Interview
아! 기다리고 기다리던 박세준님 인터뷰 ③
2017 05 22
  • Facebook
  • Twitter
  • Copy URL

2부에 이어 마지막 3부로 바로 넘어가보겠다. 저번에 이어 오늘도 이벤트를 통해 받은 질문을 드려봤다. 내가 했던 질문들이 어디에 있는지 잘 살펴봐보자. 혹여, 본인이 했던 질문이 없더라도 아쉬워하지 않길 바란다. 만약 질문이  없다면 그건 이전에 있었던 질문과 중복되거나 적절치 못한 질문으로 생각되어 분류된 것이니 참고하길 바란다.

 

이미지를 불러오는데 실패했습니다.

이미지를 불러오는데 실패했습니다.

Q. CTF(Capture The Flag) 메이저급, 초보자급 대회 각각 세 개씩 말해달라.

이미지를 불러오는데 실패했습니다.

초보자 같은 경우에는 고등학교나 대학교에서 주최하는게 입문하기 좋다. 자기가 대학생 혹은 실무자라고 해서 해당 대회들에 참가하는 것을 창피해 할 필요 없다. 중요한 것은 어려운 것 부터 시작해서 빠르게 포기하는 것보다 자신의 실력에 맞춰서 조금씩 단계별로 늘려나가는 것이다. 한 예제로는 중고등학생을 대상으로한 picoCTF 라는 PPP에서 운영하는 대회가 있다. PPP가 메인으로 주최하고 운영하는 난이도 높은 대회로는 Plaid CTF가 있다. 또한, 최근 데프콘 예선전에서도 입문자용 카테고리를 만들어 모두가 문제 푸는 재미를 느낄 수 있도록 하는 것을 시도하고 있다. 쉬운 문제들만 풀어서는 결승 진출은 어렵겠지만 큰 대회임에도 불구하고 입문자도 해볼 수 있는 기회인 것이다. 게다가 요즘은 잘하는 팀들이 자기 브랜드(?)를 걸고 대회를 운영하기 시작했다. 입문으로 좋은 대회를 하나 더 소개하자면 보스턴대학교 팀에서 운영하는 보스턴 키파티 (boston key party)도 있다.

메이저 급 CTF는 데프콘, 우리가 운영하는 PCTF, 코드게이트, 시큐인사이드 정도인것 같다. 근데 코드게이트나 시큐인사이드는 운영진이 자주 바뀌어서 문제 난이도라던가 다양성 등이 년도에 따라 크게 바뀌는 경향이 있어 호불호가 갈린다.

방금 했던 이야기에 조금 더하자면, 같은 운영진을 두고 주최되는 대회들이 입문으로 써먹기 좋은 점은 같은 팀이 계속 운영하기 때문에 대회의 색깔이 매년 비슷해서 크게 차이가 안 난다는 점이다. 예를 들어 PCTF 같은 경우에는 시스템 위주로 나오고 웹은 되게 적다. 그래서 자신이 더 연습하고 싶은 문제 위주로 나오는 대회를 찾아서 즐기는것도 한가지 방법이라고 할 수 있다.

이미지를 불러오는데 실패했습니다.

Q. 국내 CTF가 어느정도로 유명한가

이미지를 불러오는데 실패했습니다.

한국에 열리는 CTF는 종류도 많고 난이도도 다양하기 때문에 유명한 편이다. 특히 높은 상금으로 유명하기도 하다.

이미지를 불러오는데 실패했습니다.

Q. 국내가 CTF가 시스템적으로 봤을 때 잘 되어 있는가.

이미지를 불러오는데 실패했습니다.

