세종시(시장 최민호)에서 주최한 국제 대학생 사이버보안 경진대회 ‘핵테온 세종 2023(HackTheon Sejong)’ 본선이 지난 5월 11일~12일 정부세종컨벤션센터에서 개최됐다.
데일리시큐는 핵테온 세종 2023 예선전에서 발생한 공정성 훼손과 관련해 <[단독] 핵테온 세종, CCE 문제 그대로 출제해 해킹대회 공정성 훼손...문제 출제 예산 ‘0’원>이라는 제하의 단독 기사를 통해 최초 문제 제기한 바 있다. (관련 기사: 클릭)
하지만 본선에서도 여전히 대회 운영과 관련해 논란은 계속됐다. 이번 본선에서 참가팀들이 제기한 문제점들은 무엇이었을까. 한번 살펴보자.
우선 본선 경기 방식은 2개 형식으로 진행됐다. 하나는 문제풀이(Jeopardy) 방식으로 7문제가 출제됐고 총 7000점, 그리고 또 하나는 실시간 서버공격(EHRS) 방식이다. 가상화된 실제 시스템에서 취약점을 찾아 점수를 획득하는 버그바운티 형식이다. AWS 클라우드에 가상화된 세종시 사이트(전자정부프레임워크)를 올려놓고 거기서 취약점을 찾아 리포트하면 취약점 위험도에 따라 배점을 하는 방식이다.
◇본선 문제 출제 비용도 ‘0’원...주최측과 주관대학에서 퀄리티있는 문제 출제는 역부족
문제풀이 방식에서는 데일리시큐 기사로 인해 CCE 문제를 베껴서 출제하는 일이 발생하지는 않았다. 하지만 여전히 문제 퀄리티는 도마에 올랐다.
세종시나 주관 대학에서 국제 대회 수준에 걸맞은 해킹대회 문제를 출제하기란 쉽지 않은 일이다. 참가자들은 해외팀이 10개나 참가했는데 예선전에 이어 본선에서도 게싱 문제들이 주를 이루어 해외 참가자들에게 부끄러운 마음이 들 정도였다고 전해왔다.
그리고 본선 종료 후 12일 오전 문제 풀이 시간도 엉망으로 진행됐다. 문제 풀이 시간에는 해외 참가팀에서 나와 몇 문제에 대해 풀이를 하다가 그만둔 것이다. 전체 문제에 대한 제대로된 풀이가 공유되지 않았다.
대회 참가자들 오픈채팅방에서는 문제 풀이를 제대로 해달라는 원성의 글들이 계속 올라왔다.
“dragonfight 문제 풀이를 올려주셨으면 했는데...채널을 지우셨네요.”
“안풀린 문제는 풀이 공개를 하시는게 맞는거 아닐까요?”
“리버싱 다른 문제는 어떻게 접근해서 풀면 되나요?”
“포렌식 문제 풀이 구합니다.”
“misc 풀이 좀 알려주실 분”
참가자는 “해킹 대회는 상금과 경쟁도 중요하지만 풀지 못한 문제들에 대해 문제 풀이를 보면서 공부하고 성장하라고 개최하는 것 아닌가. 그런데 왜 제대로 문제 풀이도 해 주지 않고 공개도 하지 않고, 문의하면 답변도 없고 이게 대회 취지와 맞는 운영인가”라고 불만을 토로했다.
더 큰 문제는 운영진의 참가한 해커들을 대하는 마인드였다.
한 참가자는 “본선을 마치고 주최측에서 제공한 합강오토캠핑장 카라반에서 자고 있는데 12일 오전에 대회운영자들이 카라반을 발로 차면서 참가자들을 깨우고 다녔다. 문제 풀이에 참가하라는 것이었다. 참가자들 모두 너무 황당했고 기분이 좋지 않았다. 국내뿐만 아니라 해외 참가자들도 있었는데 굳이 발로 차면서까지 참가자들을 깨우고, 또 문제 풀이에 가보니 제대로 준비도 안되어 있었다. 대우를 받기 위해 대회에 참가한 것은 아니지만 마치 행사에 동원된 것 같은 기분이 들었다. 대회 운영 미숙이 아니라 해커를 바라보는 시각에 문제가 있는 것 같다는 생각이 들 정도였다”고 말했다.
