많은 이가 대회에 참여하여 자신이 가진 기술이나 능력을 겨루거나 시험을 보며 자신이 가진 것이 어느 정도인지 확인한다. 자격증을 취득하거나 공모전, 대회에 참여하기도 한다. 요리사라면 요리대회, 음악을 하면 콩쿠르, 포켓몬스터를 하면 연고시티에 있는 포켓몬 콘테스트… 아무튼 자신이 발을 담그고 있는 분야에서 우열을 가리고 실력을 테스트하기 위해 대회에 참여한다. 보안분야에도 그런 것이 있다. 이름 하여 해킹대회다.
기존의 크래커들이 압도적으로 판을 치고 있었다면 이에 대항하여 착한 해커들을 양성하고 실력을 키우기 위해 보안 네트워크를 공유할 수 있는 놀이터로 해킹대회가 많이 활성화되고 있다. 더불어 해커들 사이에서도 자체적으로 해킹대회를 운영하고 다른 대회에 참여하며 정보 공유를 하고 교류를 나누는 것에 적극 의미를 두고 있다. 특히나, 미국 라스베가스에서 진행하는 ‘데프콘’은 전 세계에서 참여하는 대표적인 해킹대회로 쟁쟁한 해커들이 실력을 겨루기도 하고 보안 기술을 공유하며 전 세계 해커들이 만남의 장을 이룬다.
해킹대회는 보통 해커 그룹이나 학교 사이버보안동아리에서 진행하거나 국가에서 혹은 기업체에서 진행한다. 대회에서 나오는 문제는 운영자 측에서 직접 만들거나 혹은 외부 해커들이 문제를 만들어 제공하는 형식으로 문제를 낸다. 참여자들이 문제를 풀면 점수를 획득하고 대회의 우승자는 참여자 중에서 가장 높은 점수를 획득한 참여자가 우승자가 된다. 이외에도 기업에서 대회를 진행하는 경우 자신들이 서비스하는 프로그램에서 취약한 부분을 찾아내면 포상금을 걸어 놓는 형식의 대회도 이루어지고 있다.
가장 유명한 해킹대회로 미국의 ‘데프콘’이 있다. 데프콘은 보안 컨퍼런스인 블랙햇과 함께 제프 모스라는 해커가 만들었다. 블랙햇은 여러 기업과 해커들이 모여 진행하는 보안 컨퍼런스로 기업체의 보안담당자 대상으로 보안교육과정을 제공하고 세미나를 진행하여 보안정보를 공유하는 세계적인 보안 컨퍼런스다. 참여자가 기업체로 주를 이루는 블랙햇에 비해 데프콘은 좀 더 자유로운 분위기로 해커들의 컨퍼런스라 할 수 있다. 우스갯소리로 블랙햇의 참여비용이 데프콘의 참여비용보다 상대적으로 비싸 블랙햇은 데프콘을 운영하기 위해 만들어진 것이란 얘기가 있다. 데프콘에서는 공격과 방어를 하는 대회 CTF(Capture The Flag/해킹대회)와 보안 관련 이슈에 대해 발표나 토론을 한다. CTF는 전 세계에서 가장 유명한 해킹대회로 예선에서 20팀으로 추리고 본선은 라스베가스에서 진행이 된다. 예선을 통과하면 초대권과 라스베가스 비행기 표, 묵을 수 있는 호텔숙박비를 제공한다. 2015년에는 국내에서 처음으로 1등이 나왔다. 괜스레 뿌듯.. ㅎ
국내 대회로 많은 해킹대회가 있지만 여기서는 너무 많은 관계로 몇 개만 추려서 얘기할 것이다. 고려대 정보보호학과에서 주최하는 시큐인사이드는 2016년에 상금 한 푼도 없이 800개 팀이 참여하기도 했으며 2014년도에는 ‘지오핫’이 1인 플레이어로 참여하여 1등을 하기도 했다.
시큐인사이드뿐만 아니라 미래창조과학부에서 주최하는 코드게이트도 국내외로 많이 참여하는 해킹대회다. 코드게이트는 첫 개최 당시 상금이 1억 원이어서 국내외로 많은 이들의 관심을 불러모았다. 대회는 일반부와 주니어부로 나누어서 대회가 진행된다. 특히, 주니어대회는 국내 다른 주니어 해킹대회 중에서도 난이도가 높은 편이고 외국에 있는 주니어 해커들과도 경쟁해볼 수 있는 대회다.
대한민국 화이트햇 콘테스트는 국방부와 국정원에서 주최하는 해킹대회로 국가 차원에서 사이버 인재를 발굴하고 육성하기 위해 만들어진 대회다. 이 대회에서 입상하면 병역(사이버사령부), 입시(정보보호학과), 취업(국정원, 국보연, 경찰청)에서 가산점을 대놓고 준다고 한다.
마지막으로 KISA에서 주최하는 해킹방어대회는 보안 취약점을 찾아 해결하는 문제가 주로 나왔지만 2008년도부터는 방어 능력뿐만 아니라 공격능력도 겸비해서 평가하기 위해 CTF 형식으로 운영된다. KISA의 해킹방어대회는 2013년 운영상 문제로 대회가 잠깐 중단되기도 하며 잠깐 주춤했지만 명실상부 2004년부터 해킹대회를 주최해온 뼈대 굵은 해킹대회다.
기업체에서 진행하는 해킹대회로 페이스북의 해커컵과 구글의 구글 크롬 브라우저 취약점 해킹 방어대회가 있다. 페이스북의 해커컵은 해킹문제보다 프로그래밍 위주의 문제가 주로 이루어져 있어 알고리즘 대회라고 불리기도 한다. 또한 페이스북에서 취약한 부분을 찾아내는 것에 상금을 걸어 놓기도 한다.
구글에서는 PWNIUM을 진행한다. PWNIUM은 PWN(Pwnable)과 크롬(Chrome/Chromium)의 합성어로 구글 크롬 브라우저 해킹 대회이다. 이 해킹대회는 구글의 웹 브라우저인 크롬의 취약점을 찾아내면 상금을 지급하는 대회다. 취약점을 찾아내는 것이기 때문에 우승자가 없는 일도 있다. 만약 오류를 못 찾더라도 인상깊은 해커가 있으면 별도의 보너스가 주어지기도 한다.
사이버사고를 역추적하여 문제를 푸는 디지털 포렌식 첼린지, 포렌식 분야의 대회도 존재한다. 일명 ‘디지털 범인을 찾아라’다. 디지털 사고가 담긴 USB 문제가 주어지만 사고를 역추적하여 사고가 어떻게 났고 어떤 증거가 나왔는지 리포트형식으로 제출하는 대회다.
Pwn2Own라는 해킹대회는 세계 최대 버그바운티 대회로 구글 크롬, 사파리, 어도비 플래시 등 주어진 대상의 취약점을 찾아 익스플로잇하는 대회다. Pwn2Own에서는 찾는 취약점마다 상금을 준다. 이 대회는 지난해에 이어 올해도 국내 ‘이정훈’ 참가자가 가장 많은 상금을 획득하기도 했다. 이 외에도 다양한 해킹대회가 있으며 이 글에서 언급되어 있지 않은 해킹대회의 일정도 모두 보고 싶다면 아래의 링크로 가면 확인할 수 있다.
이 외에도 다양한 해킹대회가 있으며 이 글에서 언급되어 있지 않은 해킹대회의 일정도 모두 보고 싶다면 아래의 링크로 가면 확인할 수 있다.
=> 해커들의 축제, 해킹대회 ①