국내 CTF는 체계적으로 잘 운영된다고 생각한다. 데프콘이 가장 유명하고 큰 의미가 있긴 하지만 데프콘이나 다른 해외 CTF들도 국내 대회들을 보고 벤치마킹을 많이 한다. 특히 코드게이트에서 팀들을 초청하면 경비 지원을 비롯한 각 팀에게 간식거리와 숙소를 제공했었는데, 이는 해외 해커들에게는 꽤나 큰 충격으로 다가왔고 실제로 다른 대회들에게 큰 영향을 끼쳤다. 데프콘을 예를 들면 한 5~6년 전만 해도 아무런 지원이 없었지만 최근에는 팀 당 호텔 두 개씩을 주고 개인적으로 따로 샀어야 했던 참가자 뱃지 8개도 지원해주는 형식으로 변했다. 예전에는 전혀 존재하지 않았던 혜택들인데, 해외 해커들이 한국에 와서 코드게이트나 시큐인사이드를 하면서 ‘아 해커들이 대우를 받을 수 있구나’를 느낀 거다. 그리고 플레이어들이 데프콘 운영진에게 한국에서 하는 대회들은 경비까지 다 지원을 해주는데 그 정도까진 아닐지언정 뱃지와 숙소 정도는 지원해줘야 되는거 아니냐 라고 몇 년을 얘기했고 받아들여졌다. 그런면에서 봤을 때 최근 국내 대회들은 아쉽게도 경비지원을 없애는 등의 역행을 하고 있는데, 아무래도 스폰서 회사들을 찾는데 어려움이 있어서가 아닐까 생각해본다.

이미지를 불러오는데 실패했습니다.

Q. PPP가 생각하는 한국 해커 이미지는 어떤가. PPP분들이 한국을 있는 어느 해킹팀을 알고 어떻게 생각하는지 알고 싶다.

이미지를 불러오는데 실패했습니다.

PPP에서도 한국 해커들을 많이 알고 있다. 요즘에는 안 하고 있지만 예전에 내가 학교에 있을때는 스포츠에서 코치진이 다른 팀들에 대해서 로스터를 비롯해서 무엇을 잘하고 못하고 하는지 등을 다 분석하듯이 팀별로 프로파일링을 했었다. 한국팀은 당연하고 다른 나라 팀들에 대해서도 정보를 모았는데, 팀들이 자주 바뀌고 합쳐지고 하다보니 큰 의미가 없어져서 그만뒀다. 그 당시 생각나는 국내 팀들하면 카이스트 곤이라든가 사이코, 플러스, 핵캣, 아르고스, 레이어세븐 등 항상 같은 이름으로 나오는 팀들이다. 보통 대학교 동아리들이 오래 가는것 같다. 보통 상위 15위 안으로 들어오는 팀들에 대해서는 스토킹을 하는 편이다. ㅋㅋㅋ

이미지를 불러오는데 실패했습니다.

Q. 고려대 사이코에 대해서는 어떻게 생각하는가.

이미지를 불러오는데 실패했습니다.

사이코 같은 경우에는 최근 몇 년 동안 급부상한 케이스다. 처음 등장했을 때는 큰 위협이 안 된다고 생각했는데 그 친구들이 정말 열심히 하면서 어느새 무시무시하게 성장했다. 데프콘에서 다같이 얘기할 기회가 있었는데, 이야기하면서 느낀 것은 다들 열심히 하는 친구들이고 우리와 마찬가지로 대회에서 좋은 성적을 거두고 싶어하는 열의 넘치는 동료들이라는 점이었다. 다만 우리팀과 데프코어 사이에 심할정도로 경쟁구도 프레임을 만드는 미디어에 대해서는 두 팀 모두 반감을 가지고 있었다. 여튼간에, 지금까지도 계속 잘해오는 에이스 팀 중 하나이고 앞으로도 신나게 같이 대회했으면 좋겠다.

이미지를 불러오는데 실패했습니다.

Q. 다들 만나면 농담도 하고 얘기도 잘 하는데 미디어에서는 이런 것을 피 튀기는 싸움처럼 묘사한다?

이미지를 불러오는데 실패했습니다.

그렇다. 언론매체에서 보통 그렇게 조명을 많이 한다. 경쟁을 하는 대회니까 어쩔 수 없는 건 알지만, 참가자들끼리 감정 상할 일을 만들 필요는 없다고 본다. 심지어, 같이 연합으로 참여한 적도 있다. PPP와 DEFKOR 멤버 연합으로 중국에서 하는 벨루미나라는 대회를 참여했었다. 가끔씩 이런식으로 콜라보를 하는것도 재밌는것 같다.

이미지를 불러오는데 실패했습니다.

Q. 그런 식으로 다른 팀과 연합해서 대회에 참여하면 어떤 느낌인가

이미지를 불러오는데 실패했습니다.

