check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

제14회 HDCON, 실감나는 침해사고 현장 그대로 재현…우승은 KAIST팀

KISA 이동근 침해사고분석단장 “해커들, 공격과 방어 기술 균형있게 발전시켜야”

길민권 기자 mkgil@dailysecu.com 2017년 11월 13일 월요일

▲ 제14회 HDCON 우승을 차지한 KAIST팀.
▲ 제14회 HDCON 우승을 차지한 KAIST팀.
한국인터넷진흥원(KISA, 원장 김석환)과 과학기술정보통신부(장관 유영민)가 주최한 국내 최고의 해킹방어 인재를 발굴하기 위해 개최된 제14회 HDCON(Hacking Defense CONtest, 해킹방어대회) 본선이 13일 양재동 더케이호텔서울 거문고홀에서 열린가운데 오후 5시 30분 최종 KAIST팀(팀명: 한글영문또는특수문자금지라면길이제한은얼마일까자르짐 ㅏ ㄹ아주세요. maxlen)가 우승을 차지했다. 이 팀은 예선도 1위로 통과했으며 팀 멤버는 김동관, 한형석, 김은수, 이현섭 등이다. 2위는 ‘Kings Never Die’가 차지했고 3위는 널루트(NULL@ROOT)팀 ‘null2root’팀이 차지했다. 4위는 ‘Monday’팀 5위는 ‘나쁜엉덩맨’팀이 차지했다.

이번 14회 해킹방어대회 HDCON 본선은 예선전 상위 10개 팀과 코드게이트 대학부 우승팀, 민관협력을 위한 경찰대학 보안동아리 2개팀을 초청해 총 12개팀이 참가해 치열한 경쟁을 펼쳤다. 

▲ 대회 운영을 맡은 KISA 이동근 단장(우)과 심재홍 팀장(좌)
▲ 대회 총괄을 맡은 KISA 이동근 단장(우)과 심재홍 팀장(좌)
이번 대회를 준비한 KISA 침해사고분석팀 심재홍 팀장은 “이번 대회는 가상의 기업이 침해사고를 당했다는 것부터 시작된다. 참가팀들은 실제 기업의 사고분석현장에 투입돼 해킹이 어떻게 이루어졌으며 이를 어떻게 막아낼 수 있는지 방법을 찾는 능력을 테스트했다”며 “웹서버가 해킹당한 가운데 참가자들은 어떻게 웹서버가 해킹을 당했는지 경로를 파악해야 하고 내부망 침투 과정을 알아내야 한다. 포렌식 기술부터 악성코드 분석, 로그분석 능력을 통해 해킹 경로와 해커가 숨겨놓은 악성코드 파일도 찾아내 분석해서 조치하는 작업을 해야 점수를 획득할 수 있는 방식으로 진행됐다”고 설명했다.

KISA 이동근 침해사고분석단장은 “방어문제를 출제하고 세팅하는 것이 쉽지 않다. 또 참가한 팀들도 실제 침해사고 조사를 해 본 경험이 없는 상황에 문제를 풀어내는 것이 익숙하지 않았을 것이다. 하지만 실제 필드에서는 이런 사고들이 발생하고 있다. 보안전문가라면 취약점을 찾고 해킹을 하는 공부도 중요하지만 실제 공격들을 필드에서 막아내는 방어능력도 중요하다. 해킹 능력과 함께 사고발생시 분석하고 신속히 조치할 수 있는 능력도 겸비해 균형있는 보안전문가로 성장했으면 하는 바람이다”라고 전했다.

▲ 문제출제 및 운영을 맡은 코어시큐리티. (가운데 김태일 대표)
▲ 문제출제 및 운영을 맡은 코어시큐리티. (가운데 김태일 대표)
한편 이번 대회 문제출제 및 운영을 맡은 코어시큐리티 김태일 대표와 현장 인터뷰를 진행했다. 김태일 대표는 “KISA 해킹방어대회는 코어시큐리티가 지향하는 방향과 일치한다. 지금까지 실무에서 접할 수 있는 침해대응 시나리오를 제대로 구현해 경험해 볼 수 있는 대회는 많이 없었다. 참가자들에게 실제 침해사고가 어떻게 발생하고 어떻게 대응해야 하는지 경험해 볼 수 있는 대회가 되도록 많은 신경을 써서 준비했다”며 “상투적 침해사고 시나리오 보다는 최신 트렌드를 많이 반영했고 실제 공격용 악성코드와 백도어를 사용해 공격과정을 그대로 구현했다. 각 팀들이 분석해야 할 PC가 7대 정도 규모여서 쉽지는 않았을 것이다. 참가팀들이 공격방법을 논리적으로 잘 분석해 내는지에 초점을 맞췄다”고 설명했다.

