며 경기에 임했습니다.
 
-이번 2014 데프콘 CTF 문제는 어땠나요
이번 데프콘 문제는 작년과 매우 흡사했는데요. 일단 작년과 마찬가지로 ARM 기반의 소형 컴퓨터(ODROID)가 주어졌고, 버그의 종류들도 크게 다르지 않았습니다. 작년에 비해서 공개된 문제의 수가 약간 적었지만, 각 문제마다 여러 개의 취약점이 존재해서 다양한 공격 페이로드들과 패치들을 제작해야 했습니다.
 
한가지 특이점을 꼽자면, 이전에는 볼 수 없었던 하드웨어 해킹이 추가되었습니다. 운영팀에서 직접 제작한 전자 뱃지를 각 팀에게 나누어 주고 그 위에서 돌아가는 프로그램을 해킹하는 문제였죠. MSP430 프로세서를 emulate하는 FPGA칩과 LCD가 있는 보드였는데, radio 칩을 이용해 무선으로 서버를 경유해 각 팀간에 메시지를 주고 받을 수 있는 메신저 앱이 있는 뱃지였습니다. 정말 획기적이고 재미있는 문제였지만, 아쉽게도 운영진 측 시스템에 버그가 있어서 저희 팀에서는 메시지가 전송되지 않는 일이 발생해 구현한 공격이 무용지물이 되는 사태가 벌어졌습니다. 나중에 다른 기기로 테스트해보니 한번에 공격에 성공하더군요.
 
-해커들에게 데프콘 대회는 어떤 의미가 있나요
데프콘 해킹 대회는 1996년 데프콘 4회부터 진행되어온 가장 전통이 오래된 해킹대회입니다. 그만큼 해킹대회 및 해킹 scene의 선구자로 여겨졌고, 요즘에는 어쩌면 데프콘 보다 좋은 대회들이 많아졌지만 완성도가 가장 높은 대회이기도 합니다. 그렇기에 가장 많은 해커들의 관심을 받았고 경쟁도 심해졌죠. 다른 유명한 대회들 처럼 큰 상금은 없지만 이제까지의 명성과 해커로서의 명예, 그리고 멋진 블랙뱃지를 받을 수 있는 해킹대회의 막판 보스로 자리매김을 해오고 있습니다. 경쟁이 심하고 본선에 진출하기 어려운 만큼 우승시 명예와 성취감이 커서 많은 해커들이 매년 참여하는 대회입니다. 그런 의미에서 올해 본선에 진출한 20팀 중 한국팀이 5개팀이나 있었다는건 정말 대단한 일이라고 생각합니다.
 
-한국에서 열리는 코드게이트나 시큐인사이드 대회 문제와 어떤 차이가 있나요
코드게이트와 시큐인사이드 모두 국제 대회들의 롤모델이 되어가고 있습니다. 일단 가장 큰 차이는 대회 참여자들에 대한 대우입니다. 한국과 해외에서 모두 경기를 해보신 분들은 다 공감하시겠지만, 한국 대회들 만큼 참가자들의 복리후생(?)을 신경써 주고 친절히 대해주는 곳은 없죠. 두번째 차이점은 상금입니다. 많은 국제 대회들이 상금을 내걸고 있긴 하지만 한국 대회들과는 비교할 수 없을 만큼 적은 금액이죠. 저희 팀이 매년 주최하는 Plaid CTF를 포함한 많은 대회들이 언젠가는 코드게이트나 시큐인사이드와 같은 규모의 상금을 걸 수 있도록 열심히 스폰서들을 모으고 있습니다.
 
마지막은 문제 스타일이겠죠. 아무래도 각 나라에서 관심이 있는 해킹 이슈나 보안 문제/기술이 차이가 조금씩 있기 때문에 문제 스타일 역시 차이가 있습니다. 또한 본선대회를 살펴보면, 국내에서는 최대한 간단하고 깔끔한 경기진행을 위해 문제 풀이 방식(jeopardy) 대회 형식으로 진행을 하고 데프콘이나 PHDays같은 해외 대회들은 복잡하지만 지켜보기엔 조금 더 재미있을 수 있는 공격/방어 방식(attack & defense) 대회 형식으로 진행을 합니다.
 
-국제대회에 참가를 많이 하시는데 1년에 몇 개 대회 정도 참가하시나요
위에서 잠깐 언급했지만, 초기에는 가능한 한 모든 대회를 참여했지만 최근에는 본선이 있는 주요대회가 아닌 이상 시간이 되는 멤버들만 참여하는 방식으로 참가하고 있습니다. 2011~2013년 기준으로 1년에 약 20여 개 정도 대회를 참가합니다.
 
-PPP팀 멤버들은 주로 연습을 어떻게 하나요
많이 받는 질문인데요. 저희 팀은 따로 연습하지는 않습니다. 다만 참여하는 대회들을 연습이라고 생각합니다. 어떤 대회든 참가할 때마다 새로 배우는 것들이 많고 알던 것들은 복습하는 좋은 기회이기 때문이죠. 이 때문에 초기에 실력을 늘리기 위해 가능한 모든 대회를 참여하는 정책을 세운 것이기도 합니다.
 
대회 이외에는 학기 중에 2주에 한번씩 미니 세미나 형식으로 ‘스터디세션’을 진행합니다. 각 멤버들이 돌아가면서 특정 주제에 대해서 발표하거나 트레이닝을 하는 방식으로 팀내 연습보다는 다른 학생들을 저희 멤버로 끌어들이기 위해서 공짜 밥(피자)과 음료수를 제공하며 멋있어 보이는(?) 것들을 보여주는 회원 모집 용도로 진행합니다.
 
