check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

[데프콘 26 현장] '데프콘은 CTF 해킹대회'라는 인식부터 깨고...새 판 짜야 한다

28개 빌리지와 44개 콘테스트 등 해커들의 놀이공간...한국, CTF에만 너무 집중돼

길민권 기자 mkgil@dailysecu.com 2018년 08월 12일 일요일
▲ 라스 베이거스에서 열린 데프콘 26에 아내와 손자들을 데리고 참가한 콜라라도 출신 존 스피어링씨. 이들의 모습속에 데프콘의 많은 것이 담겨져 있다. 데프콘은 해킹대회가 아니라 '문화'이자 놀이공원이었다. [데일리시큐=라스 베이거스]
▲ 라스 베이거스에서 열린 데프콘 26에 아내와 손자들을 데리고 참여한 콜로라도 출신 존 스피어링씨. 이들의 모습속에 데프콘의 많은 것이 담겨져 있다. 데프콘은 해킹대회가 아니라 '문화'이자 '놀이공원'이었다. 재미를 느껴야 관심을 가질 수 있다. [데일리시큐=라스 베이거스]

[데일리시큐=라스 베이거스] '맹인모상(盲人摸象)'은 장님이 코끼리를 만진다는 뜻이다. 전체를 못 보고 자기가 알고 있는 부분만 가지고 고집한다는 뜻이다. 우리는 '데프콘(DEF CON)'을 잘 못 알고 있었다. '데프콘=해킹대회'라는 공식을 만들어 버린 것이다. 이제 깨져야 한다.

한국은 데프콘의 극히 일부인 CTF(Capture the Flag) 해킹대회를 데프콘의 전체라고 착각하고 있었다. 그래서 한국의 각종 해킹 컨퍼런스는 단순히 상금과 순위에만 초점이 맞춰지게 됐다. 결국 '해커 문화'로 승화시키지 못했다. 그 결과 해커를 꿈꾸는 학생들이 다양한 분야를 연구하기 보다는 취약점 찾기와 CTF 해킹대회 맞춤형 해커를 지향하게 됐다. 물론 해킹대회나 취약점 찾기도 중요한 부분이지만 저변을 확대하고 해커스러운 문화를 확장시켜 나가는데는 실패한 것이다.

'데프콘(DEF CON)'은 해킹대회가 아니다. 데프콘의 태생을 보면 알 수 있다. 제프 모스가 1993년 처음 연 '데프콘'은 당시 'Platinum Net' 회원인 친구의 송별회로 시작됐다. 당시 각 분야의 해커들을 초대한 파티였지 우리가 생각하는 해킹대회가 아니었다.

▲ 데프콘이 열리는 라스 베이거스 시저스 펠리스 호텔 전경. 뜨거운 날씨에 분수쇼를 펼치고 있다.
▲ 데프콘이 열리는 라스 베이거스 시저스 펠리스 호텔 전경. 뜨거운 날씨에 호텔 앞에서 분수쇼를 펼치고 있다.
뜨거운 사막 한가운데 맹렬한 열기와 엄청난 규모의 호텔들, 도박, 레온사인, 술과 파티의 도시, 라스 베이거스(Las Vegas)의 시저스 펠리스 호텔과 플라밍고 호텔에서 '데프콘(DEF CON) 26'이 8월 9일부터 12일까지 열렸다.

