세계 해킹 대회 최다 우승팀, The Duck이 말하는 DEF CON 31 ☠

보안/해킹을 공부하는 사람에게 꿈의 무대라 불리는 DEF CON! 세계 최대 해킹 대회, 해킹 올림픽, 해킹 슈퍼볼 등 수식하는 용어도 다양한데요. DEF CON은 무엇인지, 어떻게 진행되는지 함께 알아보고, 지난 8월 직접 다녀온 The Duck 멤버들과 AppSec Village에서 발표한 dohyeon의 후기까지 생생하게 확인해 보아요 🙌

DEF CON은 매년 미국 라스베이거스에서 열리는 세계 최대 규모의 보안 컨퍼런스예요. 전 세계의 해커들과 보안 전문가들이 모여 세계 최고 해커의 자리에 도전합니다.

그중 메인이벤트는 CTF(Capture The Flag, 해킹대회의 방식)예요. 대회는 온라인 예선 / 오프라인 본선으로 진행하고, 예선은 일반적인 CTF와 동일하게, 해킹 문제를 해결하는 방식이에요. 본선은 3일에 걸쳐 Attack&Defense(A&D), King of the Hill(KotH), Live CTF 총 세 종류를 진행하고, 총점을 합산하여 우승자를 선정합니다. 자세한 설명은 TheoriTV 영상을 확인해 주세요!

한국, 미국, 캐나다 연합팀으로 참가

티오리의 사내 CTF 동아리 The Duck은 작년에 이어 올해도 미국, 캐나다팀과 함께 DEF CON에 참여했어요. 티오리의 The Duck, 카네기 맬론 대학의 PPP, 브리티시컬럼비아 대학 Maple Bacon, 각 3개 팀의 이름을 종합해 MMM(Maple Mallard Magistrates)을 구성했고 무려 50여 명이 함께 했어요.

그리고 언제나 그렇듯, 우승은 MMM이 거머쥐었습니다! 😎

생생한 DEF CON 우승 후기, 들어볼까요? 💬

* bpak: 미국 라스베이거스에서 참여, DEF CON 최다 참가
* juno: 미국 라스베이거스에서 참여, DEF CON 4회 참가
* cdor1: 미국 라스베이거스에서 참여, DEF CON 5회 참가
* bincat: 한국에서 리모트로 참여, DEF CON 4회 참가
* Zer0Luck: 한국에서 리모트로 참여, DEF CON 첫 참가

건강한 신체에 건강한 점수가 깃든다

DEF CON을 위해 특별히 준비한 것이 있나요?

juno: 크고 작은 CTF에 자주 참여하다 보니 특별히 무언가 더 준비하지 않는 편이에요. DEF CON 본선은 오랜 시간 동안 이루어지고, 미국에서 진행하기 때문에 대회에 지장이 없도록 충분히 자고, 덜 자극적인 음식을 먹었어요. 평소에 열리는 국내외 CTF에 열심히 참여하고, 대회에 사용할 도구를 업데이트하며 준비했어요.

Zer0Luck: 입사 후 처음 The Duck 팀으로 참여한 CTF가 DEF CON 본선이라 더욱 긴장됐어요. 주변 팀원의 열정적인 모습과 노력에 보답할 수 있도록 최선을 다해 대회 룰을 숙지하고, 정해진 룰 안에서 어떤 역할을 하며 기여할 수 있을까 계획했어요.

cdor1: 충분히 자고 식중독과 같은 질병을 예방하기 위해 저자극 음식을 먹는 등 컨디션 관리를 했어요. 건강한 컨디션을 유지하면서 본선에 많이 출제되는 유형(포너블) tool을 재정비하고, 팀원과 효율적인 패치 방안에 대해 논의했어요.

bpak: 아무래도 다양한 배경과 경험을 가진 세 개 팀의 연합이어서 함께 합을 맞출 수 있도록 사전에 커뮤니케이션 채널을 열어 작은 대회를 함께 참여하는 등 연습했습니다. 작년과 같은 운영진이기 때문에 문제 스타일을 복습하고 공격 및 방어 자동화 도구를 미리 준비하기도 했어요.

