2024-11-22 22:35 (금)
대만 HITCON CTF 2016, 한국 Cykorkinesis팀 우승…대회 2연패
상태바
대만 HITCON CTF 2016, 한국 Cykorkinesis팀 우승…대회 2연패
  • 길민권 기자
  • 승인 2016.12.04 23:47
이 기사를 공유합니다

이종호, 이정훈, 고려대 CyKor팀 2명으로 구성…상금 1만달러와 DEFCON CTF 본선 직행

지난 12월 2일부터 3일까지 대만에서 개최된 제12회 HITCON CTF 2016 국제해킹대회 본선에서 한국의 ‘Cykorkinesis’팀이 최종 우승을 차지했다. 지난 2015년 대회 우승에 이어 2년 연속 우승을 차지한 것이다.

이번 본선 대회는 세계 각국 13개 해커팀들이 참가했으며, 1위 Cykorkinesis팀은 66062.96점, 2위 LC BC팀은 44604.85점, 3위 PPP팀은 41510.06점을 획득했다. 한편 한국 KAIST Gon팀은 13818.45점을 획득해 9위를 차지했다.

Cykorkinesis(사이코키네시스)팀 멤버는 고려대학교 사이버 국방학과 CyKor팀 2명과 이종호(라온시큐어), 이정훈(lokihardt) 등 4명으로 구성됐으며 사실상 세계 최강 수준의 해커들이 모인 팀이라고 할 수 있다. 이들은 모두 DEFKOR팀 멤버들이다.

이 팀은 이번 우승을 통해 상금 1만달러(1100만원)와 2017년 미국 라스베거스에서 열리는 세계 최고 권위의 해킹대회 '데프콘(DEFCON) 25 CTF' 본선에 직행할 수 있는 자격을 부여 받았다.

한편 이번 HITCON CTF 2016 행사에는 대만 첫 여성 총통인 차이잉원이 키노트 발표를 하고 총리가 대회 시상식에 참석하는 등 대만에서 화이트해커에 대한 정부차원의 관심이 상당한 수준임을 보여주기도 했다.

또한 대회 도중 약 1시간 간격으로 미리 참관 신청한 일반인들을 대상으로 대회 운영진들이 여행가이드처럼 대회장을 돌며 팀별 소개와 대회 운영에 대해 자세히 설명도 해 주는 등 일반인들에게 친숙하지 않은 해킹대회를 양지로 끌어 올리기 위한 대만 정부의 노력도 엿볼 수 있었다.

HITCON CTF는 룰이나 대회 방식에서 정통 CTF 대회인 DEFCON CTF와 같은 공격과 방어 방식으로 진행됐다.

이번 Cykorkinesis팀 이종호 연구원은 대회 종료 후 데일리시큐와 인터뷰를 통해 “DEFCON은 시스템문제로만 구성되어있고 HITCON의 경우 WEB(웹) 문제도 3문제 출제 되었다. 실제 오픈소스 CRM, 관리 솔루션들이 문제로 출제되어, 해당 솔루션의 공개된 취약점 혹은 공개되지 않은 취약점을 이용해 풀이하고, 빠르게 패치를 해야 하는 리얼월드 웹 버그헌팅류의 문제가 출제됐다”고 소개하고 “운영진들도 몇 개의 취약점이 존재하는지 알지 못하기 때문에 팀별로 완전히 다른 풀이방식이 사용되어 흥미로운 대회였다”고 소감을 밝혔다.

또 “한국팀은 지난해 우승을 차지한 디펜딩 챔피언이기 때문에 약간의 부담감이 있었지만 첫날 대회를 치르고 2등과는 점수차이를 꽤 벌리고 있었기 때문에 두 번째 날에는 부담 없이 대회에 임할 수 있었고 우승까지 할 수 있었다”고 덧붙였다.

이종호 연구원은 또 이번 대회 문제 출제에 대해 “DEFCON CTF와 같은 공격방어 CTF 룰에서 웹 문제를 CTF문제로 출제하기엔 웹 특성상 상당히 어려움이 있다. 하지만 HITCON같은 경우 웹 문제 구성을 상당히 잘했다. 실제 존재하는 오픈소스 웹 관리 시스템(phpMyAdmin, SugarCRM 등)을 문제로 출제해 많은 팀들이 해당 시스템에서 제로데이(0day)를 이용해 공격을 했다”고 설명했다.

Cykorkinesis팀 멤버 구성은 대만의 HITCON이나 일본 SECCON 본선대회에서 4명으로 인원제한을 하기 때문에 DEFKOR팀에서 위 4명이 참가하게 됐으며 지난 SECCON 2015, SECCON 2016, HITCON 2015, HITCON 2016 등 이렇게 4개 대회를 이번 Cykorkinesis 멤버가 출전했다.

한편 Cykorkinesis팀은 이번 우승으로 내년 2017 DEFCON CTF 본선에 자동 출전권을 확보했지만 시드 배정과는 상관없이 예선전에 참가할 계획이라고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★