a - Feb. 22, 2017, 6:58 a.m.
한국에서 열리는 큼지막한 대회의 문제 수준이 팍팍 떨어지고 있음에 다들 동의하실겁니다. 유럽, 북미까지 안가도 일본의 MMA CTF, 대만의 HITCON CTF와 비교해보면 수준차이가 심하죠. 새로운 기술을 다루지도 않고, 기발한 아이디어를 요하지도 않는 기존 대회문제의 재탕이 대부분입니다. 우리나라가 일본, 대만보다 해킹을 못하는것도 아닌데 왜 이렇게 욕을 바가지로 얻어먹고있을까요? 기업 위주의 대회운영이 원인이라고 생각합니다. 최근 여러대회에서 출제진을 공개입찰을 통해 구하고있습니다. 싼 값을 불러 운영비를 따내고, 출제는 외부인력 끌어들여 공론화되지만 않을 수준으로 어찌어찌 때우면 된다는 생각으로 일관하는 경우가 잦습니다. 근 몇년간 포렌식 하는 회사에서 사업을 따냈을때는 멀쩡한 흐드콘, 화햇이 포렌식대회가 되고, CTF는 몇년째 구경도 못한 회사에서 따냈을때는 게싱대회가 되고있습니다. 이거 앞으로 해결해야하는 심각한 이슈라고 생각합니다. 쪽팔려요.
먼저 hitcon은 그렇다 치고, 쪽바리들 ctf가 국내보다 수준이 높다는 말은 절대 동의할 수 없음. 다만, 흐드콘, 화햇 부분은 동감. 흐드콘 주최측인 kisa나 싸사 기관 수준이 떨어지니 제대로된 문제 출제를 못하는거 같음.
MMA CTF가 대부분의 한국대회보다 질이 높은건 맞다고 생각하는데.. SECCON 작년 예선이라던지 그런건 그렇다 쳐도, 일단 화이트햇은 싸사 단독 출제가 아니고, 흐드콘은 퀄이 떨어지는게 맞다고 봅니다. CTF에 대해서는 사람들마다 지향점이나 가치관이 다 달라서 좋은 CTF에 대한 기준들이 다를 법도 하지만 적어도 그냥 때려맞추는 게싱문제나 항상 반복되는 문제들"만" 나오는 CTF는 아예 그냥 없었으면 좋겠네요. 올해는 참신한 문제들을 기대해 봅니다. 아 그리고 각 문제들의 의도된 풀이를 듣고 탄식이 나오지좀 않게 해주세요 후
"글쎄"님 CTF 참가 안하는분이죠? 흐드콘은 KISA가 병신인게 아니라 계속 괴상한 업체에 외주줘서 개판을 치고있는거고 화햇은 싸사가 출제하는게 아니라 외주+국정원 출제입니다. 코게 시큐 흐드콘 화햇 다 합쳐도 MMA CTF 한개에 못비빌판인데ㅋㅋㅋ 현실을 직시하세요.
기업이 해킹 대회를 운영하는건 나쁘지 않다고 봅니다. 정부에서 운영하는 것보다는 낫지 않나요? 좋은 협력사를 구해서 운영한다면 나쁠게 없다고 보는데. 저렴한 입찰가를 낸 협력사를 선정하는 구조라면 할 말이 없네요.. 사실인가요? 그리고 포렌식 대회를 비난하는 것은 아니지만 포렌식 대회는 좀 별도로 운영 됐으면 합니다. CTF랑은 완전 핀트가 다른데.. 포렌식하는 분들의 뜻을 모르는 바는 아니지만..
저도 hanzo님 의견에 동의합니다. 핀트가 다른 분야를 CTF라는 분야에 어거지로 낑겨서 넣으려고 하다 보니 전혀 앞뒤가 맞지 않는 문제들이 나오는 것 같습니다. 차라리 포렌식 분야 대회만 따로 빼거나 기존에 있는 디지털 범인을 찾아라 같은 대회를 좀 더 광범위하게 운영했으면 합니다.
실제로 국내에서 열리는 대회의 출제 회사가 알려지면 참가자 사이에서는 또 "그 회사" 야? 라는 말이 나오기 일수입니다. 100% 동의하는 글입니다.
http://www.kisa.or.kr/notice/bid_View.jsp?cPage=224&mode=view&p_No=35&b_No=35&d_No=2410&ST=mwegifemm&SV= 위 링크 참고하세요 중요한건 "기업이 운영한다" 가 아니라 "역량이 떨어지는 기업이 운영한다" 입니다. 국제대회 정상적으로 운영가능한 기업은 G사 한곳밖에 없다고 봅니다. B사는 국내대회는 괜찮게 하지만 국제대회는 운영할 역량이 안된다고 생각합니다. 실제로 국제대회 받아먹을때마다 캐박살났구요. 흐드콘에서 전설의 모바일문제를 출제한 M사는... 욕설사용으로 덧글 삭제당할까봐 참겠습니다. 정상적으로 국제대회 운영가능한 집단은 분명히 여러개 존재합니다. GrayHa**, Go*, CYK**, LeaveC**, CODE R** 등.. 왜 이런곳 냅두고 CTF 스코어보드에서 얼굴구경도 못해본 괴상한 기업에 CTF출제를 맡기는지 화가납니다.