되게 신기하다. 대회 중에는 다른 팀이 뭘 하고 어떻게 문제를 푸는지, 어떤 식으로 서로 대화를 하는지 전혀 알 수가 없다. 근데 같은 팀으로 하면 플레이스타일에 대해서 새로운 면을 발견하게 된다. 아 “이 친구는 이렇게 작업하고, 다른 친구는 이렇게 대화를 하는구나” 그런 부분에서 되게 신기했고 참신했다. 왠지 이런 걸 자주 하면 대회뿐만 아니라 연구를 해도 시너지 효과가 나서 더 재미있는 것이 나올 수 있겠다고 생각했다.

예를 들어, 최근 PPP에 있는 네드라는 친구가 유럽 쪽에 있는 다른 CTF팀들 멤버들과 모여서 Nintendo 3DS와 Switch 해킹 연구를 같이 했다. 이에 대한 발표도 몇 번 같이 했고 좋은 결과를 많이 냈다.

이미지를 불러오는데 실패했습니다.

Q. 아, 그 얘기 들었었다. 이번에 닌텐도에서 신제품이 나왔는데 이걸 아이폰 탈옥과 같은 방법으로 해킹을 했다고

이미지를 불러오는데 실패했습니다.

방금 말한 그 친구도 그 팀에 소속되어 있다. 지금 닌텐도 스위치 해킹팀을 보면 CTF에 나오던 다른 팀에 소속해 있던 애들이 많이 뭉친 느낌이다. 그런 식으로 한국친구들도 대회뿐만 아니라 실제로 만나 팀을 합쳐 연구하고 그러면 재미있을 것 같다. 사실 그것의 일환으로 시작한 것이 티오리 코리아다. 한국에서 잘하는 친구들과 어떻게 콜라보를 할 수 있을까란 생각이 좀 깔려있었다.

이미지를 불러오는데 실패했습니다.

Q. 만약에 창업이 아니라 취업을 했다면 어떤 회사에 가서 무슨 일을 하고 있을 것 같은가. 하고 싶은 일이 있는가

이미지를 불러오는데 실패했습니다.

아마 창업을 안하고 취업을 했었다면 구글이나 마이크로소프트 중에 하나를 갔을 것 같다.

이미지를 불러오는데 실패했습니다.

Q. 가서 무슨 일을 했을 것 같은가

이미지를 불러오는데 실패했습니다.

그건 상황에 따라 달랐을 것 같다. 지금 생각해보면 웃긴 것이 하나있다. PPP에서 애플, 구글, 페이스북과 같이 대기업을 간 친구들이 많은데, 대부분 대회는 여전히 잘 참여하지만 더이상 회사 내에서 보안을 하고 있지 않다는 것이다. 리키라는 친구도 크롬 보안 팀에 있다가 얼마 전에 보안팀을 나갔다. 그래서 나도 비슷한 루트를 타지 않았을까 싶다. 그런 회사들에서 일하는것 중 좋은 점은 참여할 수 있는 프로젝트들이 정말 다양하다는 거다. 더욱이, 우리는 컴퓨터 과학을 전공했기 때문에 딱히 보안이 아니어도 개발자로 먹고 사는데에는 지장이 없다. 단지 보안을 다른 컴퓨터 분야에 비해 다른 사람들보다 조금 더 잘할 뿐이지 다른 필드에 아예 관심이 없었던 것은 아니다. 전반적으로 컴퓨터 필드의 난제들을 고민하고 해결하는 것을 즐겨한다.

이미지를 불러오는데 실패했습니다.

Q. 컴퓨터 난제라고 하면 무엇이 있겠는가

이미지를 불러오는데 실패했습니다.

