컨텐츠 바로가기

03.19 (화)

삼성전자는 왜 해킹대회를 열었나?

댓글 3
주소복사가 완료되었습니다
삼성전자가 개최한 해킹 방어대회에 관심이 모아진다.

업계에 따르면 삼성전자는 최근 해킹 방어대회 '삼성 캡처 더 플래그(SCTF)'를 개최했다. 대기업이 주관한 행사로는 처음이다. 1160명이 예선에서 경합을 벌여 79명이 본선에 참가했다.

SCTF 문제와 운영방식은 독특하다. 단체전으로 공격에 치중하는 기존 대회와 달리 방어, 코딩, 암호, 역공학까지 보안 기본기를 고루 갖춘 인재를 찾으려는 노력이 엿보인다. 삼성전자는 올해를 시작으로 내년에도 SCTF를 개최할 예정이다. 다양한 기본기를 평가해 SCTF가 사실상 삼성 보안인력 입사 시험으로 대체할 가능성도 엿보인다.

전자신문

삼성전자는 지난 8월 20일부터 21일까지 SCTF를 개최했다. 박지호기자 gihopress@etnews.com

<이미지를 클릭하시면 크게 보실 수 있습니다>


안길준 삼성전자 전무는 “SCTF는 기존 해킹대회처럼 문제 풀이 방식이지만 공격 기술에 치중하지 않았다”면서 “참가자가 가진 사이버 보안 역량을 골고루 평가하기 위해 공격, 방어, 코딩, 알고리즘, 역공학 등 5개 분야 문제를 출제했다”고 말했다.

우승자 선정방식도 달랐다. 각 영역 문제마다 문제 수가 다르다. 무조건 문제를 많이 푼다고 좋은 것도 아니다. 남들이 적게 푼 문제를 풀어야 배점이 높다. 아무도 풀지 않은 암호 문제 1개를 풀면 1000점이다. 누군가 갑자기 내가 푼 암호 문제를 풀면 배점은 낮아진다. 국내 많은 화이트 해커는 주로 공격 분야 문제에 익숙하다. 공격 분야 문제를 푼 사람이 많아지면 그 영역 가치는 낮아진다.

전자신문

안길준 삼성전자 전무가 대회 운영 방법을 설명했다.

<이미지를 클릭하시면 크게 보실 수 있습니다>


대회 공동운영장을 맡은 김용대 KAIST 교수는 “대부분 국내서 보안을 하는 사람은 세계에 이름을 알린 해커 '이정훈'처럼 되고 싶어하며 보안 편식 현상이 심해졌다”면서 “보안은 시스템 해킹이 전부가 아니다”라고 설명했다. 김 교수는 “실제 기업에서 필요한 보안 인력은 취약점을 찾는 능력뿐만 아니라 프로그래밍과 암호에 대한 기본 지식을 알고 잘 활용할 줄 알아야 한다”고 강조했다.

삼성전자는 SCTF를 통해 원하는 보안 인재를 뽑는 기회를 마련했다. 삼성전자가 필요로 하는 5가지 부문 중 모두를 잘하는 인재를 선발할 수 있다. 동시에 특정 분야에 두각을 나타내는 사람을 뽑을 수도 있다. 삼성전자는 SCTF 부대행사로 열린 '삼성 시큐리티 테크 포럼'에 인력 채용 부스를 열었다. 삼성전자는 지난 5월 미국 아리조나주립대 교수였던 안길준 전무를 영입해 보안팀을 강화했다.

김 교수는 “대회를 마치고 평가하니 실제로 국내 참여자는 전체적으로 공격 문제에 치중한 경향을 보였다”면서 “우승은 암호, 수비, 코딩 등 분야에서 1등을 한 참가자에게 돌아갔다”고 말했다.

전자신문

대회 공동운영장을 맡은 김용대 KAIST 교수.

<이미지를 클릭하시면 크게 보실 수 있습니다>


SCTF 우승은 일본 해킹팀 'TokyoWesterns'의 'nomeaning(마사푸미 야부)'씨가 차지했다. 2등은 고려대 해킹동아리 'CyKor'의 'Solo(진용휘)'와 'setuid0(임정원)'가 수상했다. 본선에서 진용휘씨가 1등을 달렸는데 막판에 암호 문제를 해결한 일본 참여자에게 승리를 내줬다.

김 교수는 “실제 기업에서 부족한 보안 인력은 제품 개발자”라면서 “국내 보안 교육은 취약점 찾기 등 공격에만 집중하고 막고 대응하는 솔루션을 만드는 분야는 뒤떨어져 불균형이 심하다”고 설명했다. 그는 “코딩과 암호, 패치 등 보안 기본기를 충실히 쌓아야 빠르게 변화하는 ICT 기술에 적응할 수 있다”고 덧붙였다. 삼성전자는 조만간 SCTF 문제 전체를 공개할 예정이다.

전자신문

삼성전자는 CTF와 함께 시큐리티 테크 포럼도 열었다.

<이미지를 클릭하시면 크게 보실 수 있습니다>


김인순 보안 전문기자 insoon@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]


기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.