이어 김 대표는 “이번 대회 시나리오는 APT 공격으로 스피어피싱부터 시작된다. 소규모 영화기획사가 해킹을 당하는 시나리오며 공격자는 스피어피싱으로 한글 이력서로 위장한 악성문서를 메일로 담당자에게 발송하고 담당자가 이를 열어보면서 사건이 시작된다. 공격자는 최근 공격 트렌드인 파일리스 공격이나 레지스트리를 이용하지 않고 자동실행되는 악성코드를 사용한다. 또 아웃룩 기반 백도어 등 생소한 방법의 공격도 시도한다. 이런 최신 공격 트렌드를 참가팀들과 공유하고 싶었다”며 “참가팀들은 해킹당한 방법을 찾아야 하고 조사가 끝나면 치료하는 파일을 찾아 치료까지 하는 과정에서 득점을 할 수 있게 구성했다. 공격자가 거쳐간 시스템을 순서대로 나열하고 악성코드를 분석하고 이를 제거하는 과정은 실제 현장에서도 필요한 문제들이다. 이런 과정들이 재미있고 좀더 연구해 봤으면 좋겠다는 생각이 들 수 있도록 시나리오를 구성했다”고 덧붙였다.

▲ KISA 해킹방어대회 14회 HDCON 참가팀 전원 기념 촬영
▲ KISA 해킹방어대회 14회 HDCON 참가팀 전원 기념 촬영
한편 참가자팀들은 침해사고 현장 경험이 없기 때문에 문제를 푸는데 어려움을 겪었다. 첫 해답이 올라온 시간이 점심시간 이후였을 정도로 생소했다고 볼 수 있다. 하지만 이번 문제는 침해사고대응 과정에서 중급 정도의 문제라고 코어시큐리티는 말한다. 그 정도로 국내 해커들이 침해사고대응 경험이 부족하다는 것을 알 수 있다.

김태일 대표는 “코어시큐리티는 교육프로그램과 함께 침해사고 관련 서비스 제공과 침해사고팀 빌딩 및 팀원 트레이닝 등 종합적인 침해사고대응서비스를 제공해 나갈 계획”이라며 “재능있는 해킹 보안전문가들이 이런 대회를 통해 침해사고조사 분석에 관심을 갖고 더욱 연구해 주길 바란다”고 밝혔다.

이번 대회 대상팀에게는 과학기술정보통신부장관상과 상금 2,000만원, 금상 1팀은 한국인터넷진흥원장상과 상금 800만원, 은상 3개 팀은 각 500만원이 부상으로 수여된다. 이번 대회 대상 수상 팀은 오는 11월 30일 판교에서 진행되는 시큐리티 페스티벌에서 과학기술정보통신부 장관상을 직접 수여 받을 예정이다.

또한 다양한 부대행사가 별도로 진행됐다. 전년도 해킹방어대회 문제, 올해 진행된 코드게이트 문제 중 일부를 선별해 출제의도 및 풀이 방법에 대한 해설을 진행했다. 또한 KISA 취약점 신고 포상제와 연계하여 채택된 드론 취약점에 대한 기술 세미나(비공개 세션)를 개최했다. 또한 분석 기술에 관심이 있는 예비 화이트 해커들을 대상으로 임베디드 장치 취약점 분석 기술 세미나, KISA에서 현재 진행되고 있는 2가지 해커 프로파일링 진행상황을 공유하여 배움의 분위기와 인적 네트워킹 확대의 장이 마련되었다.

★정보보안 대표 미디어 데일리시큐!★

<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록