지난달 24일과 25일 양일간 서울특별시 강남구 코엑스에서 개최된 CODEGATE 국제해킹방어대회 대학생부에서 우리 학교 동아리 GoN이 지난해에 이어 2년 연속 우승하는 쾌거를 거두었다. CODEGATE는 2008년부터 매년 개최되는 글로벌 해킹방어대회이자 보안 컨퍼런스로, 금년에는 임종인 고려대학교 교수를 비롯하여 신정훈 신기랩스 대표 등 본 대회 출신 화이트해커들이 참석하여 자리를 빛냈다. 특히 중고등학생을 대상으로 생성형 인공지능 ChatGPT의 보안 활용 사례를 교육하는 프로그램이 신설되고, 블록체인과 NFT 등 컴퓨터공학 연구의 선단을 체험할 수 있는 행사도 기획되어 보안 기술 전반의 대중화를 위한 다각도의 접근을 엿볼 수 있었다.
한편, 국제해킹방어대회는 전세계의 화이트해커를 대상으로 한 일반부뿐만 아니라 국내 학생들을 위한 대학생부와 주니어부 또한 개최되고 있다. 동아리 GoN이 참여한 대학생부의 경우 4인이 1팀이 되어 온라인 예선을 치르고, 분야별 상위권을 차지한 10개의 팀이 본선을 치르게 된다. 금년의 경우 1위, 2위, 3위팀이 각각 1,000만 원, 300만 원, 200만 원을 상금으로 수령하는 등 인재 양성을 위한 지원 또한 아끼지 않고 있다. 우리 학교의 경우 지난 대회에 우승한 바 있는 GoN(민승기, 박창완, 이승현, 허현) 팀과 더불어 돌솥낙지비빔밥(김진서) 팀이 장장 24시간에 걸친 예선을 통과하여 본선에 진출하였으며, 시스템 해킹, 리버스 엔지니어링, 웹 해킹, 암호학, 블록체인, 미분류 총 6개 분야의 문제를 24시간 동안 해결하였다.
이와 관련하여 본지에서는 GoN과의 인터뷰를 진행하였는데, 먼저 해킹방어대회의 진행 방식을 묻자 “작년과 동일하게 Jeopardy Capture The Flag(CTF) 형식으로 진행되었다”는 답변을 들을 수 있었다. CTF 방식은 일반적으로 출제자가 문제에 flag라고 불리는 임의의 정답 문자열을 숨겨두고 참가자가 이를 찾는 방식으로서, 서버의 취약점을 찾아 공격하거나 실행 파일을 분석하며 암호화된 데이터를 복호화하는 등 문제의 취지에 맞는 수많은 공격 방법을 시도하여 최대한 많은 문제의 flag를 찾아내야만 한다. 특히 GoN 측은 같은 문제를 다른 팀이 해결할 경우 문제의 배점이 감소하는 시스템이기 때문에 고난도 문제를 집중 공략하는 것이 주요한 승리 전략이라 강조했다.
나아가 2년 연속 대학생부 우승을 차지하기까지 특별한 훈련 방식이 있는지 묻는 질문에는 “단순히 CODEGATE라는 대회만을 준비하기 위해 특별한 훈련을 진행하지는 않는다”며, 다만 팀원 모두가 최신 보안 이슈에 관심을 가지고 틈틈이 정보를 습득하고 관련된 연구 및 직무를 수행하면서 지식을 습득해 왔던 것이 주요했다고 언급했다. 덧붙여, 많은 대회에 참가한 경험 역시 큰 도움이 되었다는 의견 또한 전했다. 일례로 올해 국가정보원이 주최하였던 사이버공격방어대회에 팀원 전원이 출전하여 종합 우승과 일반부 장려라는 준수한 실적을 거두는 등 대회가 있을 때마다 과감하게 도전하며 쌓아 올린 경험이 많은 도움이 되었다고 밝혔다.