예를 들어서 뭐 리키 같은 경우에는 처음 보안 팀에 들어가기 전 구글에 있을 때는 검색팀에 있었다. 검색엔진. 보안이랑은 크게 상관없다. 하지만 수 억명이 사용하는 검색을 어떻게 더 최적화하고 더 좋게 만들 수 있는지를 연구를 하다가 지금은 분산 데이터베이스 시스템에 가있다. 여러 친구들이 정말 다양한 분야에 가 있는데 보통 그렇게 쉽게 다양한 분야를 옮겨서 다닐 수 있는 곳이 대기업들이다. 또 그런 곳에서 보안을 하더라도 워낙 프로젝트가 많고 다양하다 보니까 여러 가지의 보안을 경험해 볼 수 있다. 예를 들어, 임베디드 보안부터 크롬의 브라우저 보안, 운영체제 보안 등 거의 다 볼 수 있으니 재미있는 것도 많았을 것 같다.

이미지를 불러오는데 실패했습니다.

Q. 30대 초반에 해킹공부를 시작하는 거에 대해서 어떻게 생각하는가.

이미지를 불러오는데 실패했습니다.

사실 어떤 공부를 하든, 어떤 분야를 개척하든 간에 나이는 크게 중요하지 않다고 생각한다. 다만 30대 초반이라면 자기가 하고 싶은 걸 다 하면서 여유롭게 지낼 순 없을 것 같다. 딱 목표를 정하고 계획을 잘 짜서 실행에 옮기는데 성공을 하면 좋은 결과가 나오겠지만.. 어설프게 계획을 짜고 진행하면 시간만 낭비하는 케이스가 될 수 있다. 만약 스무살에 시작한다면 조금 어설프게 해도 성공적이었던 아니던 간에 다 경험으로 쌓이고 득이 된다. 하지만 서른 이후부터는 하는 일이 실패를 하게 되면 인생에 적지 않은 악영향을 미칠 수 있어서 조심해야한다. 그래서 보안공부를 30대에 시작하시겠다면 못할 건 없지만 정말 심각한 각오를 가지고 하셔야 할 듯 싶다.

그리고 너무 욕심을 크게 갖지 않는 것이 중요하다. 보안뿐만 아니라 뭘 하더라도 욕심을 너무 크게 가지면 실망 또한 커지기 때문이다. 쉽게 생각해서, 자신은 100을 원하는데 “나는 왜 20밖에 못하지. 이 길이 내 길이 아닌가”라고 생각하게 되어 중도 포기하게 되면 지금까지 했던 것이 물거품이 되버리는 것이다. 시간낭비, 돈 낭비, 체력낭비 등을 최소화하기 위해서는 골을 좀 작게 잡아야 할 필요성이 있다. “내가 오십까지만 가겠다 그것만으로도 감사다”라는 마인드라면 20을 똑같이 성공해도 거의 반을 한 것이기 때문에 느낌이 사뭇 다르다. 반을 했으니까 좀 더 열심히 해서 목표대로 50을 만들면 처음에 20하고 포기할 것을 50까지 만들 수 있다.

이미지를 불러오는데 실패했습니다.

Q. 잘하시는 분들은 윈도우, 리눅스 커널단까지 잘 알고 계시던데 윈도우는 오픈소스가 아니니까 어떻게 공부하는지 알고 싶다. 리눅스와 윈도우가 닮은 점이 많은가.

이미지를 불러오는데 실패했습니다.

닮은 점도 있고 다른 점도 있다. 큰 그림을 보면 운영체제는 비슷하다. 요즘 운영체제는 전반적인 구조는 비슷하면서도 내부적으로 구현체가 다르다면 엄청 다른 부분들이 많아서 어떤것이 더 좋고 나쁘다를 얘기할 수는 없다. 또 커널을 개발하는 커널 개발자 조차도 복잡하고 다양한 레이어로 나뉘어져 있기 때문에 보통 자기가 작업하는 부분을 제외하고는 모든것을 완벽하게 이해하고 있는 사람은 없다. 다만, 리눅스 커널이든 윈도우 커널이든 전반적인 커널 디자인에 대해서 잘 알고 있다면 어떤 타겟이든 분석하는데 크게 어려움은 없다.

이미지를 불러오는데 실패했습니다.

Q. 리눅스를 깊게 공부해보고 윈도우 커널단 취약점을 찾을 수 있나

이미지를 불러오는데 실패했습니다.

