해킹 대회는 문제 풀이 방식으로 실력을 겨루는 스타일이 많다. 그러나 최근에는 참가자들이 주어진 시나리오를 갖고 직접 공격자가 되어보는 성격의 해킹 대회도 인기를 끌고 있다.
공격 본능을 경험한 보안 담당자들은 예전에 비해 보다 현실적인 방어 전략을 수립할 수 있다는 이유에서다. 전문가 세미나 듣는 것보다 직접 한번 해보는 것이 유용하다는 얘기도 들린다.
시만텍코리아가 지난달 30일 개최한 제2회 APT 해킹 대회도 시나리오를 갖고 해킹을 직접 체험해 보는 성격의 행사였다. 시만텍코리아는 지난해 11월 1회 APT 해킹 대회를 열었고 5개월만에 같은 방식으로 두번째 대회를 개최했다. 첫 대회참가자들 반응이 좋아 비교적 이른 시점에 다시 개최하게 됐다는게 회사측 설명이다.1회 대회 후 진행된 참여자 대상 설문 결과 약 90%의 응답자가 향후 기업 보안 전략 수립에 도움이 될 것으로 기대된다고 대답했고, 75%의 응답자가 향후 대회에도 참여하고 싶다는 의사를 밝혀 만족도가 매우 큰 것으로 조사됐다.
시만텍코리아 APT 해킹 대회는 기업에서 보안 실무 담당자들이 특정 시나리오를 갖고 공격자가 되어, 표적 공격을 직접 수행해보는 방식으로 이뤄진다.
이번 대회엔 다음과 같은 시나리오가 주어졌다.
EDC는 인공위성 설계, 제작, 발사 분야의 세계적인 전문 업체다. 경쟁사인 PKI가 EDC 네트워크와 시스템을 해킹해, 설계도, 문서, 기타 정보를 빼냈다는 정황이 포착됐다. EDC 간부는 PKI를 공격 배후로 의심하고 보안 컨설팅 회사에 속한 당신에게 증거 확보를 의뢰했다. 당신은 해커가 되어 PKI 네트워크와 시스템에 침투해 이들이 실제로 EDC를 공격한 배후가 맞는지 무엇을 훔쳐갔는지 4시간안에 알아내야 한다.
대회는 3단계로 진행됐고 종료 후 20분만에 수상자들이 정해졌다. 참가자 대부분은 공격자 위치에 서보니 기업 보안에 어떻게 위험해질 수 있는지 체감할 수 있게 됐다고 강조한다. 페이스북 비밀번호를 알아내는 공격을 하다보면, 비밀번호 관리에 더욱 신중해질 수 밖에 없다는 얘기다.
대회에 참가한 모 기업 보안팀 담당자는 문제를 위한 문제보다는 회사 내부에서 적용하는 모의해킹 시나리오와 유사해, 실무에 많은 도움이 될 것 같다고 평가했다.
시만텍코리아 윤광택 이사는 이번 대회는 참가자들간 실력 대결이 아니라 공격 체험을 통해 보안 실무 역량을 향상시키는, 일종의 교육 행사라며 단순히 해시값을 묻는 해킹 대회와는 성격이 다르다고 강조했다.
관련기사
- 시만텍, '제2회 APT 공격 시뮬레이션 대회' 개최2014.05.01
- 스플렁크, 시만텍 보안 조사 플랫폼 선정2014.05.01
- 파이어아이, 27일 APT 보안 세미나 개최2014.05.01
- 한국맥아피 "APT 대응-보안 관제 집중 공략"2014.05.01
시만텍코리아는 앞으로 이같은 방식의 해킹 대회를 정기적으로 개최할 계획이다. 회사측은 많은 기업들로부터 대회 방식에 대한 문의가 들어오고 있다면서 앞으로 시나리오를 갖고 진행하는 해킹 대회가 확산될 것임을 예고했다.
이번 대회에는 29개팀에서 70명이 참가했다. 대회 종료 후 1등 150만원, 2등과 3등에게는 각각 100만원과 50만원이 상금으로 주어졌다. 시만텍은 그동안 미국, 유럽 등지에서 APT 해킹 대회를 개최해왔고 한국에선 지난해 처음으로 열었다.