GoN 소속 허현(전산학부 20) 학우는 대회 개최 전을 떠올리며 “시작 전에는 타 학교의 쟁쟁한 해킹팀들 사이에서 좋은 성적을 거둘 수 있을까 생각했다”며, 대회 종료 직전에 2등 팀과 2문제 차이 정도로 점수 차가 좁혀져 조마조마했던 기억을 회상했다. 그럼에도 끝까지 1위를 사수하여 작년에 이어 연속 우승을 거머쥘 수 있었던 원동력에 관해 허 학우는 24시간 대회 동안 밤을 새워가며 고생해준 팀원들의 공로를 언급하며 감사의 말을 전했다. 한편 아쉽게 수상권에 들지는 못했지만 GoN에서 1인 팀으로 출전하여 4등이라는 괄목할 성과를 거둔 김진서 학우에게 많은 격려를 당부하기도 했다.
GoN 측과의 인터뷰에 따르면 CTF 참여자의 다수가 기업이나 단체의 취약점을 찾는 업무를 수행하거나 소프트웨어의 버그를 찾아 제보해본 경험이 있으며, 그렇기에 대회에서 요구하는 능력과 산업 현장에서 요구하는 능력 사이에는 적잖은 연관이 있다. 예를 들어 상용 소프트웨어에서 취약점을 찾아내고 이를 발현하는 과정에서 대회를 위해 학습한 여러 보안 기법 우회 트릭들을 사용할 수 있으며, 반대로 아예 기존에 알려진 오픈소스 소프트웨어의 취약점을 발동하는 것을 대회의 문제로 출제하는 경우 또한 있다. 구체적인 취약점이나 사례를 공개하는 것은 민감한 사항인 관계로 추가적인 설명이 어렵지만, 이처럼 CTF 문제에서 특정 취약점이 존재할 때 정보를 탈취하기 위해 흔히 사용되는 기법을 웹사이트의 취약점 점검에서 사용하는 등 해킹방어대회에 필요한 지식은 현장에 즉시 적용가능한 수준이라는 것이 중론이다. 이와 관련하여 허 학우는 GoN 부원들은 밤을 지새운 해킹 대회와 시상식 일정으로 인해 컨퍼런스나 기타 부대행사에 참여하지 못했으나, 정부 기관과 보안 관련 회사 내에서 중요한 직책을 맡은 인원들이 내빈으로 행사에 참석한 만큼 보안 산업에 관심이 있는 사람들에게는 유익한 경험이 될 것이라며 참가를 권했다.
본지에서는 CODEGATE에서 우수한 실적을 거둔 멤버들이 다가오는 카포전에도 참여하지 않을까 하는 생각에 추가 질문을 던졌으나, GoN 측은 “카포전 해킹 경기의 경우 KAIST의 실력과 자존심을 보여주는 장이기도 하지만, 신입생들이 해킹 대회를 좀 더 재미있고 거부감 없게 경험해 볼 수 있는 하나의 기회이기도 하다”며 가능성을 일축했다. 또한 카포전 등 대회 출전 경험이 축적되어 금번과 같은 실적이 나올 수 있었음을 다시금 강조했다. 허 학우는 비록 신입생들이 많이 출전하게 된다 할지라도 GoN 신입생들의 실력이 상당하고, 또한 동아리 회장의 엄선된 평가 잣대를 거쳐 엔트리를 구성하였기 때문에 POSTECH이 쉽사리 승리하기 어려울 것이라는 자신감을 내비쳤다.
역량 개발과 관련하여 구체적으로, GoN은 내부 인원이 출제자가 되어 일주일간 CTF를 운영하는 퀄 평가를 통해 임원과 출제 인원을 제외한 6학기차 이하 부원들이 의무적으로 참가하여 일정 기준 이상을 성취하도록 함으로써 실력 향상을 도모하고 있다. 즉 동아리 활동 촉진과 해킹 실력 향상을 위해 주기적인 점검을 진행하고 있는 것이다. 또한 해킹 경력이 부족한 신입생을 대상으로 한 1년간의 교육이나, 기준 미달자를 위한 문제 해결 방안 제시 및 동기부여 등 인적자원 개발을 위한 다양한 장치도 마련되어 있다. 한편, 인터뷰 말미에 허 학우는 “학술적인 부분에 대해서만 말씀드려 혹시 동아리 분위기가 딱딱하지는 않을까 우려하시는 분들이 많을 것 같다”며 GoN도 동아리인 만큼 MT나 딸기파티, 홈커밍 행사 등 친목을 도모하기 위한 많은 활동을 진행하고 있으니 앞으로도 지속적인 관심을 가져줄 것을 당부했다.