▲ 데프콘에서 참여자들이 배지를 만드는 기술을 배우면서 직접 제작하고 있다.
▲ 데프콘에서 참여자들이 배지를 만드는 기술을 배우면서 직접 제작하고 있다.
데프콘 현장은 하나의 해커 문화공간이자 그들의 놀이공원이었다. 현장에 가보면 가장 재미없는 곳이 바로 우리가 가장 중요하게 생각하고 있는 CTF 해킹대회라는 것을 알 수 있다. 50개 이상의 이벤트와 빌리지별로 다양한 분야의 해커 문화를 직접 참여하며 즐길 수 있는 곳이 데프콘이다. CFT 해킹대회(DC 26 CTF)가 해커들에게 큰 명예를 안겨주긴 하지만 데프콘 현장에서는 전체 이벤트의 한 구석에서 조용히 문제를 풀고 있는 24개팀원들이 있을 뿐이다.
▲ DC 26 CTF 현장. 한국은 CTF(Capture the Flag) 해킹대회가 마치 데프콘의 모든 것 처럼 받아들여 해커들의 문화를 형성하지 못하고 일반 대중들의 참여나 인식 변화에도 크게 영향을 주지 못했다.
▲ DC 26 CTF 현장. 한국은 CTF(Capture the Flag) 해킹대회가 마치 데프콘의 모든 것 처럼 받아들여 해커들의 문화를 형성하지 못하고 일반 대중들의 참여나 인식 변화에도 크게 영향을 주지 못했다. 실제로 데프콘에 온 참가자들은 DC 26 CTF 현장을 그냥 한번 둘러볼뿐 참여할 수도 없는 대회라 많은 참관객들이 몰리는 곳이 아니다. 한마디로 현장에서는 크게 인기가 없다. 대회 참가자와 참가자를 서포터하고 지원하는 몇 몇 관계자들만 관심을 보이고 순위 보드를 지켜볼 뿐이다. 물론 참가팀들은 국제적 명성을 얻기에 충분한 실력자들이다. [데일리시큐=라스 베이거스]
DC 26 CTF에서 볼거리라곤 대회에 참가하는 팀원들의 자판두드리는 모습과 음악소리 그리고 스크린에 실시간 올라오는 순위뿐이다.

데일리시큐는 콜로라도에서 온 데프콘 참가자를 현장에서 만나 잠깐 인터뷰를 진행했다. 그는 부인과 10살, 11살 손자 2명과 함께 데프콘에 참가했다. 할아버지, 할머니 그리고 손자가 데프콘에 참여한 것이다. 그 모습이 한국에서는 볼 수 없는 장면이라 너무도 신선했다. 어렵사리 양해를 구하고 사진도 촬영했다.

존 스피어링(John Spearing. 기사 첫 사진)은 "IT 분야에 일하고 있으며 데프콘에 와서 다양한 기술도 접하고 이 분야의 재미있는 문화와 기술들을 손자들에게 보여주고 싶어 함께 참여하게 됐다"고 말했다. 손자들도 데프콘 배지를 목에 걸고 28개 빌리지에서 열리는 각종 이벤트에 참여했고 DC 26 CTF 현장도 가봤다며 연신 'Fun'을 외쳤다. 이게 '데프콘'이다. 이들의 모습에 데프콘의 모든 것이 담겨져 있다. 우리에게는 없고 그들에게는 있는 점이다.

▲ 데프콘은 28개 빌리지와 각종 콘테스트, 이벤트가 열린다. CTF 대회는 그 중 하나에 속해 있는 프리미엄 콘테스트라고 할 수 있다. [데일리시큐=라스 베이거스]
▲ 데프콘은 28개 빌리지와 각종 콘테스트, 이벤트가 열린다. CTF 대회는 그 중 하나에 속해 있는 프리미엄 콘테스트라고 할 수 있다. [데일리시큐=라스 베이거스]
기자와 함께 이들 가족을 만난 김승주 고려대 교수는 "이들에게 데프콘은 하나의 놀이공원과 같다. 와서 참여하고 배우고 즐긴다. 대회가 아닌 놀이다. 저 아이들이 데프콘의 문화를 재미있게 받아들이고 여기 와서 배운 열쇠따기 기술, 자신의 목에 걸 배지를 만들며 기판의 구조를 자연스럽게 익히고 납땜도 해 보고 분해된 자동차 계기판을 실제로 보고 그 앞에서 해킹을 하고 있는 해커들의 진지한 모습 그리고 블루투스 스피커와 가정용품 등 각종 스마트 IoT 기기들을 해킹하는 해커들의 모습을 보면서 아이들은 흥미를 느끼게 된다. 재미가 흥미가 되고 그 흥미가 관심과 꿈으로 변화하는 것"이라고 말했다.