◇NDR도 작성하지 않고 버그바운티 진행...참가자 활용한 공짜 버그바운티?
‘실시간 서버 공격(EHRS / Ethical Hacking of Real-time Systems)’이란 이름으로 진행된 문제는 다름 아닌 ‘전자정부프레임워크’를 활용한 세종시 홈페이지에 대한 버그바운티였다.
심각한 문제는 아무리 가상환경에서 전자정부프레임워크에 대한 버그바운티라고는 하지만 본선 참가자를 대상으로 NDR(비밀유지계약서)도 작성하지 않았다는 점이다. 심지어 해외 해커들도 참가한 대회였는데도 말이다.
대회 기간 발견된 취약점은 실제 세종시 홈페이지 취약점이다. 실제로 공격에 악용될 수 있음에도 불구하고 NDR도 작성하지 않고 진행한 것은 운영진의 운영 미숙을 넘어 정보보안 마인드까지 의심하게 만드는 대목이다.
이에 참가자들은 “세종시가 인정하지 않은 취약점은 취약점이 아니라고 판단하고 SNS나 인터넷에 공개해도 되는 건가요?” 등의 글을 올리며 운영진에 문의했지만 역시 답변은 없었다.
◇받아들여진 취약점 리포트 채점 결과 공개도 하지 않아...공정성 의심
또한 EHRS 채점 과정과 결과에 대한 신뢰도 확보하지 못했다. 대회 공정성을 의심할 수 있는 빌미를 계속해서 운영진이 제공한 것은 큰 문제였다.
한 참가자는 “세종시 홈페이지와 동일하게 구성된 가상 환경에서 보안취약점을 찾고, 해당 내용을 리포트했다. 그런데 채점은 철저히 주관적인 관점에서 채점이 됐다. 특히 평가위원에 후원대학 교수 다수가 참여하는 등 이해할 수 없는 형식으로 진행됐다. 그리고 리포트가 제대로 제출됐는지에 대한 피드백도 받지 못했다. 일부 참가자가 발송한 리포트는 시상식이 진행되고 있는 시점까지도 운영진이 열어보지 않은 것으로 표시됐다”고 리포트 평가의 공정성을 의심했다.
이어 “시상식 이후 리포트된 취약점 내용들을 참가자들 간에 공유해 본 결과 유사한 내용이었음에도 불구하고 어떤 팀에는 점수가 배점되고 어떤 팀은 0점 처리되는 등 취약점 평가 기준이 무엇인지 도대체 알 수가 없었다. 특히 운영진은 대회 당시 참가자들이 오픈채팅방에서 많은 질문을 했음에도 불구하고 참가자들에게 제대로 된 설명도 해주지 않았다. 이런 부분들이 국제 대회에서 가능한 일인지 안타까운 마음이다”라고 전했다.
참가자들이 대회 오픈채팅방에 올린 글들이다.
“EHRS 평가가 제대로 안된것 같습니다. 안내 메일이라도 받고 싶습니다.”
“EHRS 채점한 결과 보내 주실 수 있으신가요?”
“리포트 도착한 시간, 채점 여부 등 정리된 표를 공개하실 생각은 없으신가요?”
“모든 채점 결과를 팀별로 보내주시거나 홈페이지에 채점 결과를 공개해 주세요.”
“경쟁 때문이 아니라 어느 부분이 틀렸고 부족한지 알고 싶어서 그래요. 공개부탁드립니다.”
“대회 운영측은 왜 자꾸 답변을 하지 않는 건가요?”
이외에도 관련해서 많은 문의글들이 올라왔지만 운영진은 제대로 대답도 해주지 않았고 이의 제기할 내용이 있으면 직접 찾아와서 하라는 식으로 대응한 것이었다. 물론 이의 제기 시간은 시상식이 끝난 다음이었다. 즉 이의 제기를 해도 소용이 없다는 식의 답변이라고 볼 수 있다.
그리고 EHRS에서 테스트 계정을 제공하지 않고 모의해킹을 진행해 제대로 된 취약점 점검이 이루어지지 않았다는 것도 지적했다.