거기는 왜 뺏어요? 전세계 전무후무한 사상초유의 대회운영진에 의한 대회 문제/답안 유출로 형사 처벌 받은.. 회사 이름이 생각이 안나네.. (특정 회사 이름들 거론하면서 비난하는건 삼가합시다.)
걔들은 해외멤버빨로 먹고사는거지 단독으로는 국내대회수상도 힘듭니다.
저팀들이 해외멤버가 있나요?
LeaveC**, CODE R** 가 국제대회 정상운영이 가능하다구요?ㅋㅋㅋㅋㅋ
몇몇분들이 잘못 알고 있는거 같은데.. HDCON은 대회가 만들어진 취지가 CTF가 아닐뿐더러 대회 성격도 CTF가 아닙니다. 이상한 팀장 한명 때문에 몇년동안 CTF로 운영된적은 있지만 HDCON의 정체성 자체가 CTF가 아닙니다. ^^ 문제의 질로 비판하는건 충분히 그럴만하겠지만 대회의 취지 자체를 자신의 입맛에 맞춰서 재단하고 자신의 입맛에 맞지 않는 대회라서 비난하는것은 옳지 않습니다. ^^
처음 취지가 CTF가 아니였지만 특정 사람 때문에 몇년동안 CTF처럼 운영되었고, 다시 정체성을 이유로 이런 저런 컨셉 잡으면서 움직이는 것 자체가 제대로 된 운영이 안된다는 걸 반증하는 것 같은데요?
잘못된건 바로 잡아야하지 않나요?
1. 해킹,CTF를 알지도 못하는 위에선 최대한 적은 예산을 던져줌 2. 그 예산으로 어떻게든 업체를 구함 3. 업체는 홍보 목적으로, 짠 금액을 받고 대회를 개최 4. 홍보 효과를 떠나서 열약한 예산과 출제 환경 5. 그 고통을 맛본뒤 출제한 업체는 참여를 안함 위의 순서가 퀄리티는 점점 바닥을 치고, 알지도 못하는 업체가 문제를 제작하게 되는것 같습니다.
한가지 질문. 그럼 상금을 전부 없애고 상금 예산을 문제 개발에 모두 투입해서 질이 높고 고난이도 문제를 만들면 어떨까요?
맡기는 출제회사가 국제대회수준의 문제를 제출할 역량이 있는지 체크도 안해보고 맡기는게 가장 큰 문제가 아닐까요? 정황상 출제자한테 돌아가는 돈도 별로 없는것 같고요 회사도 문제지만 그걸 알면서도 묵인하는(또는 그냥 대충 돈만넘기고 땡인) K사도 별반 다를바 없어 보이네요 ^^
데프콘처럼 전통과 명예, 퀄리티 다 있는 CTF면 그렇게 진행할 수도 있겠죠. 근데, 과연 데프콘이 아닌 다른 CTF에서 상금에 투자하지 않는다면, 참가자들이 과연 CTF를 하면서 동기부여를 얻을 수 있을지 의심되네요. 작년 시큐인사이드같은 경우에도 상금을 없앤 고퀄리티의 대회라고 모 교수님이 언급을 하셨었는데, 그만큼 시큐인사이드가 데프콘의 권위의 범접하는지 의아하더군요. 단순히 생각해서 상금에 아무것도 투자 안하면 사람들이 참가를 안할것 같습니다.
주최측, 참가자, 출제자 모두가 정말 역량 강화를 위한 뜻에서, 상금 없이 좋은 문제로 개최되면 좋다고 생각합니다. 그 대표적 예가 Defcon이라고 생각되네요. 하지만 그러기에 국내 대회는 저 세 개의 톱니바퀴가 잘 맞물리지 않는 것 같습니다. 특히, 예산이 적다고 생각못하는 윗사람들 문제가 시작이라고 생각됩니다.
이전에 운영을 해본 경험으로 말하자면.. 애초에 CTF 특성상 여러 사람이 투입되는 반면 금액은 적음. CTF는 5명은 붙어야 2천을 벌수 있다고 가정할 때 그 시간에 한 사람이 사업 한개를 운영하면 2천을 벌 수있음. 그럼 왜 하느냐? CTF 사업을 받되 다른 사업을 중심으로 하고 CTF는 부가적인 사업으로 취급하기 때문임 즉, 그냥 덤인 사업임. 실제로 CTF 문제를 만드는 시간에 별로 투자하지 못함. 따라서 문제 질이 낮아짐. 애초에 대회를 위해 충분히 예산을 투자받고 1년을 준비하는 데프콘과 비교해서는 당연히 밀릴 수밖에.
데프콘 운영팀은 돈 받나요?
ㅋㅋ 그럼 무료봉사겠습니까 ㅋㅋ 운영팀도 먹고 살아야죠
운영비 따로 없습니다.