2022-07-02 20:25 (토)
[인터뷰] 벨루미나 베이징 CTF 해킹대회, 우승한 ‘키리졸브’팀 박세준
상태바
[인터뷰] 벨루미나 베이징 CTF 해킹대회, 우승한 ‘키리졸브’팀 박세준
  • 길민권
  • 승인 2016.06.03 17:44
이 기사를 공유합니다

박세준 “세계 최강 DEFKOR팀과 즐거운 한 때…현업 프로젝트에서도 같이 했으면”
[중국 베이징] 6월 1일부터 3일까지 베이징에서 개최된 새로운 형태의 CTF 해킹대회 ‘벨루미나 베이징(Belluminar Beijing) WCTF2016’에서 한국과 미국 최강의 해커들이 연합한 ‘KeyResolve’(이하 키리졸브)팀이 최종 우승을 차지했다. 대회 총 상금은 10만달러(약 1억2천만원)에 달하며, 우승팀에게는 5만달러(5천9백만원)가 포상금으로 지급된다. 2위도 막강한 실력을 자랑하는 고려대학교 사이버국방학과 학생들로 구성된 ‘CyKor’팀이 차지해 3만달러(3천550만원)의 상금을 받게 됐다. 한국 해커들의 실력을 베이징에서 유감없이 보여준 대회였다.
 
키리졸브팀은 미국 카네기멜론대학 PPP팀 멤버 3명과 한국의 DEFKOR팀 이정훈(삼성 SDS), 이종호(라온시큐어) 등이 참가한 연합팀이다. 이 팀은 현존하는 해킹 레전드들이 연합해 대회 전부터 큰 관심을 끌었고 사실상 이번 대회 우승 0순위 팀이었다. 결과도 다른 팀에 비해 압도적인 차이로 우승을 차지했다.



 
데일리시큐는 이번 키리졸브팀의 멤버로 활약했던 PPP팀 소속 박세준씨(아래 사진)를 베이징 대회현장에서 만나 대회 참가 및 우승 소감과 최근 근황 등에 대해 들어보는 시간을 가졌다.
 
-키리졸브팀은 어떻게 결성하게 됐고 한 팀으로 플레이 한 소감은 어떤가
PPP팀 3명과 DEFKOR팀 2명이 이번 대회를 위해 의기투합한 프로젝트팀이다. 다른 대회에서 경쟁팀으로 활동하다가 이렇게 같이 협력해서 대회를 참가하게 돼 새롭고 즐거운 경험이었다. 이번 대회를 치르면서 왜 DEFKOR팀 이정훈, 이종호 두 친구가 세계 최강의 해커들인지 알게 됐다. 즐거운 재미있는 경험이었다. 키리졸브 팀원들이 각자의 실력을 팀워크로 잘 승화시켜 우승까지 차지하게 돼 기쁘고 또 앞으로 해킹대회 말고도 현업에서 프로젝트팀을 꾸려 같이 일 해볼 수 있는 기회를 가졌으면 하는 바람이다.
 
-벨루미나 베이징 대회 문제는 어땠나
각 팀이 2문제씩 출제하는 방식이라 지금까지 없었던 새로운 형식의 대회였다. 모든 문제들이 유니크하고 심도있는 문제들이었고 난이도도 높았다. 시스템 해킹, 리버스엔지니어링, 웹, 암호학 등 다양한 문제가 출제됐다.
10개 팀들이 해킹대회 출전 경험이 많기 때문에 시스템 해킹을 잘해 시스템 해킹 문제들이 많이 출제됐다. 특히 다른 대회에서는 보기 힘든 윈도우 시스템 해킹과 커널 해킹 문제들이 많이 출제 됐다.
출전팀들 대부분 많은 해킹대회에 참가해 온 팀들이라 퀄리티 있는 문제들을 출제했고 대회 이후 문제에 대한 발표시간도 있어서 전체적으로 문제 퀄리티와 난이도가 높았던 대회다.
총 9문제를 풀었는데 시간이 관건이었다. 다들 시간이 오래 걸리는 난이도 있는 문제들을 출제했기 때문이다. 하루만 더 있었으면 좀더 많은 문제를 풀 수 있었을 것이다.
 
