국가정보원이 개최한 ‘2023 사이버공격방어대회’(CCE)에서 카이스트 ‘구스’팀 종합우승을 차지했다.
‘국민안전을 위한 사이버안보’를 주제로 열린 이번 대회는 480개 팀이 참가하며 역대 최대 규모로 진행됐다.
구스 팀은 지난해 열린 사이버보안 모의 해킹대회'와콘(WACon) 2022'에서도 우승을 거두는 등 높은 수준의 사이버 안보 관련 기술을 선보이고 있다. 또한 국내에 국한 된 것이 아니라 해외 주요 대회도 적극적으로 참여하고 있다.
지디넷코리아는 최근 급증하는 사이버공격과 관련해 국내 수준은 어느 정도이며, 앞으로 보안 강화를 위한 주목해야할 요소는 무엇인지 등 사이버보안 전문가의 의견을 듣기 위해 구스팀과 이야기를 나눴다.
Q. 사이버공격방어대회 우승 축하 드립니다. 더구스팀에 대해 간단히 소개 부탁드립니다.
김동옥: 저희는 모두 곤(GON)이라는 카이스트 해킹 동아리 출신입니다. 이번 대회가 팀당 4명으로 제한되면서 정식 동아리 이름은 열심히 학부에서 활동하고 있는 친구한테 양보하기로 하고 새로운 이름으로 팀을 짜게 됐습니다. 동아리에서 파생된 팀이라고 할 수 있죠.
김지환: 일반적으로 해킹대회는 팀원에 제한이 없어서 한 팀에 수백명이 함께하기도 하는데요. 4명으로 제한되면 팀원 밸런스를 맞추는 것이 쉽지 않았는데 오히려 저희는 지난해 만들어진 후 처음 모의 해킹대화 와콘 2022에 참가해 우승까지 하는 등 좋은 성과를 냈고 올해까지 이어오고 있는 것 같습니다.
이승현: 그리고 김지환을 제외하고 저희 3명은 카이스트 해킹 랩이라고 해킹과 보안을 전문으로 연구하는 대학원 연구실 소속 대학원생이기도 합니다.
해킹랩은 저희 동아리 선배님이시기도 한 윤인수교수님께서 이끌고 있는 연구실인데요. 교수님께서 보안관련 연구나 학술적인 부분 외에도 실제 해킹이나 관련 문화에도 열정과 관심을 보이고 계세요. 보안을 구축할 때 공격자의 입장을 이해하는 것도 중요한 만큼 많은 배움을 얻고 있습니다.
Q. 그러면 개인소개와 함께 주로 담당하는 기술이나 연구 내용을 소개 부탁드립니다.
김지환: 카이스트 전산학부 대학원에 다니고 있는 김지환이라고 하고요. 저는 주로 웹을 담당하고 있습니다.
이승현: 전산학부 학사로 졸업을 앞두고 이승현이라고 하고요. 주로 시스템해킹(포너블)을 연구하고 있고 요즘에 웹도 함께 보고 있는 중입니다.
김동옥: 전산학부 대학원에 재학 중인 김동옥입니다. 바이너리 공격 시스템해킹이나 아니면 바이너리 분석 프로그래밍 역공학 같은 걸 연구하고 있습니다. 오늘 참석하지 못한 분은 민승기라는 친구도 랩 소속으로 암호학과 바이어리 역공학을 같이 보고 있습니다.
Q, 지난해 와콘2022를 우승하시고 올해는 사이버공격방어대회를 우승했습니다. 이번 대회에 참가하게 된 계기가 있을까요?
김동옥: 어떤 특별한 의미를 둔 것은 아니고 지난해 참가해서 일반부 우수상을 탔었는데요. 올해는 우승을 한번 해보자는 목표로 다시 참가하게 된 것 같습니다. 지난해 팀이 만들어진 후 단기간에 와콘에서 우승까지 했던 만큼 자신은 있었던 것 같네요.
Q, 이번 사이버공격방어대회는 어떤 방식으로 진행됐나요?
이승현: 두 분야로 나눠서 모든 팀이 동시에 주어진 문제를 푸는 방식이 14개, 나머지 4개는 어택앤디펜스로 진행됐습니다. 문제 풀이는 일종의 상대평가 방식인데요. 동시에 맞추는 팀이 많을수록 해당 문항의 점수는 낮아지는 방식이죠.
어택앤디펜스는 각 팀에 주어진 서버에서 취약점을 찾고 이를 해결하는 문제였습니다. 버그바운티와 복구 능력이 결합된 테스트라고 할 수 있죠. 2500점에서 시작해 5분마다 고쳐지지 않은 취약점에 따라 감점되는 식으로 정확도와 함께 속도도 중요한 평가죠.
