16회째를 맞이한 데프콘은 명실상부한 세계 최대의 해킹축제로 자리매김하고 있다. 또 함께 개최되는 블랫햇은 데프콘과는 확연히 차별화되며 다양한 참관객들의 요구를 수용하고 있다. 특히 올해 데프콘은 한국팀들이 선전하면서 기술력을 과시해 관심을 모았다. 데프콘16과 블랙햇2008의 생생한 현장속으로 들어가 본다. <편집자>

하루 총 40개의 발표 세션과 새로운 보안 제품 전시회로 구성되는 블랙햇(Black Hat)은 세계 각국의 보안 전문가들로부터 높은 지지를 받고 있는 보안 컨퍼런스다. 데프콘과 함께 매년 8월 개최되는 블랙햇을 통해 최신 이슈를 확인하고 최신 기술을 공유하는 기회를 가질 수 있기 때문이다. 이러한 이유로 블랙햇에는 매년 다수의 보안 관계자들이 참석, 문전성시를 이루고 있다.

블랙햇의 높은 인기는 행사 등록 시 데프콘에 무료입장할 수 있다는 점에서도 원인을 찾을 수 있겠지만, 블랙햇 행사 자체의 매력이 크다는 점을 높은 인기의 배경으로 지적하는 것이 더 적합하다. 함께 개최되는 데프콘이 해킹대회와 컨퍼런스를 위주로 진행되는 반면, 블랙햇은 교육과 브리핑, 기업의 기술 및 제품 홍보 등이 주를 이루면서 새로운 기술과 정보를 한 눈에 살펴볼 수 있어 차별화된다.

최신 기술들을 교육하는 블랙햇의 교육도 인기가 높지만 블랙햇을 특히 유명하게 만드는 것은 바로 이슈 브리핑이다. 이슈 브리핑을 통해 최근 세상을 떠들썩하게 하고 있는 보안 이슈들에 대한 내용이 발표되기에 블랙햇이 전세계 보안 전문가들로부터 높은 지지를 받고 있는 것이다.

지난 8월 8일부터 10일까지 3일간의 일정으로 美 라스베가스에서 진행된 올해 행사에서도 블랙햇은 여전히 높은 인기를 과시했다. 올해도 블랙햇에는 4천여명이 넘는 세계 각국의 보안전문가들이 최신 정보를 습득하고, 새로운 기술을 익히기 위해 참석, 문전성시를 이루는 광경을 연출했다.

DNS 캐쉬 취약점, 2008 보안 이슈
높은 관심을 모은 올해 이슈 브리핑의 주제는 DNS 캐쉬의 취약점이다. 블랙햇에서 확인할 수 있듯 미국 내에서는 DNS 캐쉬의 취약점이 최근 핫이슈로 부상하고 있지만, 한국의 보안 전문가의 관점에서 볼 때는 그다지 새로운 내용은 아니었다고 말할 수 있다. 우리나라에서는 DNS캐쉬의 취약점에 대한 논의가 오래 전부터 있어 왔기 때문이다. 하지만, 행사가 개최된 미국에서 DNS 캐쉬 취약점이 최신 이슈인 만큼 많은 댄 카민스키(Dan Kaminsky)의 관련 세션에는 수많은 사람들이 몰려 해외 보안 시장에서는 DNS 캐쉬 취약점이 최고의 핫이슈임을 증명했다.

올해 블랙햇에서는 루트킷(Root Kits), 제로데이 방어(0-Day Defense), 애플리케이션 보안(Application Security), 봇과 멀웨어(Bot & Malware), 포렌직(Forensics), 리버스 엔지니어링(Reverse Engineering), 웹 2.0(Web 2.0), 가상화(Virtualization) 등 다양한 분야를 다뤘다. 나아가 올해 행사에서는 딥 날리지(Deep Knowledge), 터보 토크(Turbo Talks)란 세션을 마련해 소프트웨어와 하드웨어, 그리고 세션에 해당되지 않았던 보안 영역까지 모두 포괄한 심도 깊은 논의를 이끌어 내려고 하는 노력을 보였다.

이 세션들 중에서 특히 눈에 띈 것은 포렌직과 프로그램의 취약점 점검 부문이다. 이들은 아직 저변이 확대되지는 못했지만 국내에서도 최근 들어 높은 관심을 받고 있는 분야들이다. 또 2006 블랙햇에서 발표돼 화제를 불러 일으켰던 전자여권 취약점에 대한 새로운 방법 검토도 이뤄졌는데, 최근 국내에서도 전자여권 발급시스템이 구축됐다는 점에서 주목되는 세션이었다.

전시에 참여한 기업들의 솔루션을 동향을 보면, 올해에는 DDoS방어 및 복구를 비롯한 네트워크 보안 분야가 주류를 이뤘으며, 이외에 보안토큰, 관제, 웹 애플리케이션 보안, 보안성 점검 등과 관련된 솔루션들이 다수 소개됐다.