위에서 말했듯이 불가능하진 않다. 하지만, 별로 효과적인 방법은 아니다. 대신, 운영체제들이 비슷하게 구현해야하는 부분들이 있는데 리눅스에서 해당 부분에 버그가 존재했다면 윈도우 커널에서는 어떻게 구현이 되어있는지 살펴보는것은 해볼만 하다. 그렇지만 두 운영체제 모두 워낙 방대하고 공격 벡터가 많기 때문에 굳이 한 운영체제에서 찾은 버그 타입을 다른 운영체제에서 찾을 필요는 없다.

이미지를 불러오는데 실패했습니다.

Q. 로키하트님이나 다른 많은 분들은 윈도우, IOS 등등 두루두루 취약점을 찾으시는데 그게 천재여서 가능한 건지 일반적인 사람들도 찾을 수 있지 있는지 궁금하다.

이미지를 불러오는데 실패했습니다.

일반적인 사람들도 당연히 찾을 수 있다. 다른 사람은 범접할 수 없는 속도와 정확도는 로키의 천재성 중 하나다. 하지만 누구든지 시간을 들이고 그 시스템을 이해하면 거기서 버그를 찾는 것은 가능하다. 정말 이쪽은 하면 된다. 얼마나 오래 걸리고 얼마나 돌아가느냐 차이일 뿐.

이미지를 불러오는데 실패했습니다.

Q. 처음 보안 공부할 때 개발과 운영체제는 어느 정도 공부했는가

이미지를 불러오는데 실패했습니다.

개발 같은 경우에는 자기가 원하는 프로그램을 충분히 만들 수 있을 정도, 운영체제는 코어 컨셉들을 이해하고 필요하면 구현할 수 있는 정도.

이미지를 불러오는데 실패했습니다.

Q. 내가 원하는 것이 있으면 프로그램화 시킬 수 있을 정도면 된다?

이미지를 불러오는데 실패했습니다.

그렇다. 운영체제 같은 경우에는 워낙 광범위하고 세부적인 것들이 많기 때문에 완벽하게 아는 것은 불가능하다. 하지만 운영체제가 뭐고 어떻게 돌아가고 어떤걸 처리하는지 등의 전반적인 구조를 확실히 알고 있어야한다. 예를 들어, 메모리 구조나 이런 것들 말이다. 큼지막한 것들은 확실히 알아야 하고 특정 부분은 자기가 해당 코드 커미터가 아닌 이상 누구라도 따로 공부하고 이해할 수 밖에 없다.

이미지를 불러오는데 실패했습니다.

Q. 보안 관련 공부를 했을 때 어떤식으로 공부했는가

이미지를 불러오는데 실패했습니다.

대회가 제일 크고 그 다음은 실습이다. 익스플로잇도 그렇고 리버싱도 그렇고 글로만 배우면 절대 못 배우는 것이 컴퓨터다. 그렇기 때문에 직접 해봐야 한다.
그리고 학교에서 따로 보안 과목을 들은 것은 아니다. 요즘에는 세상이 좋아져서(?) 좋은 커리큘럼이 짜여져 있는 보안 과목이 있는 경우도 있다. 하지만, 우리 학교도 보안관련 학부 수업은 없다. 굳이 있다면 대학원 수업의 암호학 정도. 그래서 운영체제나 분산 시스템 같이 전반적인 시스템을 이해할 수 있는 안목을 높여주는 과목들은 많이 들었지만 보안에 특화된 과목은 들은 적이 없다. 그런 것들은 자기가 따로 공부를 하고 파고들어야 한다. 요즘에는 보안 관련 자료를 공유하는 블로그도 있고, 깃허브에 코드가 공개되는 경우도 많으며 발표 자료도 많기 때문에 그 자료들만 봐도 시간이 부족할 정도다. 논문이나 발표자료, 블로그 등 너무 많아서 그 중에서도 골라봐야 한다.

이미지를 불러오는데 실패했습니다.

Q. 연봉은 얼마인가. #조승현(그레이해쉬)의 질문

이미지를 불러오는데 실패했습니다.

 회사에 들어오면 알려줄 지도? 어때, 답변이 좀 된 것 같아?

이미지를 불러오는데 실패했습니다.

Q. 이직하면 얼마주나.

이미지를 불러오는데 실패했습니다.

ㅎㅎ. 우리가 지금 많이 벌고 있지 않기 때문에 많이 못주고 있다. 밥값 정도는 벌 수 있을...