Q. 최근 한국의 사이버보안 대회나 기술력은 어떤 수준이라고 보시나요?
김지환: 겉으로 보기와 달리 한국은 상당히 보안에 관심이 많은 국가에요. 글로벌 해킹 대회에서도 상위권 수상에 한국팀이 빠지는 경우가 거의 없을 정도로 높은 기술력을 보유하고 있다고 생각해요.
국내 사이버보안 대회도 다른 나라와 비교해도 규모가 큰 편이에요. 상금 규모로 비교하면 우리나라보다 큰 규모는 사우디아라비아 하나밖에 없었거든요. 해외 대회 1등 상금이 만 달러가 넘어가는 경우가 그렇게 많지가 않아요. 지금 한국에서 주관하는 큰 대회들은 1등 상금이 거의 3천만 원이거든요.
돈만 보고 해킹하냐는 건 아니긴 하지만 상금 규모가 크면 그만큼 사람들이 열심히 하고 많이 참여할 수 있다는 이야기이기도 하니까요. 그리고 학생부나 청소년부 대회도 많이 운영하면서 인재를 점차 양성하고 있다는 느낌도 들고 있어요.
김동옥: 문제 수준으로 비교해도 국내 대회가 해외에 손색이 없다고 생각돼요. 오히려 최근에는 국내 대회의 문제가 더 인상깊거나 수준 높은 경우가 많은 것 같아요. 국내에서 많은 분들이 보안에 대해 고민과 연구를 한 결과이지 않나 싶어요.
Q. 긍정적인 부분 속에서도 조금 더 보강했으면 좋을 것 같은 면이 있을 것 같은데요.
김동옥: 이번 사이버공격방어대회 대회는 상당히 잘해줘서 예외였는데요. 대회를 진행할 때 참가자들이 좀더 집중할 수 있는 환경을 마련해주시면 좋을 것 같습니다. 이번 대회는 공간 분리를 확실하게 하고 출입자 관리를 철저하게 해서 대회에 집중할 수 있었거든요. 그런데 다른 경우는 대회장 내에 외부 인원이 들어와서 참가자에게 말을 거는 등 혼선이 있어서 진행에 어려운 점이 종종 발생하곤 했었습니다.
이승현: 대회 규모가 커지는 만큼 해외 팀의 참가도 좀더 확대하면 좋겠어요. 해외 팀이 한국 대외에 참여하며 우리나라를 알리기도 하고 서로 소통하며 기술을 교류할 수 있는 네트워킹 환경이 마련되는 것도 필요할 것 같아요.
Q, 국내에서 보안에 투자를 강화하고 있다고 하지만 여전히 개인정보 유출 등은 많이 일어나는 것 같습니다.
김지환: 이 부분은 말씀드리기 굉장히 조심스럽긴 한데요. 한국 시장만의 문제라기 보다는 IT산업이 폭발적으로 발전하며 필연적으로 발생한 미숙함이지 않나 그런 생각이 조금 들어요. 10~20년 사이 급격하게 성장하는 과정에서 시장의 수요를 감당하기 위해 속도에만 치중해 다른 부분을 신경쓰지 못한 것 같거든요.
이제 전 세계적으로 이런 문제를 알아가며 개선하는 단계라고 보고 있어요. 당장 카이스트 전산학부 커리큘럼만 봐도 프로그래밍 언어를 가르치는 수업은 거의 없다고 봐도 되거든요. 대신 암호학이나 웹보안, 시스템보안 등 보안 관련 수업이 많이 생겼어요.제가 수업 들을 때만 해도 학부생들이 들을 수 있는 보안 관련된 수업은 전무하다시피 했다는 걸 생각하면 큰 변화죠.
김동옥: 제가 학교에 들어올 때 정보보안 등은 크게 주목받지 못하는 이슈였는데요. 최근 신입생들을 보면 주니어부 대회에서 수상을 하는 등 진짜 실력이 있는 친구들 들어오는 게 보이거든요. 이런 친구들이 사회로 나가서 본인이 목소리를 낼 수 있는 위치가 되면 한국도 그만큼 발전할 수 있지 않을까 싶어요.
Q, 그래도 지금 보안 강화를 위해 이런 부분은 도입하거나 개선됐으면 좋겠다고 하는 부분은 어떤 것이 있을까요?
