2019-12-10 10:06 (화)
[김승주 칼럼] 이제는 보다 더 다양한 관점으로 ‘데프콘’을 바라봐야
상태바
[김승주 칼럼] 이제는 보다 더 다양한 관점으로 ‘데프콘’을 바라봐야
  • 길민권 기자
  • 승인 2019.08.19 08:42
이 기사를 공유합니다

데프콘 CTF 2회 우승 대한민국…진정으로 해킹 강국, 정보보호 강국이 됐는가
국내 해킹 교육, 특정 분야에 대한 쏠림 현상 나타나고 있어
김승주 고려대학교 정보보호대학원 교수
김승주 고려대학교 정보보호대학원 교수

지난 2015년 고려대 사이버국방학과 재학생들 8명, 라온시큐어 연구원 3명, 조지아공대 유학생 2명 등 총 13명으로 구성된 한국 연합팀 ‘DEFKOR’가 아시아 국가로는 처음으로 세계 최고 권위의 국제해킹대회인 데프콘(DEF CON) CTF(Capture The Flag)에서 우승을 차지하였다.

당시 전 세계 4,000여 팀이 참가한 이 대회에서 DEFKOR팀은 3연패에 도전하는 미국 카네기멜런대의 ‘PPP’팀을 누르고 1위를 차지했다. 특히 당시의 우승은 2006년에 아시아인 최초로 본선 진출권을 획득한 이승진씨(현재 고려대 정보보호대학원 박사과정 재학) 이후 10년 만의 쾌거였으며, 이후 한국은 2018년에 ‘DEFKOR00T’란 이름으로 또 다시 CTF 우승 메달(일명, ‘Black Badge’)을 거머쥐게 된다. (DEFKOR00T팀은 기존 DEFKOR팀 13명과 조지아공대 출신의 R00TIMENTARY팀 6명의 연합팀으로서 총 19명으로 구성됨.)

데프콘 CTF에서 두 번씩이나 우승을 한 우리는 그 후 무엇이 달라졌을까? 우리는 진정으로 해킹 강국, 정보보호 강국이 됐는가?

올해로 27회째를 맞는 데프콘은 당초 해킹대회를 목적으로 만들어진 것이 아니다. 1992년 데프콘의 설립자 제프 모스(Jeff Moss)는 아버지를 따라 다른 나라로 떠나는 친구를 위해 라스베가스에서 송별파티를 벌이기로 한다. 그런데 이 친구가 당초 계획보다 일찍 출국하게 되었고, 갑작스레 홀로 남게 된 제프 모스는 친한 동료 해커들을 모두 라스베가스로 불러 모아 파티를 벌이게 된다. 이때 미국 전역에서 모인 100여명의 해커들이 설립한 것이 바로 데프콘이다. 일회성 파티로 시작한 것이 해커들의 큰 호응을 받았고, 이러한 모임이 다음해에도 또 그 다음해에도 라스베가스에서 계속되면서 오늘의 모습을 갖추게 되었다.

현재의 데프콘은 ‘논문 발표’, ‘데모 랩(Demo Labs)’, ‘워크숍(Workshops)’, ‘CTF’ 등의 메인 세션 및 ‘빌리지(Villages)’, ‘업체들의 제품 전시회’ 등으로 구성된다.

<논문 발표> 세션은 Black Hat 컨퍼런스의 Briefings에 해당하는 것으로 엄격한 심사를 거친 최신 연구 결과들이 발표되며, 보통 시연을 포함해 45분 내외의 발표들로 구성된다. <데모 랩>은 Black Hat의 Arsenal에 해당하는 것으로 역시 엄격한 심사를 통과한 각종 해킹 관련 도구들이 발표되는데, 하나의 발표마다 110분 정도의 시간이 주어진다.

<워크숍>은 Black Hat의 Trainings에 해당하는 세션으로 각종 해킹 관련 교육들이 열리며, 추가로 비용을 지불하고 신청해야 한다.

<빌리지>는 데프콘의 부대 행사로서 인공지능 빌리지(AI Village), 항공기 빌리지(Aviation Village), 블록체인 빌리지(Block Chain Village), 자동차 해킹 빌리지(Car Hacking Village), 클라우드 빌리지(Cloud Village), 암호 및 프라이버시 빌리지(Crypto & Privacy Village), 드론 빌리지(DroneWarz Village), 산업제어시스템 빌리지(ICS Village), IoT 빌리지(Internet of Things Village), 사회공학 빌리지(Social Engineering Village), 투표기 해킹 빌리지(Voting Machine Hacking Village) 등이 있으며, 데프콘 메인 세션과는 별도로 각 분야별로 특화된 논문 발표 및 해킹 대회(CTF)가 펼쳐진다.

2019 데프콘 CTF 대회 현장
2019 데프콘 CTF 대회 현장

이렇게나 다양한 이벤트들 중에서 우리 정부나 언론이 전통적으로 유일하게 관심을 갖고 있는 것은 데프콘 메인 세션의 ‘CTF’다. 그러다 보니 마치 ‘데프콘’과 ‘데프콘 CTF’를 혼동해 “데프콘에서 우승했다”는 오보를 내는 웃지 못 할 일도 종종 생긴다. (이는 마치 양궁에서의 금메달을 올림픽에서 우승했다고 말하는 것과 같다.) 매년 8월이면 수십 명의 국내 해커들이 오로지 데프콘 CTF만을 목표로 라스베가스로 향하고 있으며, 우리 언론이나 정부는 CTF 우승이 마치 정보보호 강국의 증표이자 지상명제인 것처럼 착각하기도 한다. Black Badge나 Speaker Badge가 걸린 다른 이벤트들에서는 우리나라 사람들을 거의 찾아볼 수 없음에도 말이다.

데프콘은 해커들의 올림픽이요 축제다. 여러 이벤트들 중에서 2박3일간 여러 해커들이 팀을 구성해 공방을 펼치는 ‘데프콘 CTF 우승’은 분명 쉬운 일이 아니며, 우리가 자랑스러워 할만하다. 그러나 국가 전체의 관심이 오직 CTF에만 집중되는 것은 곤란하며, 이는 자칫 다양성의 저해라는 심각한 문제를 불러일으킬 수 있다. 이미 국내 해킹 교육은 특정 분야에 대한 쏠림 현상이 나타나고 있는 실정이다. 우리 정부도 이제는 데프콘을 온전히 이해하고 제대로 바라볼 필요가 있으며, 그동안 우리가 소홀했던 비인기 분야는 없었는지 스스로 자문해볼 시점이다.

[글. 고려대학교 정보보호대학원 김승주 교수]

★정보보안 대표 미디어 데일리시큐!★