데프콘과 같은 유명 보안컨퍼런스의 묘미 중 하나는 일명 '깃발뺏기(Capture The Flag, CTF)'로 불리는 해킹방어대회다. 실력 있는 해커들끼리 팀을 짠 뒤 자신들에게 주어진 가상서버가 공격 당하지 않도록 방어하면서 다른 팀을 공격해 점수를 얻는 방식으로 최고득점팀을 가리는 일종의 서바이벌 게임이다. 사이버전과 같이 국가 단위로 이뤄지는 해킹 공격이나 실시간 대응능력을 키우기 위해서는 실전을 방불케하는 공격과 수비가 이뤄지는 이런 대회가 유용한 것이 사실이다.
그러나 일반 기업이나 공공기관 등에서는 자신들이 몸 담고 있는 조직에서 발생할 수 있는 위협에 얼마나 빠르게 잘 대응할 수 있는가가 중요하다. 해커들의 실력 자체를 평가하기 보다는 자사 제품이나 서비스에서 알려지지 않은 취약점에 대응하는 것이 우선이기 때문이다.해외의 경우 HP 제로데이이니셔티브(ZDI)가 공식후원하는 '캔섹웨스트 보안 컨퍼런스'에서 진행하는 '폰투오운(Pwn2Own)'이 대표적인 버그잡기 대회로 꼽힌다.
캐나다 토론토에서 개최되는 폰투오운은 윈도, 안드로이드, iOS 운영체제, 인터넷익스플로러, 크롬, 파이어폭스 등 주요 웹브라우저, 플래시, 자바 등 서드파티애플리케이션과 함께 주요 노트북, 스마트기기 등에서 발견한 제로데이 취약점이 발표된다. 이 중 심각한 영향을 줄 수 있는 취약점에 대해서는 발표자에게 상금을 수여하는 한편, 해당 내용을 주최측에 알린다. 발표에서는 실제 가능여부에 대해서만 확인시켜줄 뿐 구체적인 공격방법까지 공개되지는 않는다.
이런 가운데 국내에서도 폰투오운 스타일의 해킹방어대회가 열릴 예정이어서 주목된다. 보안실무자, 해커들이 주축이 된 보안컨퍼런스 '시큐인사이드2015'가 오는 7월16일~7월17일까지 이틀 간 고려대 인촌기념관에서 개최된다. 이 컨퍼런스에서는 CTF 대신 '버그잡기(Capture The Bugs, CTB)' 대회를 연다고 주최측은 밝혔다.
여전히 취약점에 대해 먼저 발견해 알려주면 '고맙다'는 말보다는 '왜 그런 것을 찾아내서 피곤하게 하느냐'는 반응이 대부분인 국내 현실에서 이번 행사는 '버그바운티(취약점포상제)' 문화를 활성화할 수 있는 계기가 될 수 있을 것으로 기대된다.
시큐인사이드 운영진인 고려대 정보보호대학원 김승주 교수는 "앞으로는 웹브라우저, 스마트TV 등 전문분야별로 필요한 보안인력이 다양해질 것"이라며 "시큐인사이드에서도 한국판 폰투오운을 운영한다는 계획"이라고 밝혔다.
아직 대응방안이 마련되지 않은 보안취약점을 두고 대회를 연다는 것에 대해 관련 기업들 입장에서 우려섞인 목소리가 나올 법하다. 이와 관련 김 교수는 "CTB 참가자들, 심사위원들만 비공개된 곳에서 버그가 실제 작동하는지, 얼마나 심각한 것인지 여부를 검증하며, 심사를 거친 내용에 대해서도 어떤 기기에 관한 것이고, 누가 얼마나 상금을 탓는지 정도만 공개할 계획"이라고 밝혔다.
관련기사
- 세계보안대회서 2억원대 상금 탄 韓人 화제2015.05.26
- 확 바뀐 KISA 해킹방어대회…참가자 '장사진'2015.05.26
- 韓연구원, 최신 iOS 해킹하고 상금 '대박'2015.05.26
- 美엔 있고 韓엔 없다? '보안취약점 포상'2015.05.26
현재 CTB의 대표 후원기관은 한국인터넷진흥원(KISA)이다. 심사를 거쳐 선정된 버그에 대해서는 KISA가 해당 업체에 공개할지 여부에 대한 권한을 갖게 된다.
데프콘 등에서 CTF 입상경력이 있는 박찬암 스틸리언 대표는 "보안 분야가 넓은 만큼 너무 한쪽에만 치중하지 않고, 여러가지 대회가 나왔으면 한다"고 말했다.