또 "그러면서 이런 기술에 관심을 갖게 되는 사람들의 저변이 확대되고 결국 IT기술 강국이 되어가는 것이다. 데프콘은 해킹을 하는 해커들만 오는 것이 아니라 저렇게 가족들, 어린 학생들, 남녀노소 모두가 함께 참여하는 놀이동산이다. 놀이동산에서 놀이기구를 타지 않으면 재미가 없다. 이들은 데프콘에 '참관'이 아니라 '참여'하기 위해서 온다. 그래서 아이들도 재미있어 하는 것이다. 우리나라에서 데프콘을 표방하며 만든 해킹이나 보안 관련 이벤트들은 아직 이런 부분에서 많이 부족하다"고 소감을 밝혔다.

▲ 자동차 해킹 CTF 현장에서.
▲ 자동차 해킹 CTF 현장에서.

▲ 자동차 해킹 빌리지에 많은 사람들이 모여 직접 자동차 해킹에 참여하고 있다.
▲ 자동차 해킹 빌리지에 많은 사람들이 모여 직접 자동차 해킹에 참여하고 있다.
▲ 데프콘 26 자동차 CTF 현장
▲ 데프콘 26 자동차 CTF 현장
▲ 미국내 30여개 투표 장비를 해킹할 수 있는 투표시스템 빌리지.
▲ 미국내 30여개 투표 장비를 해킹할 수 있는 투표시스템 빌리지. 많은 언론들의 집중 취재가 있었던 곳이기도 하다. [데일리시큐=라스 베이거스]
데프콘은 28개 빌리지별로 이루어지는 이벤트와 교육 그리고 44개에 달하는 각종 콘테스트 그리고 세미나, 파티와 미팅, 데모랩, 워크숍, CTF(Capture the Flag) 해킹대회 등 볼꺼리와 참여할 수 있는 행사가 너무도 많다.

▲ 참가자들에게 기판을 제작하는 방법을 알려주고 있는 이벤트 현장.
▲ 참가자들에게 기판 제작 방법을 알려주고 있는 이벤트 현장. 이들도 해커들이다. CTF에 나가서 노트북으로 해킹을 하는 사람들만 해커가 아니란 것.
▲ IoT 해킹 빌리지에서 다양한 제품들에 대한 CTF도 열렸다.
▲ IoT 해킹 빌리지에서 다양한 제품들에 대한 CTF도 열렸다.
빌리지는 IoT, 암호, 무선, 바이오 해킹, 하드웨어 해킹, 열쇠따기, 소셜엔지니어링, 투표시스템 해킹, AI, 드론, 모바일, 자동차 해킹, 패킷 해킹 그리고 산업제어시스템 해킹, 스카이톡, 가상화폐 모네로 등 다양하게 참여하고 즐겁게 게임도 하면서 기술을 배울 수 있는 곳들이다. 현장에 가보면 아이부터 노인들까지 참여자들의 연령층도 다양하다.