행사와는 별개로 블랙햇에서 볼 수 있었던 또다른 모습은 행사 기간 중 참여 기업들이나 특정 그룹 등에서 여는 파티들이었다. 이러한 파티가 다수 개최돼 저녁시간에는 낮에 통성명을 하고 얼굴을 익힌 사람들과 또 다른 블랙햇 행사를 이어가느라 모두들 분주하고 즐거운 모습을 보였다. 아마도 파티 참여를 통해 글로벌 네트워크를 만들어 가는 것이 진정한 블랙햇의 의미가 될 수도 있을 것이다.

국내 3개팀 예선통과, 기술 저력 ‘과시’
데프콘은 세계에서 가장 유명한 해킹, 보안 컨퍼런스라고 말할 수 있다. 매년 8월경이 되면 미국 라스베가스는 데프콘에 참가하고자 하는 세계 각국의 보안전문가들로 크게 성황을 이루는데 올해 역시 예외는 아니었다. 지난 8월 8일부터 10일까지 3일간 미국 라스베가스에서 개최된 데프콘16(Defcon 16)에는 약 6000여명의 참가자들이 참석, 성황을 이뤘다.


데프콘은 세계적인 수준의 해커들이 모여 치열하게 실력을 겨루는 해킹대회, 뛰어난 실력을 지닌 보안 전문가들이 모여 정보를 교류하는 보안 컨퍼런스, 그 외 크고 작은 해킹 이벤트들로 구성된다.


국내에서는 올해 4월 소프트포럼이 주최한 해킹방어대회&보안컨퍼런스인 ‘코드게이트’를 데프콘과 유사한 행사라고 꼽을 수 있다. 코드게이트 또한 전세계에서 온 참가자들과 국내 보안 전문가들로 북적거렸고, 해킹 대외 참가자들의 수준도 높았지만, 데프콘에 견줄만한 행사가 되기 위해서는 참가규모나 행사의 다양성 등에서 보다 많은 개선이 필요할 것으로 생각된다.


새로운 정보를 교류하는 보안 컨퍼런스나 크고 작은 해킹 이벤트들도 데프콘의 묘미이라고 말할 수 있겠지만, 데프콘이 명성을 쌓아온 것은 다른 무엇보다도 해킹대회인 CTF(Capture the Flag) 때문이다. 데프콘에서 가장 주목받는 행사인 CTF 무대에 오르기 위해서는 먼저 온라인 예선에 참여, 통과해야만 본선에 오르는 최종 8팀 안에 들어 본선 무대에서 경쟁할 수 있는 자격을 얻게 된다. 올해 온라인 예선에서는 전세계 451개 팀이 참여해 치열한 경쟁을 펼쳤는데, 이를 경쟁률로 환산하면 무려 64대 1에 달한다.


데프콘 예선은 총 25문제 중 먼저 열린 한 두 문제를 참가자들이 일정한 시간 동안 풀게 되는 형식으로 진행돼 본선 참가팀을 결정했다. 몇 팀 이상이 출제된 문제를 풀게 되면 다음 문제가 주어지는 형태로 진행돼 본선 참가팀을 선발하는 방식이다. 올해에는 특히 우리나라에서 본선 8팀 중 3팀을 배출, 국내 보안 인력의 역량과 잠재력을 세계에 과시했다.


2008 코드게이트에서 우승했던 포항공대 동호회 주축의 ‘플러스(PLUS)’, 소프트포럼이 후원하는 언더그라운드 해커동호회 널앳루트(Null@Root) 회원들이 주축이 된 ‘태권브이(Taekwon-V)’, 그리고 해킹동호회 ‘와우해커(WOWHACKER)’ 등이 바로 본선 출선 최종 8팀에 선정된 한국팀들이다. 하지만, 안타깝게도 플러스 팀이 개인사정으로 출전을 포기함에 따라 본선에서는 태권브이와 와우해커 2팀만이 진출, 전세계 해커들과 선의의 경쟁을 펼쳤다.



태권브이 대회 4위 ‘분전’
본선은 전체 모든 참가팀들이 상대에게 부여된 비밀토큰을 획득하거나 서로의 취약점을 찾아 분석, 공격, 리포팅하는 방식으로 이뤄졌다. 각 팀에는 비밀 토큰이 부여돼 있어 참가팀들은 상대방의 비밀 토큰을 획득, 운영자에게 모뎀으로 전달하거나 취약점을 이용해 토큰을 덮어쓰며 공격한다. 또 상대방의 알려지지 않은 취약점을 운영자에게 실시간으로 알림으로써 점수를 획득하게 된다.


