제 27회 하계 해킹캠프 참가 후기

🖋️ 참가 후기

이번에 PoC에서 주관하는 하계 해킹캠프에 참가했다. 해킹캠프라는 것을 처음 들어보기도 했고, 발표를 듣고 CTF 를 한다길래 재밌어보여서 soon_harri 를 따라서 신청하게 되었다. 결론부터 말하자면 기대 이상으로 재미있게 즐기다 왔고, 한가지 아쉬움이 있다면 질문할 것들이 생각이 안나다가 집에 와서야 궁금했던 것들이 마구마구 생각나서 질문을 못했다는 점이다 😭 ㅠㅠ. 하지만 해킹캠프의 좋은 점은 재참여가 가능하다는 점이고, 앞으로도 좋은 사람들과 좋은 발표를 들으며 궁금한 것들을 해결하고 싶다. 

 

해킹캠프 짱짱

 

💡 발표 후기

사실 발표 난이도에 대해서 걱정을 많이 했는데, 발표자 분들께서 생각보다 쉽게 접근할 수 있는 내용들을 준비해 주셔서 정말 부담없이 들을 수 있는 내용들도 많았다. DEFCON 본선 참가 후기라던지, 지금까지 18년 동안 보안업계에 종사해오신 분의 이야기라던지, 단순히 "해킹 기술" 에 대해서만 이야기하는 것이 아니라 "인생" 에 대해서 이야기해주시는 부분이 정말 좋았다. (물론 기술 분야 발표도 정말 유익하고 신기한 발표였습니다 ^^) 

 

가장 인상깊게 들었던 발표 5개를 뽑자면 다음과 같다. 

- CVE 한달에 100개 딴 썰

CVE 하나도 따는 게 어렵다고 생각했던 나에게 한달에 100개, 하루에 30개를 따는 것은 정말 말도 안되는 일이였기에 정말 기억에 남는 것 같다. WP 에 자동화 방식을 이용해서 모든 플러그인의 취약점을 탐색하다니.. WP 를 사람들이 가장 많이 쓴다고 생각해서 취약점이 거의 없을 것이라는 것은 나만의 생각이였다. 다양한 방식으로 CVE를 딸 수 있다는 것을 깨닫게 되고, 충분히 노력한다면 나도 해볼 수 있겠는데..? 라는 생각이 들 정도로 이해하기 쉽게 발표해주셔서 감사했다. 

- 친한 사람들과 DEFCON 본선 가기

DEFCON 은 본선 방식이 A&D 방식으로, 한번도 접해보지 못한 방식이다. 보안을 시작한지 얼마 되지 않았지만, jeopardy 방식만 접해보았던 나에게는 이야기를 듣는 것초자 정말 신선하고 관심있게 들었던 것 같다. 특히 "HypeBoy" 팀에 정수환 선배님도 계시고, 디코에서만 접해봤던 고수분들이 발표하셔서 발표 듣는 내내 감탄하며 들었던 것 같다. 

솔직히 Pwn, Rev 에 대해서 거의 문외한인 나로써는 DEFCON이 멀게만 느껴지지만, 발표를 듣는 것 만으로도 Crypto 뿐만 아니라 더 넓은 분야에 대해서 바라볼 수 있도록 한 발표였던 것 같다. 좋은 발표 감사합니다 ^^

-  취약점이 중요하지 않다. 회사에서 보안쟁이로 살아남기!

이 발표는 정말 "real world" 그 자체였다. 실제로 보안에 종사하시는 이창선님이 발표를 진행해주셨는데, 어떤 길을 걸어왔고, 어떤 마인드셋을 가지고 있어야 좋은 삶을 살아갈 수 있는지 알려주시는 내용이였다. 보안 업계의 뼈저린 팩트들도 전해주셨고, 우리에게 "왜 해킹을 하고 싶냐" 라는 질문을 던져주셨는데, 스스로 많이 돌아보게 하는 내용이였다. 항상 BoB에서 하시는 말씀 중에서 최고가 되려고 하지 말고 평균보다 한 발자국 더 노력해라, 책을 많이 읽어라 등등 많은 이야기를 해주시는 좋은 발표였다. (다음에도 이 말씀을 직접 들을 수 있었으면 좋겠다. ^^)

