세종특별자치시(시장 최민호)가 지난 3월 25일 개최한 ‘2023 핵테온 세종(HackTheon Sejong) 국제 대학생 사이버보안 경진대회’ 예선전 문제가 참가자들 사이에서 CCE 문제를 그대로 베껴 출제했다는 논란이 있었다. 데일리시큐 확인 결과, 핵테온 세종 예선전 총 13문제 중 3문제가 CCE 문제를 그대로 출제한 것으로 확인됐다. 

지난해 핵테온 세종(HackTheon Sejong)은 국내 대학생을 대상으로 개최했지만, 세종시는 올해부터 사이버보안 인재를 양성·발굴하고 사이버보안 선도도시로 발돋움하기 위해 세계 대학생(대학원생)들이 참여하는 국제대회로 규모를 확대해 개최했다. 

총상금 6천500만원, 국내·외 19개국 106개 대학, 총 256팀 898명이 온라인 예선전에 참가했고 상위 50개팀이 본선에 진출했다. 세종시는 이를 위해 각국 대사관에도 대회를 알리고 해외 대학생들의 참여를 유도했다. 

사이버보안 인재를 양성하자는 취지에서 개최된 대회인 만큼 세종시의 노력은 인정할 부분이다. 하지만 대회 취지와는 달리 참가자들은 지난해 개최한 국가정보원 주최 ‘2022 사이버공격방어대회’(CCE: Cyber Conflict Exercise) 문제를 3문제나 그대로 출제했고 문제의 질도 국제 대회라고 하기에는 너무 민망할 정도의 문제가 출제됐다. 심지어 한글을 모르면 풀 수 없는 문제도 출제돼 해외 참가자들을 황당하게 만들었다며, 대회 공정성 훼손과 미흡한 대회 운영에 대해 지적하고 있다. 

모든 해킹대회와 마찬가지로 핵테온 세종 예선전에도 대회 참가자들이 커뮤니케이션 할 수 있는 디스코드가 운영됐다. 이날 디스코드에서는 웃지못할 대화들이 오고 갔다. 기자가 직접 당시 디스코드에서 확인한 내용들이다. 대회 참가자들의 몇몇 대화 내용을 보면 이번 핵테온 세종 예선전이 얼마나 심각했는지 알 수 있다. 

“CCE 2021 문제를 그대로 가져와서 논란이 되니 2021 CCE 디스코드를 삭제한건가요?”

“왜 웹문제 이름이 CCE 2021 QUALS에 나왔던 문제와 똑같죠? 디스코드 보고 풀면되나요?”

“익스플로잇도 옛날꺼 그대로 돌아가네요.”

“답지찾기 대회인가요?”

실제로 CCE 대회에 참가했던 참가자들은 문제가 같았기 때문에 당시 풀었던 코드를 그대로 활용해 문제를 쉽게 풀 수 있었다. 특히 이번 핵테온 세종 예선전에는 국내 실력있는 참가자들이 많이 참가했다. 지난해 핵테온 세종은 데프콘 대회 기간과 겹쳐 참석하지 못했던 실력파들이 대거 참가한 것이다. 이들은 대부분 CCE 대회에도 참가했기 때문에 문제를 해결하는데 유리한 입장이었다. 

핵테온 세종 예선전 디스코드에서 위 대화처럼 참가자들이 CCE 디스코드에 문제 풀이가 올라가 있다고 말하자 이를 확인한 주최측은 CCE 2021 디스코드를 닫아 버리는 등 어처구니없는 해프닝이 벌어지기도 했다. 

다행히(?) 이런 웃지못할 대화들과 주최측의 대응이 한국말로 이루어져 외국 참가자들은 무슨 일이 벌어지고 있는지 알 수 없었다는 점에서 안도를 해야 할 판이었다. 국제 대회로 개최를 했으면 그에 걸맞는 준비를 했어야 하는데 안타까운 부분이다. 만약 이번 사건을 해외 참가자들이 알게 된다면 대회 공신력과 위상은 추락하고 향후 한국에서 개최되는 다른 국제해킹대회에도 좋지 않은 영향을 미칠 수 있다는 점에서 심각하게 받아들이고 재발방지를 위해 노력해야 한다. 

