확 바뀐 KISA 해킹방어대회…참가자 '장사진'

한국인터넷진흥원(KISA)이 주최하는 해킹방어 대회가 실제 기업 보안 담당자들이 보다 적극적으로 참여할 수 있는 방어 중심 대회로 바뀌었다.

이전까지는 얼마나 많은 모의해킹에 성공했는지에 방점을 맞췄다면 올해부터는 누가 더 빠르고 정확하게 공격을 방어할 수 있는 방법을 찾아내느냐가 관건이다.

기존 데프콘, 블랙햇 등 글로벌 해킹컨퍼런스에서는 참가자들의 공격, 방어기술을 경연하는 방법으로 '깃발뺏기(Capture The Flag, CTF)' 형식으로 대회를 진행해 왔다. 각 참가팀들마다 한 대의 서버가 주어지고, 참가팀들의 서버에 대한 공격, 자기팀 서버에 대한 방어 등을 펼쳐 최종적으로 가장 많은 서버 권한을 탈취한 쪽이 우승하는 식이었다.

그러나 이러한 방식은 참가자들의 해킹실력을 위주로 평가됐다는 점에서 기존 현업에서 보안을 담당하는 실무자들이 직접 참여하기에는 어려움이 컸다.

18일 서울 역삼동 소재 모처에서 열린 제11회 해킹방어대회 미디어데이에서 KISA는 올해 11회 대회부터는 순차적인 문제풀이와 함께 실제 침해사고 상황이 일어난 시스템에서 얼마나 빠르게 문제를 파악해 방어에 성공하는가를 두고 평가를 진행한다는 방침을 밝혔다.

이 때문에 올해 대회에서는 일반 참가자들 수가 눈에 띄게 늘었다. KISA 침해사고대응팀 이동근 팀장에 따르면 지난해 일반 참가자들은 332명이었으나 올해에는 594명이 참가했다.

이 팀장은 과거 대회 콘텐츠가 방어보다는 공격에 비중을 둬 실무와는 거리가 있었다며 1개월~2개월 간 검토 작업을 거쳐 실전 시뮬레이션을 도입했다고 설명했다.

예선에서는 홈페이지, 악성코드, 네트워크, 사고흔적과 관련된 분야에서 득점한 88개팀을 선발해 2차 예선에서 온라인 실시간 사고대응 및 분석을 통해 10개팀이 선발됐다. 이들은 오는 12월4일 서울 논현동 소재 파티오나인에서 본선을 치르게 된다.

문제 출제를 맡은 보안회사 플레인비트 김진국 대표는 국내외 보안 관련 대회들이 공격에 비중을 두는 경우가 대부분이라며 공격 못지 않게 방어의 역할이 중요한 만큼 국내 정보보호 시장에서 방어를 맡고 있는 종사자들이 참여를 이끌어 내자는 취지로 문제를 출제했다고 밝혔다.

본선에서는 가상 시뮬레이션 사고 대응이 이뤄진다. 예를 들어 분산서비스거부(DDoS) 공격을 수행하는 좀비PC에 대한 대응에서부터 일반 기업 시스템 관리자가 지능형지속가능위협(APT) 공격이 훑고 지나간 시스템에 대해 공격 원인 분석, 대응 등을 얼마나 빠르고 정확하게 측정할 수 있는지를 점수로 매긴다.

김 대표에 따르면 팀 마다 1천점이 자산점수로 주어지며, 15분마다 필요한 방어 대응을 하지 못할 경우 감점이 되는 식으로 진행된다.

가상 시뮬레이션을 위해 필요한 가상시스템 구축에는 마이크로소프트, 시만텍, 씨디네트웍스의 지원을 받았다.

본선 참가팀 중 '쩔친사원'은 삼성SDS에서 보안업무를 담당하고 있는 담당자들로 꾸려졌다. 쩔친사원 한현희 팀장은 친한 사원들끼리 기술적으로 교류를 하다가 자발적으로 팀을 구성해 나오게 됐다며 실제로 기업보안에 필요한 사후조치, 분석 뿐만 아니라 비즈니스 가용성을 유지하는 부분에 대해서도 점수를 부여한 것이 현실을 반영한 것 같다고 예선 참여 소감을 밝혔다.

지난해 대상을 수상했던 라온시큐어 보안기술연구소 소속 연구원 4명으로 구성된 '동결얼화얼창얼창'의 이종호 팀장은 방어 관점에서 대회를 운영하는 일이 어려운 점들이 많은데 실제로 도입된 것은 올해 대회가 처음이라고 말했다.

지난해 금상 수상팀인 '코드레드'의 강인욱 팀장은 방어적인 문제가 많아 예선에서 당황하기는 했었는데 이전에도 여러 해킹방어대회에 참가하면서 공격 문제만 나오는게 나오는게 말이 될까 하는 얘기도 여러번 했었다고 설명했다.