-키리졸브팀은 어떤 문제를 출제했나
한 문제는 DEFKOR팀이 출제했다. 유니버셜 크로스 사이트 스크립팅 문제로, 크롬 브라우저에 임의의 취약점을 넣고 어떤 코드를 바꿨는지 알려준 뒤 참가팀들이 어떻게 취약점이 되는지 이를 분석하고 어떻게 공격하는지를 알아내는 문제였다. DEFKOR팀이 실제 연구할 때 찾았던 다른 브라우저 버그를 이용해 출제한 문제였다.
또 하나는 PPP팀이 출제했다. 네트워크와 시스템 해킹을 엮어낸 문제다. 중간자 공격 (man-in-the-middle attack)을 통해 암호화 통신 패킷을 가로채고 이를 통해 클라이언트를 해킹해야 하는 문제였다. 지금까지 CFT 대회에서 한번도 출제된 적이 없는 문제였다. 중간자 공격해서 시스템 해킹을 하는 문제라고 할 수 있다.
(키리졸브팀이 출제한 2문제 모두 이번 대회 출전한 어떤 팀도 풀어 내지 못했다.)
 
-연합팀으로 가장 신경을 쓴 부분은
처음 뭉친 팀이라 서로 팀원들의 플레이 스타일을 몰라 서로 조심해야 할 부분에 대해 조율하려고 노력했다. 플레이할 때 어떤 부분이 방해가 될 수도 있고 사소한 문제가 집중력을 떨어뜨리게 할 수도 있기 때문에 서로의 플레이 스타일을 파악하는 것이 중요했다. 2일씩 잠도 못 자고 잘 먹지도 못하고 문제를 풀다보면 스트레스 수치가 최대치로 올라갈 수 있기 때문에 서로의 교집합을 찾아 시너지를 낼 수 있도록 하는데 주의를 기울였다. 
 
다음은 박세준(사진) 개인에 대한 여러가지 질문과 답변들로 이어갔다.

 
-해킹은 언제부터 시작했나
중학교때 해킹보다는 게임에 몰두했다. 기회가 돼 혼자서 미국 공립고등학교로 유학을 가게 됐고 하루 1시간으로 제한받던 게임 시간이 하루 10시간 이상으로 늘어났다. 정말 지겹게 게임을 했다. 그렇게 6개월 정도 게임을 하다보니 지겨워졌고 게임 핵을 연구하기 시작했다. 그때 리버스엔지니어링도 독학으로 공부하게 됐다. 게임 해킹을 할 줄을 알았지만 그게 왜 가능한지 원리를 몰랐다. 처음엔 대학을 물리학 쪽으로 생각했다가 컴퓨터에 관심을 가지면서 카네기멜론 대학 컴퓨터사이언스 학과에 입학하게 됐다. 입학해서 컴퓨터의 구조와 원리 등을 배우면서 고등학교때 했던 해킹이 어떻게 이론적으로 가능한지 알게 됐고 그런 과정들이 신기하고 재미있었다.
지금 생각하면 고등학교때 한국에 있었으면 그런 시간을 못 가졌을 것이다. 중학교시절 시험에 시달리고 성적 스트레스, 학원, 과외로 하루종일 공부만 해야 하는 반복된 생활에서 미국에 가보니 그렇게 살지 않아도 사람이 살아갈 수 있구나를 느꼈다. 혼자 미국 생활하면서 강제적인 압박이 없으니 자발적으로 생각하고 공부를 하게 됐다. 주입식 교육이 없어지니 남는 시간에 좋아하는 것을 생각하고 찾을 수 있는 시간이 생겼다. 개인적으로 너무 값진 시간이었다. 후에 내 아이가 생긴다면 똑같이 해 주고 싶은 마음이다. 그때 다녔던 공립고등학교는 숙제도 별로 없고 성적에 대한 압박도 거의 없었다. 다만 공립도 지역에 따라 다르기 때문에 미국이라도 경쟁이 심한 학교에 가면 한국보다 더 힘들 수 있으니 미국이라고 해서 모두 그렇다고 생각하면 안된다.
 