짚고 넘어가야 할 부분들을 정리하면 다음과 같다. 

CCE 문제를 그대로 출제했다는 것에 대해 문제 의식을 가져야 한다. 이번 핵테온 세종 예선문제는 국가정보원, 국가보안기술연구소, 고려대(세종), 홍익대(세종) 등 대회운영본부에서 출제했다. 

국정원이 주최한 CCE 문제를 그대로 출제한 것은 대회에서 가장 중요한 공정성을 훼손한 것이다. 당연히 CCE 대회에 참가했던 참가자들이 유리하기 때문이다. 특히 대회 참가자들은 CCE 문제 3문제를 제외하고 나머지 문제는 게싱 문제들이 대부분이었고 문제 퀄리티가 너무 낮았다고 평가하고 있다. 

이런 지적에 대해 핵테온 세종 대회운영본부 관계자는 “예선전임을 고려해 보다 많은 참가자들이 참여할 수 있도록 난이도 조절 차원에서 CCE 문제 가운데 기출문제를 응용해서 난이도 있는 문제를 출제했고 나머지 문제는 난이도 조절 차원에서 쉬운 문제들로 구성했다. 하지만 CCE 문제를 유사하게 냈다는 점을 인정하고 그 부분에서 대회 참가자들에게 혼란을 주게 돼 유감이다. 대회 운영에 미흡한 점이 있었다고 인정한다”며 “하지만 본선 대회는 이런 문제가 발생하지 않도록 심혈을 기울여 문제 출제와 대회운영에 최선을 다하겠다”고 해명했다. 

사실 지난해 2022 핵테온 세종 문제도 대부분 CCE 문제를 상당수 그대로 출제한 것도 지적하지 않을 수 없다. 

왜 이런 문제가 발생했을까. 확인 결과, 핵테온 세종 대회에는 문제 출제에 대한 비용책정이 되어 있지 않았다. 대회 상금만 6천500만원으로 책정하고 정작 대회 퀄리티를 좌우하는 문제 출제에는 한푼도 예산을 책정하지 않았다는 것이다. 

국내에서 권위있는 해킹 대회인 코드게이트는 문제 출제 비용에만 1억5천만원, CCE 대회는 문제 출제 비용으로 1억8천만원을 지불하고 1년간 출제팀이 혼신을 다해 준비하면서 최고의 대회를 위해 많은 공을 들인다. 반면, 핵테온 세종은 문제 출제 비용이 ‘0원’이다. 여기서 문제가 발생한 것이다. 세종시는 이 부분에 대해 대회 공신력과 위상을 위해 문제 출제 예산을 책정해야 할 것으로 보인다. 

이번 핵테온 세종 대회 참가자는 “예선전 당시 디스코드에서는 주최측이 동일한 문제가 없다고 주장해서 어처구니가 없었는데 이렇게 인정하고 본선 및 다음 대회는 잘 준비하겠다고 했으니 기대가 된다. 국제 대회인 만큼 해외 참가자들에게도 부끄럽지 않게 대회 운영이 될 수 있길 바란다. 국민 세금으로 개최되는 대회인 만큼 공정하게 그리고 문제 퀄리티도 국제 대회의 격에 맞게 출제된다면 핵테온 세종도 한국을 대표하는 대회로 발전할 수 있을 것이라 생각한다. 해커들은 상금도 중요하지만 좋은 문제를 접하고 풀어냈을 때의 희열 때문에 해킹 대회에 참가한다. 이 부분에 대해 좀더 투자하고 세심한 준비가 있었으면 한다”고 말했다. 

핵테온 세종 본선은 오는 5월 11일 세종컨벤션센터 대연회장에서 개최된다. 이번 대회는 세종특별자치시가 주최하고 고려대 세종캠퍼스, 홍익대 세종캠퍼스가 주관, 국가정보원, 한국전자통신연구원, 국가보안기술연구소, 한국인터넷진흥원, 한국과학기술정보연구원, 과학기술정책연구원, 세종대학교, 성신여자대학교, 숭실대학교, 한국정보보호학회, 한국정보보호산업협회가 후원한다. 

★정보보안 대표 미디어 데일리시큐!