[현장] 국정원 주최 '사이버공격방어대회' 가보니…'The Mallard Duck' 종합 우승

11일 서울 강남구 삼성동 코엑스에서 '2025 사이버공격방어대회(CCE 2025)'가 열렸다. 올해로 9회째를 맞는 사이버공격방어대회는 국가정보원이 주최했고, 국가보안기술연구소가 주관했다. 지난 8~11일 개최된 글로벌 사이버 안보 행사 '사이버 서밋 코리아(Cyber Summit Korea 2025)의 부대 행사로 개최됐다.

대회는 '캡처더플래그(Capture the Flag·CTF)' 형식으로 진행됐다. 다양한 보안 문제를 해결하고 숨겨진 특정 형식의 문자열(플래그)을 제출하면 정답으로 인정되는 방식이다. 가장 많은 점수를 획득한 팀이 우승한다.

대회 관계자의 설명에 따르면, 사이버공격방어대회는 국제 해킹 방어대회인 '코드게이트' 수준의 대회다.

이번 사이버공격방어대회는 지난달 16일 온라인 예선전을 거쳐 ▲일반(민간·대학생) 15개팀 ▲공공(국가·공공기관 종사자) 20개 팀 ▲청소년(만 9~18세) 15개 팀 등 각 부문별 상위권에 진출한 팀이 본선에 진출했다. 다만 올해부터는 공공 분야의 경우 협력업체 실무자와 함께 팀을 구성할 수 없도록 조정됐다.

대회 분야는 사이버위기대응 역량 평가가 중점이다. 취약점 점검·예방과 탐지·분석·대응 등 사고조사 역량을 평가한다.

대회 총 상금은 1억원이다. 올해 대회에서 종합우승한 팀은 국가정보원장상을 포함해 메달 및 상금 4000만원을 받는다. 각 분야별 우승 팀도 국가정보원장상을 받으며, 메달 및 상금으로 1200만원을 받는다. 단 청소년 분야 우승 팀은 상금이 500만원이다.

2025 사이버공격방어대회 본선 진출 팀 명단. (사진=CCE 2025)

이 외에도 공공과 일반 분야 준우승과 장려상을 획득한 팀은 각각 국가보안기술연구소장상이 수여되며, 상금은 각각 600만·300만원을 받는다. 청소년 분야의 경우 준우승 시 국가보안기술연구소장상과 상금 200만원, 장려상은 상금 100만원이 수여된다. 이와 별개로 본선진출자 전원은 5만원 상당의 상품권이 수여됐다. 공공분야의 경우 입상 시 국가정보원 사이버보안 실태평가에서 가산점도 받을 수 있다.

고요하지만 치열한 대회 현장…'해킹 체험'도 볼거리

대회 현장은 고요했다. 오전 9시부터 오후 6시까지 긴 시간 동안 각 팀별로 작게 상의하는 소리 외에는 마우스 클릭 소리와 노트북 키보드를 두들기는 소리밖에 들리지 않았다. 대회장 한 켠에는 각종 과일과 음료가 준비돼 있었지만, 대회에 몰두했기 때문인지 거의 손대지 않은 모습이었다.

2025 사이버공격 방어대회 청소년부문 대회 현장에서 참가자들이 문제를 풀고 있다.

대회장 중앙 공간에는 대회 진행 시간과 막아야하는 다음 공격 시간이 초단위로 표시돼 있었다. 뿐만 아니라 문제를 푼 팀들의 점수가 실시간으로 표기되고 있었다.

2025 사이버공격방어대회장 중앙에 참가 팀들의 점수와 남은 시간이 표시되고 있다.

대회장 입구에는 사이버공격방어대회를 처음 방문하거나, 참관하러 온 관람객들을 위한 '해킹체험존'이 마련돼 있었다. 진행되고 있는 사이버공격방어대회를 쉽게 체험해볼 수 있는 곳으로, CSK 2025 행사 내내 발길이 끊이지 않았다고 한다.

기자도 해커가 돼 간접적으로나마 대회 참가자들의 입장이 되어봤다. 3대의 노트북이 놓여 있는 곳에 앉으면, 화면에 대회에 참가하는 사람들과 동일한 문제 제공 플랫폼 화면이 표시된다. 실제로 2020년 사이버공격방어대회에 출제됐던 문제를 재구성한 것이다. 문제 유형은 웹 해킹, 포너블, 리버싱, 포렌식, 암호 등 분야로 나뉘어져 있다. 대회 관계자의 설명에 따라 실제 문제풀이에 들어갔다.

기자가 푼 문제는 2020년 대회에서 출제됐던 'EatCookie' 문제로 웹 해킹 영역이었다. 당시 대회에서 가장 쉬운 문제였다고 한다. 문제를 클릭하니 한 인터넷 주소(URL)과 '플래그(Flag)'를 입력하는 공간이 표시됐다.

URL을 클릭하자 흰 바탕에 'login as admin'이라는 관리자로 로그인하라는 문구만 표시됐다. 문제는 이게 끝이었다. 대회 관계자는 잠시 아무런 설명도 없이 의미심장한 미소를 지으며 황당해하는 기자를 쳐다봤다. 마우스를 가지고 이곳저곳 클릭해보아도 'login as admin'이라는 문구만 드래그될 뿐, 할 수 있는 것이 아무 것도 없었다.

문제는 표시되는 사이트를 관리자 권한으로 로그인하면 되는 구조였다. '쿠키를 먹어라'라는 'EatCookie'는 문제를 풀기 위한 힌트였다. 대회 관계자의 설명에 따라 차근차근 문제를 풀어나갔다. F12를 눌러 개발자도구를 연 뒤, 쿠키 탭에 우선 접근해야 한다. 이후 쿠키 탭에 'guest'라고 표시돼 있는 부분을 관리자를 뜻하는 'admin'을 입력했다.

그러자 화면이 변하며 숨겨진 문자열이 화면에 표시됐다. 해당 문자열을 복사해 플래그를 입력하는 공간에 붙여넣고 제출하자 문제가 해결됐다. 이처럼 출제된 문제를 풀어내고 특정 문자열(플래그)을 찾아 입력하면 되는 형식의 대회가 CTF 대회라는 것이 대회 관계자의 설명이다.

대회 관계자는 "열자마자 당황했던 이 문제가 해킹 대회에서는 가장 쉬운 문제였다"며 "이보다 훨씬 어려운 문제들로 구성된 대회를 국내 보안인들이 풀어내고 있으며, 더 복잡한 해결책을 요구하기 때문에 하루종일 풀어도 풀리지 않는 문제도 있다"고 설명했다.

10초간의 카운트다운 이후 오후 6시 대회가 종료되자마자 박수 소리가 터져 나왔다. 최고점을 기록하고 있던 팀은 일반 부문의 'The Mallard Duck' 팀으로 5640점의 점수를 획득해 일찌감치 종합 우승을 확정지었다. 청소년 분야는 'Hide on /bin/sh' 팀이 종료 시간 10분전까지 2983점으로 선두를 달렸다. 공공부문에서는 '이건 첫번째 레슨, 플래그 나만 갖기' 팀이 2557점으로 가장 높았다.