- Windows DLL injectionn (steal keyboard)

이 발표는 선배님인 이동준 선배님이 발표하셨는데, 평소에 window 해킹을 쳐다보지도 않았던 사람으로써 아무것도 모르는 사람도 재미있게 들을 수 있는 발표였던 것 같다. DLL injection 으로 정말 무궁무진한 코드를 삽입할 수 있을 것 같고, 이 발표로 게임핵이 어떻게 이루어지는지도 처음 알게 되었다. 사실 중간에 이해를 못하는 부분 또한 존재했지만, 직접 실습해주신 keyboard hijacking 이 직접 되는 것을 보니 정말 위험한 취약점이라는 생각도 들었다. 나도 windows 에 대해서 조금 관심을 가져봐야 하나..? 라는 생각이 들게 되었던 좋은 발표였던 것 같다. 

- 악성코드 개발기 

이 발표는 내가 앞으로 해보고 싶은 것들 중에서 포함되어 있는데, 바로 랜섬웨어 개발이였다. 예전에 랜섬웨어가 한창 극성일 때, 4학년 선배님 중 한분이 회사 외주로 랜섬웨어를 깨고 유유히 돌아오셨다는 무용담(??) 을 들은 적이 있는데, 이 발표를 듣고 나도 랜섬웨어를 한번 만들어보자 !! 라는 생각이 들게 되었다. "절대" 깨지지 않는 랜섬웨어를 만드는 것을 불가능하겠지만, 적어도 기존에 퍼졌었던 랜섬웨어보다 더 뚫기 어렵게 만드는 것이 나의 목표이고, 메모리에 key가 남아있어 깰 수 있다는 말을 듣고, 포렌식 또한 병행해야 하겠다는 생각이 들게 되었다. (포렌식.. 싫은데...) 

 

이외에도 정말 좋은 분들의 좋은 발표들이 있었고, 어떻게 보면 쌩판 남들인 사람들에게 자신의 지식을 공유하고 도움을 주신다는 게 존경스러웠다. 나도 나중에는 발표를 듣는 사람이 아닌 발표를 하는 입장이 되어보고 싶다는 생각 또한 했다. 

 

마지막으로, 현재는 CTF 의 cryptography 분야만 보고 있는데, 굳이 대회가 아니더라도 커리어를 쌓으며 하고 싶은 일들을 할 수 있다는 것을 (사실 당연한 말..) 깨닫고, 보안이라는 분야를 조금 더 넓게 바라보기로 했다. 뭔가 선배님들이 쌓으신 CTF 수상실적들을 보니 나 또한 이렇게 되어야겠다 !! 라는 약간의 강박? 을 가지고 임했던 것 같기도 하다. 

 

🥈 CTF 후기

사실 discord를 보고 crypto 분야가 없는 것을 알고 많이 실망했었다.. 왜 다른 대회도 그렇고 암호학만 왕따시키는건지  하지만 그럼에도 불구하고, misc 문제들과 rev 문제를 풀어보니 승부욕이 불타올라 정말 정말 열심히 했는데, 생각보다 좋은 결과? 로 2등을 차지하게 되었다. (사실 막판에 Best Cookies 문제를 거의 다 해놓고 300점 차이로 대회가 마무리되어 정말 정말 아쉬웠다...)

 

내가 푼 문제는 Error, 그리고 Catch the bug 라는 문제였는데, 문제 난이도에 비해서 너무 많은 시간을 잡아먹어서 다른 문제들을 볼 겨를이 없었다. Error 문제는 사실 정말 정말 쉬웠는데, 아무도 풀 생각을 안하셔서 바로 1000점 꿀꺽 해버렸다. ^^

 

좋은 문제들을 만들어주신 Demon 팀, SISS 팀 분들께 다시 한번 감사드리고, 이런 자리를 주관해주신 PoC 분들, 그리고 후원해주신 많은 분들께도 감사의 뜻을 전합니다.. (다음에도 꼭 참여하고 싶다)