이미지를 불러오는데 실패했습니다.

Q. 외람된 질문이지만 모쏠인가 

이미지를 불러오는데 실패했습니다.

 여자친구 있다. 누가 질문한건가? 익명인가? 아이피좀. 210.111.111.11

이미지를 불러오는데 실패했습니다.

Q. 그런 질문도 있었다. “오빠 너무 멋있어요. 여자친구 있어요?” 여기다가 댓글로 박세준님이시냐고 물어보려고 했다.

이미지를 불러오는데 실패했습니다.

 승진이형이 장난친거 아닌가. #beist

이미지를 불러오는데 실패했습니다.

Q. CTF 상금을 많이 타셨는데 그걸 다 합치면 얼마정도 되나. 오 이거 궁금하다.

이미지를 불러오는데 실패했습니다.

크게 계산은 안해봤지만 한 2억정도 되지 않을까 생각한다. 2억 조금 안 되려나.

이미지를 불러오는데 실패했습니다.

Q. 그럼 여태까지 했던 CTF중에 베스트랑 워스트를 뽑는다면 무엇이 있겠는가.

이미지를 불러오는데 실패했습니다.

CTF가 어떻게 운영되었고 어떤 문제가 나왔느냐에 따라 경험이 되게 달라져서 음…

이미지를 불러오는데 실패했습니다.

Q. 지금 딱 생각나는거 말씀해달라.

이미지를 불러오는데 실패했습니다.

베스트는 몇 년도 였는지는 기억 나지 않는데 코드게이트였다. Grayhash에서 문제를 냈고, 멤버십 문제 나왔을 때다. 그 때 문제들의 난이도도 좋았고 대회 운영도 좋았다. 워스트는 대회가 재미없거나 나빠서가 아니라, 대회에서 안좋은 추억을 만들었을 때다. 시큐인사이드 2회때인지 1회때인지 정확히 기억은 나지 않지만 그 당시 어떤 팀이 부정행위를 했는데 그것 때문에 우리가 1위를 놓칠 뻔 한적이 있었다. 증거를 겨우 찾아가지고 클레임도 걸고 했는데 해당 팀은 그 때문에 DQ를 당했다. 만약 거기에서 증거를 못 찾았으면 어이없이 1등을 뺏길 뻔 했다. 그 때 스트레스를 너무 많이 받아서 그 기억이 잊혀지지 않는다.

이미지를 불러오는데 실패했습니다.

Q. 증거는 어떻게 찾았나? 

이미지를 불러오는데 실패했습니다.

운이 되게 좋았다. 플래그를 모아서 압축해두고 공유한 폴더를 우리가 공격에 성공한 시스템에서 발견했다. 사실, 플래그를 공유한 사실을 인정했으면 빨리 끝났을 텐데 그것도 아니라 운영진까지 피곤하게 되었다. 게다가 상금이 걸려있는 대회다 보니까 그 당시에는 정말 서로 감정이 상했었다. 당시 우리와 다른 한 팀을 빼고 다 한국팀이었는데 한국팀들 중에서 3팀 정도가 작정을 하고 같이 단합을 했다. 적어도 두 팀이 플래그 교환을 해서 그 중 한 팀이 일등을 먹어버렸다. 또, 한 팀은 주기적으로 계속 우리 서버에 DoS 공격을 날려서 네트워크 장애를 일으켰다. 분위기가 심상치 않아서 우리도 약간 예상을 했다. 대회가 종료 전 40분전까지만 해도 우리가 압도적으로 1등을 하고 있었는데, 만약 그 팀들이 진짜로 부정행위를 했다면 끝나기 20분전쯤에 한번 터뜨리고(?) 그 다음에 10분전에 추가 점수를 획득하면서 역전극을 만들어낼 것이라는 시나리오를 머릿속으로 생각하고 있었다. 다행인것은 이 가능성을 예측해서 미리 운영진에게 언질을 주었었다. 조금 이상하다고. 만약 정말 시나리오대로 가면 우리가 증거를 제시하겠다고. "그런데 그것이 실제로 일어났습니다." 정말 충격적이었다. 당시 대회는 공격/방어 형식이었는데 데프콘처럼 플래그가 계속 바뀌는 것은 아니고 팀별로 한번씩 공격을 성공하면 더이상 공격하지 않아도 되는 형식이었다. 그런 상황에서 한 팀의 플래그들을 싹 복사 해서 다른 팀에게 공유한것이다. 결론적으로 아무도 못 푼 문제를 대회 끝에 풀어버리면서 해당 팀이 우승을 확정지었는데, 나중에 알아보니 그 문제는 문제 자체에 오류가 있어서 풀 수 없는 문제였다. 게다가, 운영진과 몇 번 상의를 하는 동안 해당 압축파일은 어느샌가 지워져있었다.