-영어 문제는 어떻게 해결했나
처음 미국가서 영어가 가장 힘들었다. 실시간으로 듣고 말하기가 너무 힘들었다. 미국가서 1년은 벙어리처럼 살았다. 학교에 학생 2천명 중 한국어를 하는 학생이 2명 뿐이었다. 나중에 친구들이 처음 전학 왔을 때 벙어리인줄 알았다고 놀리곤 한다. 듣기만 하면서 생활한 것이 1년 정도 된다. 좀 지나니 듣는 속도도 빨라지고 말도 하기 시작했다. 그 기간에 게임도 하고 컴퓨터 공부도 하고 나름 의미있는 시간을 보낸 것 같다. 그때 혼자서 소위 삽질하면서 공부했던 시간들이 지금은 큰 자산이 되고 있다. 지금 후배들 보면 너무 부럽다. 예전에 몇 달씩 공부해야 할 내용들이 지금은 이틀이면 배울 수 있는 문서와 교육시설, 물어볼 수 있는 사람들이 있어 부럽다.
 
-해킹공부에서 중요한 것은 무엇이라고 생각하나
해킹의 덕목 중 가장 큰 것이 ‘끈기’라고 생각한다. 끝까지 생각하고 창의적으로 공격을 하다보면 언젠가는 문제가 풀린다. 몇 개월씩 안풀리는 문제도 있었다. 하지만 항상 그 문제를 생각하고 자다가도 뭔가 영감이 떠오르면 다시 풀어보고 안되면 다른 공부를 하다가 해결 방법이 떠오르면 다시 풀어보고 해야 한다. 자신이 풀지 못한 문제를 해커라면 놓지 말아야 한다. 풀지 못한 문제가 있다는 것을 거슬리게 생각해야 한다. 그래야 발전할 수 있다. 해킹도 자신과의 싸움이다. 어느 선에서 이쯤이면 되겠지 생각하면 그 순간부터 발전은 멈추게 된다. 항상 배우는 입장이 되어야 한다. 최고의 해커들은 자신이 풀었던 문제도 좀더 간지나게 혹은 효율적인 다른 방법으로 풀 수 없을까 생각한다. 새로운 방식으로 기존에 풀었던 문제를 다시 생각해 보는 것도 도움이 된다.
 
-PPP팀 동아리는 어떻게 결성하게 됐나
2009년 2학년때 PPP팀을 만들게 됐다. 석사과정 지도교수 밑에서 리서치 인턴을 할 때다. 관심있는 친구들과 선후배들이 모이면서 결성하게 됐다. 당시 보안보다는 개발자를 고민하고 있었다. 그런데 보안연구실 교수님 프로젝트중에 언패킹연구가 있었다. 어떤 난독화도 풀 수 있도록 하는 것이 주제였다. 게임할 때 패킹 때문에 고생을 많이 해본 경험이 있어서 언패킹 기술을 연구해 보고 싶었다. 공격자들이 멀웨어를 패킹해서 보호할 수 있기 때문에 언패킹은 보안분야에서도 중요한 연구였다. 그 연구를 계기로 보안공부를 더 열심히 하고 해킹대회도 참가하면서 팀을 키워 나가게 됐다.
 