시차와의 싸움

한국과 시차가 있어 힘들진 않았나요?

cdor1: 시차 적응을 위해 조금 일찍 미국을 도착했지만 결국 적응하지 못했어요. 오전 9시 기상 > 오후 6시 취침 > 오후 8시 기상 > 오전 6시 취침의 패턴으로, 한국 미국도 아닌 그 어딘가의 시차로 참여해 조금 힘들었습니다 😴

bpak: DEF CON 대회 2주 전에 먼저 미국으로 와서 업무하고 있어서 시차 적응은 크게 어렵지 않았어요. 한국에서 오는 팀원들도 미리 도착해 적응할 수 있도록 했습니다. 한국에서 원격으로 참여하는 분도 계셨는데, 아무래도 한국은 늦은 밤-새벽에 진행하다 보니 많이 고생하셨어요.

bincat: 대회가 미국 시간으로 진행되다 보니 한국에선 새벽 2시에 시작해 오전 10시에 끝나기를 반복했어요. 낮에 잠들고 저녁에 일어나 8시간을 불태우면 되지만, 하루 대회가 끝난 이후에도 다음날을 준비해야 해서 편히 쉴 수 없었어요. 하지만 24시간을 쉬지 않고 진행하는 DEF CON예선을 비롯한 다른 대회보단 잘 시간이 보장되어 편했습니다.

무엇이든 뚫는 창, 모든 걸 막는 방패

DEF CON에 참여하며 아쉬웠던 점이 있나요?

Zer0Luck: A&D 형식에선 다른 팀의 공격을 잘 방어하고 더 많이 공격해야 하는데요, 문제를 해결하며 다양한 방안의 취약점을 식별하지만 디펜스를 빠르고 능숙하게 처리하지 못할 땐 아쉬웠어요.

juno: 밤새 준비해 온 공격 코드가 다른 팀의 패치로 모두 동작하지 않거나 인프라(환경) 문제로 정상 작동하지 않을 때 마음고생이 심했어요. A&D 형식의 대회를 진행할 때 보통 일어나는 일이지만, 한 문제 차이로 등수가 나뉠 수 있으니 더 잘 방어하고 잘 공격해야겠다고 생각했어요.

bpak: 훌륭한 팀원들이 오랜만에 각지에서 한곳으로 모인 김에 더 긴 시간을 함께 보냈으면 좋았을 텐데, 아무래도 다들 생업이 있다 보니 대회 직후 금방 헤어져야 하는 게 아쉬웠습니다.

The One and Only, The Duck

역대 최다 우승이라는 타이틀이 부담스럽진 않았나요?

juno: 잘 해야 한다는 부담이 있는 것도 사실이지만, 그렇기에 항상 잘할 수 있도록 더 열심히 하는 것 같아요. 앞으로도 압도적인 차이를 만들기 위해 노력할 겁니다! 🔥

cdor1: 저희와 연합으로 참여한 PPP도 대회에서 많은 우승을 차지했지만 아쉽게도 우승하지 못한 해가 몇 번 있었다고 해요. 하지만 좌절하지 않고 다음 대회를 착실히 준비해서 우승하는 모습을 여러 번 보여주셨어요. 저희도 언제든 다시 일어설 수 있는 열정만 있다면 문제없을 것 같습니다!

bpak: 사실 역대 최다 우승 타이틀(7회)은 앞으로도 깨지기 어렵지 않을까 조심스레 생각해요 (웃음) 가끔은 몇몇 다른 팀이 저희를 “레이드 보스(게임 속 쓰러뜨리기 어려운 상대)”라고 칭하곤 하는데, 부담스러운 부분도 있지만 오히려 동기부여로 활용해 더 열심히 준비하고 즐기고 있어요. 좋은 결과도 중요하지만, 그 과정에서 얻는 배움과 사람이 무엇보다 값진 것 같습니다.

