누가 공격하고 누가 공격받는지 한 눈에...대회장 아나운서가 알기 쉽게 설명
실제 사용하는 스카다 시스템 공격...찾게된 제로데이 취약점은 판매도 가능
실제 사용하는 스카다 시스템 공격...찾게된 제로데이 취약점은 판매도 가능
글로벌 해킹대회 PHD CTF가 모스크바에 위치한 Digital October에서 5월 21일~22일간 개최됐다.
이번 4회 대회 본선에는 전세계 600여 개가 넘는 해킹 팀들이 예선전에 참가해 최종 본선에 9개 팀이 올랐다. 또 지난해 국내 해킹·보안 컨퍼런스 POC 2013 여성해킹 대회 우승팀인 순천향대 시큐리티퍼스트(SecurityFirst)팀도 초청받아 총 10개팀이 최종 결정전을 치렀다.
이번 대회는 폴란드의 ‘Dragon Sector’팀이 총 33162점을 획득해 우승을 차지했다. 2위는 32850점을 획득한 스페인 ‘Int3pids’팀이 차지했다. 3위는 총 32038점을 획득한 러시아 ‘BalalaikaCr3w’팀이 차지했다. 아쉽게도 한국 SecurityFirst팀은 10위에 머물렀지만 순위를 떠나 학생들은 많은 것을 느꼈고 배우고 간다고 말했다.
데일리시큐는 모스크바 현지에서 대회 운영자를 만나 PHD CTF가 어떤 방식으로 운영되는지 인터뷰를 진행했다.
대회 총괄운영자인 포지티브 테크놀로지스 CTO 세르게이(사진)는 “10개 팀이 참가했으며 기존 CTF 방식도 있고 하나의 시스템을 놓고 서로 협력해서 공격하는 방식도 도입했다. 공격에 성공한 팀들은 점수를 나눠가질 수 있다”며 “특별한 점은 CTF에서 스카다 시스템 컨트롤러를 공격하는 문제도 출제됐다. 실제 상용화되고 있는 스카다 시스템에 대한 공격이었으며 또 공격과정에서 제로데이 취약점을 발견하면 이를 판매할 수도 있다”고 설명했다.
또 그는 “이번 대회에서 스카다 시스템을 공격해 이미 제로데이 취약점을 찾은 팀도 있다”며 “예선전에 전세계 600여 개팀이 참가하는 등 대회 인지도가 점차 올라가고 있다”며 “매년 독특한 시스템을 만들어 재미있는 대회가 될 수 있도록 하겠다. 또한 올해 한국에서 열리는 POC 2014 여성해킹대회 우승팀은 내년 PHD 2015 CTF에 초대하도록 하겠다. 물론 항공권 등은 포지티브 테코놀로지스에서 제공한다”고 밝혔다.
한편 CTF 대회 시스템 구성 총책임자인 포지티브 테크놀로지스 막심 초이(Maxim Choi. 사진)는 “참가팀들이 공동으로 참여해 하나의 시스템을 공격할 때 점수가 100점일 경우 두 개팀이 동시에 해결하면 각 50점이 배당되고 이후 팀들은 점점 문제를 풀 수 있는 시간이 줄어들게 된다. 결국 실력이 없는 팀들은 시간이 부족해 문제를 풀 수 없게 되는 시스템”이라고 설명했다.
또 그는 “이번 대회는 총 16문제다. 리버스엔지니어링, 포렌식, 구글을 이용한 웹해킹, 암호, 스카다 시스템 등 다양한 문제들이 출제됐다”며 “상금은 1등 5,000달러, 2등 3,000만원, 3등 2,000달러다. 한국 해커들도 많이 참여해 주길 바란다”고 말했다.
대회장 전체는 일반 참관객들이 누구나 대회장을 볼 수 있는 곳에 위치해 있었으며 다양한 음악과 함께 누가 누구를 공격하는지 게임 화면에 볼 수 있게 해 주었으며 대회장 아나운서가 대회가 어떻게 운영되고 있으며 현재 어느 팀이 공격을 받고 있는지, 또 어느 팀이 공격을 성공했는지 계속 설명을 해 주고 있었다.
<어느팀이 어떤 팀을 공격하고 있는지 게임형식으로 보여주고 있다>
전체적으로 우리나라와는 사뭇 다른 대회 분위기였다. 해커들의 축제라면 이래야 하지 않을까란 생각이 드는 것은 선입견일까. 우리나라 해킹대회는 해커들의 축제라고는 하지만 전혀 축제 분위기가 나지 않는 축제라는 말이 많다. 글로벌 대회로 성장하기 위해서는 보다 새로운 시도들이 필요할 것으로 보인다.
[러시아=모스크바] 데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지