이미지를 불러오는데 실패했습니다.

Q. 운영진은 어땠는가.

이미지를 불러오는데 실패했습니다.

운영진은 이 상황을 알기 어려웠을 것이다. 관련된 팀들이서 짜고 플레이 한거라서. 대신, 문제가 제기된 이후에는 확실하게 조사에 나서 주었고 푼 문제에 대한 익스플로잇을 운영진에게 공개하라는 등의 검증을 진행했다. (물론, 해당 팀은 익스플로잇을 그자리에서 주지 못했는데 그 이유는 문제를 푼 사람이 원격에 있었는데 잠들어서라고 했다...) 

이미지를 불러오는데 실패했습니다.

Q. 한국에서 열리는 CTF 문제 질은 어떤가

이미지를 불러오는데 실패했습니다.

누가 운영하느냐에 따라 차이가 너무 커서 딱히 좋다 나쁘다를 말하기 힘들다. 정말 좋을 때도 있었고 별로일 때도 있었다. 아마 본인들이 더 잘 알 것 같다. 우리도 대회를 운영하다 보니 어떤 문제가 좋은 문제고 어떤 문제가 나쁜 문제라는 것을 안다. 그렇기 때문에 우리가 봤을 때 안좋은 문제는 최대한 내지 않으려고 한다. 문제의 질이 떨어질 확률이 높을 때는 바로 대회를 자주 참여하지 않는 사람이 문제를 내는 것이다. 대회를 꾸준히 참여하는 사람은 요즘 트렌드가 뭔지 알고 어떤 것이 좋지 않은 문제 유형이고 자신이 그런 류 문제 때문에 고생을 해봤기에, 비슷한 유형은 내지 않게 되는 것이 보통이다. 그런데 대회를 많이 안해봤거나 혹은 최근까지 꾸준히 참여를 안해봤다면 너무 올드스타일한 문제나 출제자 마음을 읽어야하는 독심술 문제가 나올 확률이 굉장히 커진다.

이미지를 불러오는데 실패했습니다.

방금 말씀하시는데 표정부터 지쳐 보였다.

이미지를 불러오는데 실패했습니다.

푸는 사람도 힘들고 만든 사람도 힘들다. 왜냐하면 그런 문제를 내면 많은 사람들이 문제에 대해 지적하는데, 그 상황 자체부터가 상당한 스트레스일것이다. 열심히 만들었지만, 푸는 사람 입장에서는 그런 상황이 너무 화가 나고 답답한 상황인것이다. 게다가 그런 문제가 한 두 개라면 큰 상관 없겠지만 다수인데다가 대회 전반적으로 난이도가 낮아서 결과적으로 누가 올클리어하냐가 우승을 결정하게 되면, 그때 게싱류 문제가 정말 화난다. 잘 다듬어지지 않은 문제 때문에 누군가는 조금 더 운이 좋아서 게싱에 성공해서 그 문제를 풀지만 누군가는 영영 못 푸는 경우가 있기 때문이다.

이미지를 불러오는데 실패했습니다.

Q. 컴퓨터 이외에 취미가 있는가

이미지를 불러오는데 실패했습니다.

컴퓨터 이외에 딱히 취미가 없는 것 같다.

이미지를 불러오는데 실패했습니다.

세상에 진짜였군..

이미지를 불러오는데 실패했습니다.

웬만하면 다 컴퓨터로 때운다. 해킹만 하는 것이 아니라 해킹하고 전혀 관련 없는 사이드 프로젝트도 하고 게임도 하고.....

이미지를 불러오는데 실패했습니다.