이번 DEF CON을 통해 배운 점이 있나요?

juno: 좋은 기술을 가진 것도 중요하지만, 그것을 어떻게 manage하는 지가 더 중요하다는 걸 느꼈어요. 누가 어떤 문제를 해결할지, 각자의 강점에 맞춰 분배하는 bpak 대표님이 너무 대단했고, 서로 취약점을 패치할 때 명확하게 전달해야 제대로 할 수 있어서, 소통의 과정을 다시 한번 되새기기도 했어요.

codr1: 월드 클래스 실력을 가진 멤버들이 실력을 제대로 발휘할 수 있도록 체계적인 운영 시스템의 중요성을 느꼈어요. 그리고 CTF에 참여할 때마다 함께하는 팀원에게 많이 배우지만, 올해는 취약점 분석뿐 아니라 패치 트릭, 통신 암호화 등 공방전에서의 기술을 많이 배울 수 있었어요.

bpak: 50여 명의 매우 똑똑한 사람들을 이끌고 관리하다 보니 경영/관리자 능력이 향상되었어요 (웃음) 그리고 새로 배운 것은 아니지만, 요즘 회사 업무로 인해 직접 해킹할 시간이 많이 줄었는데, 오랜만에 즐겁게 코드 분석하고 취약점을 찾았던 것 같습니다 :)

DEF CON CTF 2연승 🎉

늦었지만 우승 소감을 다시 말씀해 주세요!

bincat: 우승하는 순간 역시 최고의 팀과 함께하고 있다는 게 느껴져 기뻤어요. 동시에 분발해야겠다는 자극도 많이 받았어요. 빛나는 팀원과 제갈량 못지않은 대표님 덕에 우승할 수 있었다고 생각해요. 시차를 제외하면 한국에서 리모트로 참여해도 전혀 문제가 없었던 만큼 내년에는 더 많은 사람들과 회사에서 함께하면 좋을 것 같아요.

cdor1: 너무 행복해요ㅎㅎ 그리고 모두 고생하셨어요. The Duck 멤버들 모두 모국어가 아닌 언어로 소통하고 밤새우며 대회에 참여해서 수고 많으셨습니다!

Zer0Luck: 처음 참여한 만큼 긴장과 설렘의 연속이었는데요. 다양한 경험을 가진 사람들과 함께하며 제가 부족한 점을 느끼고 더욱 발전할 수 있는 열정을 가질 수 있었어요. 이번 DEF CON의 기회와 앞으로의 경험을 통해 계속 업그레이드하며 사이버 안전에 기여하는 사람이 되고 싶어요.

juno: 우승해서 너무 기쁩니다! 이렇게 좋은 사람들과 함께 문제를 풀며 이야기할 수 있는 경험이 있다는 건 어떤 것과 비교해도 값진 경험이라고 생각해요. 서로의 해결 방식을 보고 논의하며 제가 부족한 것, 더 발전할 영역을 항상 느껴요. 이런 경험을 느낄 수 있는 Theori에서, 함께 세상을 바꾸는데 기여하는 인원이 늘어났으면 좋겠습니다.

bpak: 훌륭한 팀원들과 다시 한번 좋은 성과를 낼 수 있어서 너무 기쁘고 영광입니다. 혼자만으론 어려운 일을 팀과 함께 해결하는 과정이 정말 즐겁고 보람차요. 대회뿐 아니라 우리가 앞으로 해결해 나가야 할 일도 합심하여 차근히 정진하면 좋겠습니다. 또한, 작년에 이어 올해에도 아낌없이 지원해 주신 KITRI BoB(차세대 보안리더 양성 프로그램)에 감사의 말씀을 드립니다.

10일간의 고된 여정을 무사히 마치고 돌아온 The Duck 멤버들 모두 고생하셨습니다! 👏

그럼 이제 AppSecVillage에서 발표한 dohyeon의 후기를 들어볼까요?

DEF CON은 티오리가 우승한 CTF 말고 다른 세션이 많은데요, 그중 어플리케이션 보안(Application Security)을 주제로 서로의 인사이트를 공유하는 AppSecVillage가 있어요. Xint 팀 리드를 맡고 있는 dohyeon이 이곳에서 발표를 하게 되었습니다.

dohyeon: 이번 DEF CON에선 “Securing the Front Lines”을 주제로, Web Front-End(프론트엔드: 사용자가 볼 수 있는 화면)에서 발생할 수 있는 보안 위협에 대해 공유했어요. 티오리가 공격자 관점으로 보안 컨설팅을 진행하며 실제로 Web Front-End에서 많은 문제가 발생하는 것을 확인했는데요. Front-End를 타겟으로 한 공격 중에서도 시스템에 중대한 손해를 끼칠 수 있는 취약점과 그에 대한 Mitigation 방안을 중심으로 발표했습니다.