-2개의 회사를 창업했는데 창업할 때 어떤 생각을 가지고 시작했나
학계 연구가 학문으로만 끝나는 것을 많이 봤다. 아이디어는 좋지만 실제 시스템에 적용하면 퍼포먼스 문제나 비용문제가 발생해 적용이 힘든 경우를 많이 봤다. 안타까웠다. 그래서 회사를 만들어서 이론적으로 좋은 아이디어들을 최소한의 코스트로 최대한의 효과를 낼 수 있는 프로그램으로 만들어 보자는 목표를 세웠다. 이론을 실제 시스템에 접목시킬 수 있도록 하는 연구들이다.
실제로 2005년 마이크로소프트 리서치에서 발표한 이론을 실제에 적용할 수 있도록 연구하는 과제를 미국 정부로부터 받은 적도 있다. 해당 기술의 코어 아이디어만 따서 실제 시스템에 적용할 수 있도록 만들어 상업화도 했고 실제 적용사례도 만들어냈다.
졸업할 때 창업했던 ‘카프리카시큐리티’는 정부과제를 주로 했고 최근 스타트업한 ‘씨오리’는 아직 본격적인 활동은 하지 않고 있지만 연구개발에 집중하며 정부 보다는 민간기업을 대상으로 컨설팅이나 펜테스팅 위주로 사업을 확장해 나갈 생각이다.
창업을 생각한 이유는, 팀 특성상 자유롭게 해킹대회에 참가할 수 있고 하고 싶은 연구과제를 골라서 할 수 있다는 장점이 있다. 또 취업을 해서는 얻을 수 없는 많은 경험을 쌓을 수 있다.
또 창업을 하면서 느낀 점은 왜 비즈니스 맨이 필요한지 알게 된 것이다. 아이디어와 기술만 좋다고 해서 사업이 성공할 수 없다는 것을 창업을 통해 뼈저리게 배웠다.
 
-컨설팅 비용은 미국과 한국을 비교하면 어떤가
정부과제로 비교하면 미국이 한국보다 월등히 좋은 조건이다. 한국은 최저가로 과제입찰을 하지만 미국은 퀄리티를 우선적으로 보고 있다. 민간 컨설팅 비용은 한국과 미국 대기업은 비슷한 수준이라고 생각한다.
 
-많은 해킹대회에 참가했는데 좋은 성적을 내기 위해 중요한 점이 있다면
사실 그 전까지는 크게 긴장감 없이 대회에 임했다. 하지만 DEFKOR팀이 등장하면서 긴장하며 대회에 임하고 있다. 이번 데프콘 예선전도 DEFKOR팀와 박빙의 게임을 펼쳐 대회 내내 긴장감을 느낄 수 있어 즐거웠다.
대회 참가할 때 가장 중요한 점은 팀웍이다. PPP팀도 초기에는 팀내에서도 경쟁이 있어 내가 거의 다 푼 문제를 다른 팀원에게 넘기는 것을 꺼려한 시절이 있었다. 같은 팀 내에서도 자기만의 프라이드를 지키려는 해커들이 있기 때문이다.
한국팀들도 최근까지 그런 경향이 있었다. 한국팀들 간에도 견제가 있었지만 같은 한국팀 내에서도 경쟁심리가 작용해 내가 거의 다 푼 문제를 다른 팀원이 마무리 짓게 하는 것에 민감하게 반응했다. 자신이 크래딧을 받고 싶다는 심리때문이다. 이 부분을 극복해야 한다. 팀 내부의 경쟁과 견제가 사라져야 좋은 성적을 낼 수 있다.
지난해 DEFKOR팀이 데프콘 대회에서 그러한 팀내 견제없이 개인적인 욕심을 극복하고 완벽한 팀플레이로 대회에 임했기 때문에 압도적인 우승을 할 수 있었다고 생각한다. 팀원들 간 서로 도와주는 분위기가 이루어져야 팀이 좋은 성적을 낼 수 있다. 그 점이 가장 중요하다. 하지만 DEFKOR팀이 PPP팀의 데프콘 3회 연속 우승을 가로막아 아쉽긴 하다. 또 한편으로는 압박감을 내려놓을 수 있어 편안하기도 하다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com