김지환: 보안 취약점을 발견해 제보한 전문가에게 포상금을 지급하는 버그바운티는 좀더 고려해 보길 바랍니다. 회사 입장에서도 저렴하고 안전하게 보안 취약점을 막을 수 있는 제도라고 할 수 있거든요. 다만 한국의 경우 특정 프레임워크에 집중된 경향이 있는 만큼 가상환경에서 비공개로 진행하면 보다 안전하지 않을까 싶습니다.
김동옥: 버그바운티 관련해서 국내에서 해결됐으면 하는 부분이 하나 있는데요. 한국에서 운영되는 많은 버그 바운티가 찾고 보고한 취약점은 대외적으로 공개하지 못하도록 계약하는 경우가 있습니다. 구글의 경우 보고한 다음 90일이 지나면 무조건 취약점을 공개하는 걸 원칙으로 하고 있는 것과 무척 다르죠.
버그바운티나 해킹대회에 참여하는 사람들은 돈도 중요하지만 명예를 우선시하는 경향이 있거든요. 자신이 이런 취약점을 찾았고 이점이 수정이 됐다는 것을 자랑스럽게 여기는데 소액의 포상금을 주고 개선됐는지도 모르고 사용자에게 알리지도 못한다는 건 해커들의 목표와 어긋나는 부분이 있다고 생각해요.
Q, 실제로 구스팀에서도 그런 사례가 있을까요?
김동옥: 상반기에 이승현 친구가 연구실에서 노드js의 vm2 취약점을 발견해 보고한 사례가 있었어요. 샌드박스 라이브러리의 고질적인 문제점인 샌드박스 탈출 관련 취약점이었는데요. 공통 취약점 등급 시스템(CVSS) 기준 9.8로 초고위험도로 지정됐고, 담당 팀에서 패치가 불가능하다고 판단해 라이브러리를 아예 종료시켰어요.
김지환: 워낙 광범위하게 사용하던 라이브러리라 전환하는데 시간이 걸리고 있긴 한데요. 그래도 더 큰 보안 사고로 이어지기 전에 미리 찾고 방지할 수 있었다는 것이 중요하지 않나 생각합니다.
Q. 상당히 다양한 활동을 하고 계신데 올해 목표가 있을까요?
김지환: 단기적으로는 얼마전 팀원간에 이야기한 것이 있는데요. 앞으로 와콘과 화이트햇이라는 큰 국내 대회가 2개 남았는데 모두 우승해서 트리플 크라운을 달성하고 마무리를 아름답게 하면 좋겠다고 생각합니다.
김동옥: 대회도 좋지만 실제 기업이나 산업의 버그나 취약점 관련 사례를 좀더 많이 찾아보려고 합니다.
대회랑 현실은 어쩔 수 없이 차이가 있을 수밖에 없거든요. 대회 문제는 코드 규모는 작지만 복잡하고 어딘가 분명 오류나 취약점이 숨겨져 있잖아요. 반면 실제 서비스는 규모가 굉장히 크고 접근하기도 어렵고 취약점의 존재유무도 알 수 없으니 접근하는 심리자체가 달라질 수밖에 없다고 생각해요.
그래서 최근에는 구글에서 진행하는 구글 온라인 해킹 대회 캡쳐더플래그(CTF)에 참가해서 리눅스 커널을 버그바운팅 하기도 했었죠.
Q. 마지막으로 하시고 싶은 말씀이 있을까요?
관련기사
- 생성AI, 사이버공격 증가 핵심요인 급부상2023.07.25
- 국정원 "내년 선거 앞둔 하반기, 北 사이버공격 집중"2023.07.19
- 국가정보원, ‘2023 사이버공격방어대회’ 개최2023.05.12
- 2023 사이버공격방어대회, 카이스트 ‘구스’팀 종합우승2023.07.13
김동옥: 개인적으로 무척 마음에 들었던 비유가 있는데요. 요리사가 음식점에서 음식을 팔기 위해선 의무적으로 당연히 지켜야 할 위생 수칙이 있는 것처럼 IT기업도 보안에 대한 기본적인 수칙을 지켜야 있어야 전체적인 수준이 높아진다는 말이에요.
물론 기업이 모든 보안 지식을 다 갖추고 급격하게 발전하는 사이버공격에 대응할 수 있는 보안 체계를 구축할 수 있는 것은 아니잖아요. 대신 보안기업이나 버그바운티 업체들로부터 도움을 받아 처음부터 안전한 시스템을 구축하면 이후 악화될 수 있었던 문제를 사전에 방지하고 업계도 발전할 수 있는 선순환을 이룰 수 있지 않을까 싶습니다.