발표를 하며 가장 인상 깊었던 점이 있나요?

dohyeon: 발표자와 청중의 인터랙션이 활발했던 게 인상 깊었어요. 발표 도중에도 질문/답변이 자연스럽게 오가는데, 아마 다들 집중해서 본인의 경험을 떠올리며 듣고 있었기 때문에 가능한 것 같아요. 한국에서도 이런 문화가 좀 더 자연스러워지면 좋을 것 같다는 생각이 들었습니다.

또 하나는 발표로 인한 Small Talk이 정말 많았던 점이에요.
DEF CON 은 워낙 큰 행사인 만큼 여러 호텔을 빌려 진행하는데요, 발표를 마치고 메인 컨퍼런스가 진행되는 로비를 돌아다니다 (감사하게도) 절 알아보시고 말을 거는 분들이 꽤 많았어요! 어디서 왔는지, 어디서 일하는지, 본인은 어떤 커리어를 쌓아왔는지, 요즘은 어떤 주제에 가장 관심이 많은지 등 짧은 시간에 밀도 있는 대화를 나눌 수 있어 흥미로웠습니다.

미국 대학생분들도 많이 오셨더라고요. 학부생 때부터 DEF CON에 자연스럽게 왕래하며 세계 각국의 저명한 해커들의 인사이트를 흡수하다 보면 본인도 금방 그렇게 될 거라고 말해 드린 게 기억에 남아요. 부러웠습니다.

가장 큰 해커 컨퍼런스 DEF CON에서의 발표, 어떠셨나요?

dohyeon: 저희가 발견한 취약점의 임팩트와 기술적 참신함으로 보면 충분히 Main talk으로 갈 수 있었는데 Village에만 지원한 게 아쉽기도 했어요. 다음엔 충분히 Main Talk 발표를 노려도 좋을 것 같아요.

저희 팀원, 특히 wooeong의 경험과 인사이트를 더 깊이 알게 되고, 다른 세션 발표자와 교류하며 배운 점이 많았어요. 이런 큰 컨퍼런스에서도 하고 싶은 얘기가 많지만 차마 공개하지 못한 내용도 많은데요. 저희 팀이 준비하고 있는 B2B SaaS Xint의 고객사가 되시면 궁금하신 부분에 대해 프라이빗 발표도 자주 하니 많은 관심 부탁드립니다 😏

dohyeon: 세계의 벽이 생각했던 것처럼 높지는 않았어요. DEF CON이라는 명성에 주눅 들지 말고, 자신 있게 본인이 연구한 주제로 CFP(Call for Papers: 발표 참여 신청서)를 적극적으로 넣으면 좋겠어요. 물론 기술적 성취가 있어야 하고 언어의 장벽을 극복할 수 있어야 기회가 주어지지만요(웃음) 이번 경험을 통해 한국, 그리고 Theori의 해커들이 글로벌 무대에서도 충분히 경쟁력 있다는 걸 다시 한번 느꼈습니다.

여섯 분의 후기를 들으니 마치 DEF CON에 함께 다녀온 것 같은 기분인데요. 티오리는 DEF CON뿐 아니라 다양한 컨퍼런스에서 지식을 나누고, 실력을 입증하며 글로벌 최고 보안 회사의 입지를 다지고 있습니다. 다른 곳에서도 티오리를 보신다면 응원 부탁드려요 😉

DEFCON31 후기를 재밌게 읽으셨다면, 지난 DEF CON 30 현장을 실감 나게 담아온 TheoriTV 영상도 함께 보세요!

👉 (click!) 세계 최고의 해커만 모인다는 DEFCON, 해커가 직접 알려드립니다.
👉 (click!) “최정상”에 도전하는 해커들 || 세계 최대 해킹 대회 DEFCON, 티오리, 참전!
👉 (click!) [Theori VLOG] 라스베가스를 찾아간 해커들! ✈ 베가스에선 뭐해요?

난제급 사이버 보안 문제를 해결하며 더욱 안전한 세상을 만들어가는,
티오리는 지금 인재 영입 중입니다 😎

We are hiring! 🔗 theori.io