본선에 출전한 8개 팀에서 대부분은 우승 경험이 있거나 본선 진출을 이어온 널리 알려진 강팀들이었던 반면 한국팀들은 모두 본선에 첫 진출한 처녀출전팀이란 핸디캡을 갖고 있었다. 익숙치 않은 경기방식에 언어장벽까지 더해져 그야말로 이중고를 겪은 것이다. 하지만, 이러한 핸디캡에도 한국팀들은 본선무대에서 만만치 않은 실력을 보여 경탄을 자아냈다.


특히 소프트포럼이 후원한 국내팀 태권브이팀의 경우, 상위권을 형성하면서 백중세를 이어가 수상의 기대감을 높였다. 태권브이 팀은 멤버들이 전체 팀원들의 언어 문제를 해결했고, 멤버들의 상당수가 백전노장들로 구성돼 있어 침착하고 안정적으로 핸디캡을 극복했다.


마지막까지 박빙의 승부를 펼치던 태권브이 팀은 한 때 3위까지 치고 올라가 한국팀의 저력을 보여주면서 수상의 기대감을 높였지만, 브레이크트루(BreakThru)를 추가한 l@stPlace에 역전을 허용해 아쉽게 4위에 머물렀다. 하지만, 태권브이팀은 처녀출전임에도 불구하고 지속적으로 상위권을 형성하면서 끝까지 선전하는 모습을 보여 신선한 충격을 안겼다. 데프콘 창설자 제프 모스(Jeff Moss)도 본선참가 경험이 없었던 팀이 본선무대에서 이런 실력을 보이는 것에 매우 놀랐다는 후문이다.


이 외에도 본선 진출자가 아니어도 해킹 대회를 게임을 즐길 수 있는 이벤트인 오픈 CTF(Open CTF)도 본선 경기장 바로 옆에서 이뤄졌는데 오픈CTF에서는 한국팀이 2위의 영광을 안았다. 이는 태권브이팀의 선전과 더불어 국내 보안 인력들의 기술의 수준을 과시한 또다른 성과라고 할 수 있다.



전세계 해커의 ‘축제 한마당’
5개의 트랙에서 동시에 진행되는 보안 컨퍼런스의 발표 세션에서는 오픈SSL(OpenSSL) 취약점 등  블랙햇에서 다뤄졌던 내용이 소개되기도 했지만, 실질적인 해킹 기술 및 해킹 툴들에 대한 소개와 분석이 진행돼 세션 참석자들로 통로가 막혀 움직이지 않는 일이 벌어질 정도로 참가들의 높은 호응을 받았다.


데프콘16에서는 캡차(Captcha)에 대한 해독, SQL 인젝션, 포렌직, 리버스 엔지니어링, https 쿠키 하이잭킹, 포트 스캐닝 등에 대한 세션이 진행됐으며, 최근 국내외에서 발생한 다양한 개인정보 관련 사고들 때문인지 개인의 익명성 및 사생활 보호에 대한 검토 또한 다방면으로 다뤄졌다.
다양하고 재미있는 문구가 적힌 옷과 물건을 파는 상점들도 데프콘의 매력 중 하나다. 지난해보다는 재미있고 색다른 물건들이 많지 않았지만 이곳이 아니면 쉽게 구할 수 없는 데프콘 공식 기념품을 사기 위해 길게 늘어선 줄을 통해서 전세계의 많은 보안 전문가들이 이곳에 왔으며 이 행사에 관심을 가지고 있는지 알 수가 있었다.


소프트포럼의 입장에서는 이번 데프콘 참관으로 내년에 개최할 ‘2009코드게이트’의 앞날을 구상해하는데 큰 도움을 얻을 수 있었다. 해킹대회와 컨퍼런스 외에도 다채로운 부대행사가 마련돼 행사의 즐거움을 더한 것은 흥미로운 부문이었다. 데프콘16에서는 열쇠 및 수갑을 푸는 게임, DDR과 유사한 기타(Guitar) 게임, 무선인터넷을 사용하는 사람들의 ID와 패스워드를 취득해 화면에 뿌려주는 월 오프 쉽(Wall of Sheep), 로봇을 조종해 사격을 하는 사격게임 등 다양한 볼거리와 놀거리가 제공돼 명실상부한 ‘축제’의 모습을 보였다. 소프트포럼의 ‘코드게이트’도 해킹대회이자 해킹축제로서 자리매김을 목표로 한다는 점에서 데프콘16의 다양한 놀거리는 많은 시사점을 던져준다.


행사 도중에 종종 만난 한국 분들을 통해 한국의 보안도 세계 속에 우뚝 설날이 머지 않았음을 예감케 하기도 했는데, 참가자들 중 3팀이나 우승을 하는 보안 실력을 가진 한국의 땅에서 한국 주최 세계해킹축제에 전세계 사람들이 활발히 방문하는 축제와 교류의 장으로서의 ‘코드게이트’로 급부상하는 날을 그려본다.