◇사이버보안 전문가를 양성할 목적인지, 세종시 성과만을 위한 행사인지...깊은 성찰 후 내년 대회 준비해야
예선전 이후, 데일리시큐 기사로 인해 다른 대회 문제를 베껴 사용하는 이슈는 없었지만 여전히 문제 출제 예산이 없었던 관계로 문제 퀄리티에 문제가 컸다.
세종시는 내년에도 이런 구설수에 오르지 않으려면 충분한 문제 출제 예산을 확보해야 한다. 해커들은 상금도 중요하지만 좋은 문제를 풀고 몰랐던 문제를 접하면서 다른 해커들은 어떻게 이 문제를 해결하는지 함께 공부하면서 성장한다는 것을 알아야 한다.
그리고 버그바운티를 하려면 NDR를 작성하고 인정된 취약점이든 그렇지 않은 취약점이든 공개할 수 없도록 해야 한다. 공공기관 사이트 취약점이 인터넷 상에 공개돼 실제 공격에 악용될 수도 있기 때문이다.
그리고 참가자들이 충분히 공정성에 대해 인정할 수 있도록 취약점 제보자에 대해 정보를 공개하고 채점 기준에 대해서도 명확하게 설명할 의무가 있다.
한편 버그바운티는 공짜가 아니다. 웹사이트에서 발견된 버그를 리포트하고 보상을 받는 프로그램이 버그바운티다. 참가자들은 이런 식으로 취약점을 찾도록 해서 버그바운티를 이용하는 것에도 불만을 표하고 있다.
취약점 리포트 평가위원에 대회 주관대학 교수를 포함시킨 것도 문제다. 해당 대학 학생들이 본선에 올라온 상황에 굳이 같은 대학 교수를 평가위원에 배정하는 것은 누가봐도 공정성을 의심할 수 있는 것이다. 운영위원회는 공정성 논란이 발생할 수 있는 요인들을 제거했어야 함에도 불구하고 준비 부족으로 인해 또 한번 논란을 야기한 것은 안타까울 따름이다.
가장 큰 문제는 해커들을 대하는 운영진의 태도다.
참가자들이 글을 올리는 디스코드나 오픈채팅방에서 다양한 질문들이 올라올 수 있다. 그럴 때마다 운영진은 오해의 소지가 발생하지 않도록 즉각적인 답변과 설명글을 올려야 한다. 제대로 된 답변을 하지 않기 때문에 대회 공정성까지 의심받게 되는 것이다.
또 참가자들이 쉬고 있는 숙소 문을 발로 차면서 깨우고 시간이 되면 식사 부스를 치워버리는 등 참가자들을 대하는 세종시 운영진의 태도는 납득할 수 없는 수준이다.
세종시가 핵테온 세종 2024를 개최하려고 한다면 해커들을 대하는 마인드부터 바꿔야 한다. 세종시 성과를 위해 해커들이 동원되고 있다는 안타까운 생각이 들지 않도록 내년 대회는 더 많은 준비와 예산확보 그리고 사이버보안 인재 양성을 위한 진심을 보여줘야 한다. 그냥 시키는 대로 와서 문제 풀고 상금 주면 받고 관계자들이 사진 찍으라고 하면 사진 찍고 질문같은 건 하지 말고 행사에 누가 되는 행동들은 삼가하라는 식으로 대회가 진행된다면 ‘핵테온 세종’ 대회는 글로벌 해킹 대회로 성장할 수 없다.
혹자는 대회에 참가한 아주 일부 학생들이 이런 불만을 제기하고 있다며 애써 무시하고 있다는 소식도 들린다. 우리는 열심히 잘 준비했는데 꼭 저런 불만 분자들이 있다며 별것 아니라는 식으로 여기고 있다는 소식도 들린다. 국민 세금으로 개최되는 모든 행사는 작은 불만에도 귀 기울이고 개선하려는 노력이 필요하다.
핵테온 세종은 세종특별자치시가 주최하고 고려대 세종캠퍼스, 홍익대 세종캠퍼스가 주관, 국가정보원, 한국전자통신연구원, 국가보안기술연구소, 한국인터넷진흥원, 한국과학기술정보연구원, 과학기술정책연구원, 세종대학교, 성신여자대학교, 숭실대학교, 한국정보보호학회, 한국정보보호산업협회가 후원했다.
★정보보안 대표 미디어 데일리시큐!