아… 그렇군요………….. 컴퓨터 이외에 취미가.. 없으시군요.. #진짜가 나타났다.

이미지를 불러오는데 실패했습니다.

 네 그렇게 되었네요…ㅎ…

이미지를 불러오는데 실패했습니다.

Q. 어느 순간 실력이 급상승 한건가

이미지를 불러오는데 실패했습니다.

 대회로 실력이 많이 늘었다. 대회를 잘하려다 보니까 새로운 기술을 알아야 하고 그걸 써서 문제를 풀고 그런 과정을 반복하다보니 빠른 시일 내에 실력이 많이 올라갔다고 생각한다.

이미지를 불러오는데 실패했습니다.

Q. 가장 최근 코드게이트 예선에서 인상 깊었던 문제가 무엇인가

이미지를 불러오는데 실패했습니다.

이번에 무슨 문제 있었지 ㅎㅎ ^^ 가끔은 대회 바로 종료 후에도 특정 문제는 기억이 안날 때도 있다.. (인터뷰 시점 4월 초)

이미지를 불러오는데 실패했습니다.

Q. 정말 인상깊었던 문젠 없었던 거 아닐까 

이미지를 불러오는데 실패했습니다.

음 뽑는다면, PNG parser.?

이미지를 불러오는데 실패했습니다.

Q. 회사 인력 채용할 때 기준이 궁금하다. 지금 다섯명인가?

이미지를 불러오는데 실패했습니다.

지금 한국에 4명, 미국에 2명 총 여섯명이다. 기준은 CTF를 무조건 했던 분들이고 그 다음에 리얼월드에서 뭔가 해본 적이 있었던 친구들, 사회에 영향을 줄만한 것을 했던 경험이 있는 사람. 그리고 따로 뭔가를 지시 받지 않아도, 즉, 매니지먼트를 안해도 알아서 계획을 세우고 자기관리가 가능한 사람들 위주로 보았다. 마지막으로는 포텐셜이 있는 사람들. 지금 당장 어떤 분야에 대해서는 잘 못하더라도 습득이 빠르거나 배울 준비가 되어 있는 사람들이다. 가끔 보면 ‘난 이정도 알았으니까 여기서는 안해도 될 것 같아. 이것만 계속 해야지.’ 하는 사람들이 있는 반면에 '난 아직도 부족하다. 여기로 가보니 이건 새로운 분야라서 이것도 해보고 싶다.' 하는 사람들이 있는데, 후자를 선호한다.

이미지를 불러오는데 실패했습니다.

Q. 그 동안 찾았던 제로데이중 제일 흥미로웠던 것은 무엇인가.

이미지를 불러오는데 실패했습니다.

가장 흥미로웠던 버그는 아직 제로데이라 자세히 이야기 할 수 없다. 보통 브라우저 쪽을 많이 본다. 최근에 폰투온이나 폰페스트를 하면서 가지고 있던 제로데이가 죽은 것도 몇 개 있다. 가슴 아프다... 주로 브라우저 쪽 제로데이를 찾는다.

이미지를 불러오는데 실패했습니다.

Q. 마지막으로 하고 싶은 말이 있는가. 

이미지를 불러오는데 실패했습니다.

막간을 이용한 회사 홍보: 보안적으로 봤을때 “이건 어떻게 해야하지” 라는 막연한 생각이 든다면 바로 brian@theori.io로 연락주기 바란다… 해결사가 되어드리겠다. ㅋㅋㅋ 너무 속보이나..(승진이형 미안..) 장시간 인터뷰를 진행하느라 고생하신 유성경님께도 깊은 감사드린다!

이미지를 불러오는데 실패했습니다.

어우 별말씀을.. ㅎ 저야말로 바쁘신데 인터뷰에 응해주셔서 너무 감사합니다. 정말 너무 고생하셨습니다.   그레이해쉬도 열려있습니다.(장난장난)ㅋㅋㅋㅋ yuopboy@grayhash.com 

아! 기다리고 기다리던 박세준님 인터뷰 ①

아! 기다리고 기다리던 박세준님 인터뷰 ②

=> 아! 기다리고 기다리던 박세준님 인터뷰 ③

유성경 yuopboy@grayhash.com