▲ 한국 기업 최초로 데프콘 현장에서 콘테스트를 진행한 NSHC ICS CTF 현장에서 참관객들이 시뮬레이션을 보고 있다.
▲ 한국 기업 최초로 데프콘 현장에서 콘테스트를 진행한 NSHC ICS CTF 현장에서 참관객들이 시뮬레이션을 보고 있다.
▲ NSHC RED ALERT팀의 ICS CTF 콘테스트에 많은 참여자들이 대회에 참가하고 있다.
▲ NSHC RED ALERT팀의 ICS CTF 콘테스트에 많은 참여자들이 대회에 참가하고 있다.
또 콘테스트는 각종 해킹대회가 열리는 곳이다. 한국 기업 최초로 데프콘 콘테스트에 주최측으로 참여한 NSHC(허영일 대표) RED ALERT팀이 운영하는 산업제어시스템 해킹대회인 ICS CTF를 비롯해, 자동차 ECU와 CAN 등 차량에 들어가는 기기들에 대한 해킹 대회, 오픈 CTF 형식으로 누구나 참여할 수 있는 해킹대회, OSINT CTF 대회, 사회공학기법 해킹대회, 무선 해킹대회 등이 열린다. 이외에도 해커스럽게 머리 깍아주기, 은박지로 모자만들기, 각종 배지만들기 등등 누구나 참여할 수 있는 콘테스트도 빌리지와 이벤트 장소에서 다양하게 개최된다. 어려우면 주최측에 물어보고 다시 풀고 그러면서 배우고 즐긴다. 각 콘테스트 별로 1, 2, 3위에게는 각 주최측이 제작한 배지도 수여한다. 또 그 중 데프콘 주최측에서 선별해 채택된 콘테스트의 위너에게는 폐막식에서 영광의 블랙배지도 받게 된다. 블랙배지는 데프콘 CTF 우승팀에게 수여되는 것과 동일하며 다음 데프콘에 무료로 참가할 수 있다.

▲ 데프콘에서 매년 열리고 있는 열쇠따기 빌리지에서 참관객들이 로켓포와 연결된 키를 폭탄이 폭발하지 않게 따는데 성공하기 위해 노력중이다.
▲ 데프콘에서 매년 열리고 있는 열쇠따기 빌리지에서 참관객들이 로켓포와 연결된 키를 열고 폭탄이 폭발하지 않게 해체하기 위해 노력중이다.
▲ 무선해킹 빌리지에서 참가자들이 CTF를 진행하고 있다.
▲ 무선해킹 빌리지에서 참가자들이 CTF를 진행하고 있다.
올림픽에 많은 종목이 있다. 종목마다 두터운 선수층이 포진되어 있고 다양한 종목에서 입상을 하는 국가를 진정한 스포츠 강국이라고 말한다. 데프콘에서 CTF(Capture the Flag) 해킹대회는 수 많은 콘테스트 중 하나이며 스포츠로 치자면 마라톤 우승자 정도에 해당된다고 볼 수 있다. 물론 명예를 얻을 수 있는 대회이지만 마라톤에서만 우승했다고 해서 그 나라를 스포츠 강국이라고 하진않는다.

▲ 해커스럽게 머리도 깍아준다.
▲ 해커스럽게 머리도 깍아준다. 데프콘 이벤트.
즉 CTF(Capture the Flag) 해킹대회만 잘했다고 해서 그 나라를 IT 강국이나 보안강국이라고 볼 수 없다. 한국 CTF팀의 해커들이 데프콘과 각종 해외 해킹대회에서 선두권을 유지하고 명성도 가지고 있지만 세계 보안시장을 주도하는 국가는 미국, 이스라엘, 러시아, 유럽국가들이다. 한국은 보안시장에서 여전히 변방국가다. 해킹대회 우승자를 많이 배출했다고 해서 그 나라가 보안강국이 아닌 것이다.

저변을 넓히고 문화를 만들어가는 것이 중요하다. 과학기술정보통신부나 한국인터넷진흥원 등 관련 기관들은 해킹대회 상금을 늘리는데 신경을 쓸 것이 아니라 초등학생부터 여성이나 노인들에 이르기까지 해커들의 문화에 재미를 느끼고 참여할 수 있는 자리를 만드는데 집중해야 한다. 나무만 볼 것이 아니라 숲을 봐야 한다. 한국의 고질병인 순위와 성적에 목을 매는 형식의 해킹대회 위주로는 힘들다. 해커는 양성되어지는 것이 아니라 스스로 만들어지는 것이다. [DEF CON 26 / Caesars Palace and Flamingo Hotels in Las Vegas]

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록