해킹도 이제 기계가?...컴퓨터 간 해킹대회 열린다

美DARPA, 내년 데프콘서 '머신 CTF' 개최

컴퓨팅입력 :2015/08/10 08:34

손경호 기자

[라스베이거스(미국)=손경호 기자] 미국 방위고등연구계획국(DARPA)이 내년에 개최될 글로벌해킹컨퍼런스 '데프콘24(defcon24)'에서 처음으로 해커들이 아닌 컴퓨터들 간 '캡처더플래그(CTF)' 대회를 개최한다.

컴퓨터들이 서로 상대팀에 대한 해킹을 시도하고, 이를 방어하는 대회가 열리는 것이다. 총상금은 400만달러. 우리나라 돈으로 약47억원에 달한다.

8일(현지시간) 미국 라스베이거스에서 개최된 데프콘23에서 '머신 VS 머신:DARPA의 완전히 자동화된 CTF 속으로(Machine VS. Machine:Inside DARPA's Fully Automated CTF)'라는 주제발표를 맡은 DARPA 소속 마이클 워커 프로그램 매니저는 "내년 8월4일부터 열리는 데프콘24에서 사이버그랜드챌린지(CGC)를 최초 개최, 7개 본선진출팀이 최종우승을 놓고 경쟁을 벌이게 된다"고 밝혔다. 1위 팀에게는 200만달러(약23억원) 상금이 주어진다.

DARPA에서 머신 CTF인 'CGC'를 총괄하고 있는 마이클 워커 프로그램 디렉터.
CGC 본선이 내년 8월4일부터 열리는 데프콘24에 맞춰 개최된다.

마이클 워커 프로그램 매니저에 따르면 CGC는 자동화된 머신이 사람의 도움을 받지 않고 직접 버그를 발견하고, 패치를 하는 기술을 보유할 수 있는가를 실험하는 무대가 될 것으로 예상된다.

해커나 보안전문가가 새로운 보안취약점이나 제로데이공격을 발견한 뒤 이를 패치하기까지 걸리는 시간이 수개월 혹은 그 이상 걸리기도 한다. 경쟁에 참여하는 머신들은 이러한 어려움을 해결하는 자동화된 실시간 사이버 방어 시스템을 구축하는 것을 목표로 한다.

CGC에서 머신들 간 공격을 주고 받는 모습은 게임디자이너를 통해 시각화돼 참관객들에게 공개된다.

DARPA는 머신들 간 경쟁을 직접 눈으로 볼 수 있도록 게임 디자이너들이 CTF를 시각화할 수 있도록 했다. 머신들 간에 공격과 방어가 이뤄지게 될 현장을 보여주겠다는 것이다.

이를 위해 DARPA는 지난해 104개 등록한 팀을 대상으로 예선을 치러 28개팀을 선정, 이들 중 다시 7개 최종 팀을 추려냈다. 이들 팀은 각각 75만달러(약8억7천만원)의 대회 준비금을 지원받았다.

CTF는 대회 운영자가 낸 문제를 풀어 취약점을 밝혀내는 과정을 필요로 한다. 또한 이를 활용해 상대방의 가상서버를 공격하고, 상대방의 공격을 방어하면서 플래그를 빼앗아 점수를 유지해야한다.

관련기사

참가팀이 만든 머신만 CGC에 참여하게 되며 이들 머신은 24시간 내에 131개 소프트웨어에서 취약점을 찾아내 공격을 시도해야한다. 여기에 사용되는 취약점 개수는 590개에 달한다.

첫 CGC 본선에는 7개 팀이 선발됐다.

본선에 참가한 7개 팀은 코드짓수(CodeJitsu, 캘리포니아대), 포올시큐어(ForAllSecure, 카네기멜론대 출신이 세운 스타트업), 테크x(TECHx, 감마테크 및 버지니아공대), CSDS(아이다호대), 딥레드(DeepRed, 레이시언 소속 엔지니어), 디석트(disekt, 해킹팀), 셀피시(shellphish, 해킹팀)이다.