-PPP팀 다음 계획은 어떻게 잡혀 있나요
일단 당분간은 팀 전원이 참여하는 대회는 없을 것 같습니다. 개인적으로는 아마도 9월 달에 있을 CSAW 예선전에 참여하지 않을까 싶네요. 본선은 학부생만 참여할 수 있어서 예선전만.
 
또 이번 데프콘에서 초기에 부진했던 점을 보완하기 위해 팀 해커톤 등을 진행해서 다음 대회를 준비할 계획도 가지고 있습니다.
 
-국제대회에서 많은 우승경험이 있는데 노하우가 있다면
다른 팀들이 하는 것과 별다른 노하우는 없는 것 같아요. 위에 언급한대로 최대한 많은 대회 참여를 통해 꾸준히 실력을 늘리고 속도를 높이는 것이 노하우라면 노하우 아닐까요? 저희 팀 멤버들의 대다수가 지난 몇 년 동안 대회를 계속 해왔고, 운영도 해보면서 여러 가지 팁과 트릭들을 배우고 연습할 수 있었던 점이 많은 국제대회에서도 우승할 수 있었던 이유라고 생각합니다.
 
-PPP팀 멤버들은 졸업후 사회에서 어떤 일들을 하기 원하나요
활동하는 PPP 멤버들의 반 정도는 이제 이미 졸업을 해 사회에서 일을 하고 있습니다. 저를 비롯한 몇 명은 같이 보안회사를 창립해서 운영중이구요. 한 멤버는 현재 Google에서 일하고 있지만 보안일을 하지는 않습니다. 하지만 조만간 보안팀으로 옮길거라는 소식을 들었습니다.
 
많은 분들이 잘 아시는 지오핫(Geohot) 또한 구글 보안팀에서 프로그램 분석을 위한 프레임워크를 만들고 있습니다. 오픈 소스로 공개되어있고, 이번 대회에서도 유용하게 쓰였죠. 이외에도 애플(Apple)에서 일하는 멤버, 보안 연구실에서 일하는 멤버, 하드웨어 및 데이터베이스 최적화 회사에서 일하는 멤버 등 굳이 보안 일만 하는 것은 아니고 전반적으로 어려운 컴퓨터 사이언스(computer science) 문제들을 연구하고 풀어내는 일을 합니다. 물론 하나같이 해킹과 보안에 대한 열정은 누구보다도 뜨겁지요.
 
◇raon_ASRT 박찬암 팀장 인터뷰
이번에는 과정상 여러 가지로 아쉬웠던 대회같습니다. 첫 날에 거의 시작하자마자 가장 먼저 문제를 풀었는데 대회 측에서 의도치 않은 취약점이라면서 문제 푼 것 물리고 미안하다며 뱃지 같은 것 하나 선물로 주고…그것도 문제에 대한 취약점인데 인정을 안해줘서 좀 당황스러웠습니다.

 
그리고 다시 또 다른 취약점을 가장 먼저 찾아서 풀고 1위로 올라오면서 첫날은 일등으로 유지했습니다. 둘째날에는 다른 팀과 비슷한 수준으로 문제를 풀었는데 다른 몇몇 팀에서 키를 빼가는 프로그램을 crontab이라는 걸로 주기적으로 저희 시스템에 돌리고 있는 것을 눈치 못 채는 바람에 한참 점수를 빼앗기고 거기에 겹쳐서 문제 한 개에 대한 패치도 잘 안되어서 점수가 계속 깎였죠.
 
그리고 다른 팀에서 오는 패킷을 대회 측에서 다운받게 해주는데 둘째날에 몇 시간 동안이나 대회측 실수로 패킷다운로드 권한을 안줘서 상대방 공격파악을 계속 못했습니다. 대회 측에서는 대회하다보면 이런 일은 한번씩있다면서 미안하다고만. 그리고 중간에 서버 문제가 생겨서 약 30분간 저희 서버가 먹통이 되기도 하고 하면서 흐름이 끊어지고 순위가 막내려갔죠. 순위발표는 안되었지만 4~5등 정도 하지 않았을까 싶어요. 셋째날은 스코어보드가 아예 비공개라 잘모르겠지만 비슷하게 한 것 같았습니다.
 
그리고 이번엔 문제를 순수하게 푼 것보다 다른 팀 패킷 모니터링해서 그걸로 문제 풀고 서버 접속해서 crontab같은 것으로 프로그램 몰래 심어서 키 계속 빼고 그런 것을 잘했다면 상위권에 진입할 수 있었을 것 같은데 그런 부분에 신경을 잘 못썼던 것 같습니다. 인원이 7명이라 서로 역할도 좀 버겁기도 했구요.
 
문제는 작년과 동일환경에서 나왔고 비슷했습니다. 한 문제 badger이라는 것만 뱃지안에 있는 임베디드시스템 공격하는 것이었습니다.
 
그래도 데프콘 대회는 항상 재미있어요. 함께 한 멤버들 너무 고생 많았고 다음 대회에는 더 잘 준비해서 더 좋은 성적을 거뒀으면 해요.
(raon_ASRT에 대한 히스토리는 아래 링크를 통해 확인할 수 있다.)
-www.dailysecu.com/news_view.php?article_id=7563
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com