지난 8월, 저희는 미국 라스베이거스에서 열린 세계 최대 해킹 컨퍼런스 'DEFCON 33'에 다녀왔습니다.
매년 여름 라스베이거스에서 열리는 DEFCON은 전 세계 보안 전문가들이 모여 최신 연구를 공유하고, 기술을 교류하는 자리입니다. 수많은 발표 세션, 워크숍, 특정 기술을 깊게 파고드는 '빌리지(Village)'까지, 이곳은 컨퍼런스라기보다 거대한 축제에 가까웠습니다.
저희는 이 축제의 하이라이트인 '해커들의 올림픽', DEFCON CTF 본선에 SuperDiceCode 연합팀의 일원으로 참가했습니다. 전 세계 최고의 팀들이 48시간 동안 공격과 방어 실력을 겨루는 이 대회는, 단순히 문제 해결을 넘어 창의력과 극도의 집중력을 요구합니다. 치열한 경쟁 끝에 저희 팀은 최종 3위라는 값진 성과를 거두었습니다.
지금부터 SuperDiceCode 연합팀으로 DEFCON 현장에서 보낸 기록을 공유합니다.
DEFCON CTF 본선, 진행 방식.
일정
DEFCON CTF 본선은 현지 시각 기준으로 2025년 8월 8일(금)부터 8월 10일(일)까지, 총 3일간 치러집니다.
- 8월 8일 (1일차): 오전 10시 ~ 오후 5시
- 8월 9일 (2일차): 오전 10시 ~ 오후 5시
- 8월 10일 (3일차): 오전 10시 ~ 오후 12시
대회 서버는 위에 명시된 시간에만 접근이 허용되었으며, 그 외 시간에는 각 팀이 서비스 이미지를 미리 내려받아 로컬 환경에서 분석하고 다음 날의 공격과 방어를 준비해야 했습니다. 이러한 운영 방식은 쉬는 시간의 여유를 주기보다, 정해진 시간 안에 분석과 익스플로잇을 끝내야 하는 전략적 압박감을 높였습니다.
분야
본선 무대는 단순히 개별 문제를 푸는 Jeopardy 방식과 결이 다릅니다. 참가팀의 종합적인 공방 능력을 실시간으로 평가하기 위해 Attack & Defense, King of a Hill, LiveCTF라는 세 가지 핵심 요소로 구성되어 있습니다.
대회는 5분 단위의 ‘라운드(Round)’를 기반으로 진행되며, 매 라운드마다 상대 팀 서비스의 제어권을 상징하는 Flag를 빼앗아 점수를 얻고, 우리 팀의 Flag는 지켜내야 하는 구조입니다.
- Attack & Defense (A&D): 모든 팀에게 동일한 취약점을 가진 서비스가 주어집니다. 공격 코드(Exploit)를 제작하는 창의력과, 서비스의 구멍을 막는 방어 코드(Patch)를 적용하는 안정성이 동시에 요구됩니다.
- King of the Hill (KoH): 시스템을 점령하고 유지하는 것이 목표입니다. 팀이 시스템의 주도권을 확보할 경우 라운드마다 점수를 얻는 방식으로, 지속적인 침투 및 방어 능력이 관건입니다.
- LiveCTF: 특정 시간마다 열리는 1:1 토너먼트 방식의 대회입니다. 동시에 같은 문제에 도전하여, 먼저 해결하는 쪽이 승리하는 속도전으로 진행됩니다.
이 세 분야의 성적을 종합하여 최종 순위가 매겨지기에, 특정 분야의 강점만으로는 상위권을 차지하기 어려운 구조입니다.
숨 막혔던 48시간의 레이스
대회 시작을 알리는 카운트다운과 함께, 48시간의 여정이 시작되었습니다.
올해 역시 Web, Pwnable, Cryptography, Reverse Engineering 등 다양한 분야에서 DEFCON의 명성에 걸맞은 문제들이 출제되었습니다. 이미 알려진 공격 기법을 응용하는 수준에서 벗어나, 완전히 새로운 구조를 분석하거나 여러 취약점을 연계해야만 풀리는 문제들을 맞이했습니다.
각자 전문 분야의 문제에 깊게 몰입하면서도, 해결의 실마리가 보이지 않을 땐 곧바로 함께 모여 머리를 맞대었습니다. 한 명이 분석한 내용의 실마리를 다른 팀원이 이어받아 새로운 접근법을 시도하고, 막히는 부분은 다 함께 토론하며 돌파구를 찾아 나가는 집단 지성의 힘으로 어려움을 극복해 나갔습니다.
몇 시간 동안 이어진 토론과 수많은 실패에도 불구하고, 작은 단서 하나를 발견했을 때 다 함께 환호하며 다음 단계로 나아갔던 순간들이 모여 최종 순위를 만들어 냈습니다. 강도 높은 경쟁 속에서 마지막까지 집중력을 유지하고 팀의 전략을 조율하는 과정 그 자체가 가장 큰 도전이자 배움이었습니다.
LiveCTF
DEFCON CTF 본선 중 가장 예측하기 어려운 순간을 꼽으라면 LiveCTF 일겁니다.
특정 시간마다 진행되는 이 토너먼트는 상대 팀과 1대1로 마주 앉아 동일한 문제에 도전하고, 먼저 해결하는 쪽이 승리하는 방식입니다. 문제 해결 능력은 물론, 압박감 속에서 침착하게 실력을 발휘하는 멘탈 싸움이 중요합니다.
현장에서 처음 마주하는 문제 앞에서 빠르게 상황을 파악하고 최적의 공격 방법을 찾아내야 합니다. 제한된 시간 안에 상대보다 한 발 먼저 Flag를 획득하기 위해 손과 머리가 쉴 틈 없이 움직이는, 숨 막히는 순간이 이어집니다.
3위, 그리고 우리가 마주한 과제
치열한 접전 끝에 얻은 최종 3위라는 결과는 분명 값진 성과입니다.
하지만 동시에, 저희는 이번 대회를 통해 세계 정상급 팀들과의 격차와 앞으로 채워 나가야 할 과제를 명확히 확인할 수 있었습니다.
이번 대회를 통해 세계 정상급 팀들과의 격차는 기술적 깊이에만 있지 않다는 것을 깨달았습니다. 한정된 시간과 인력 속에서 어떤 공격에 집중하고 어떤 방어를 우선할지 끊임없이 판단해야 하는 '전략적 운영 능력'이 순위를 가르는 결정적인 요소임을 체감했습니다. 극한의 압박 속에서 흔들리지 않는 집중력과 한정된 자원을 효율적으로 배분하는 운영 능력 역시 저희에게 큰 과제로 다가왔습니다.
이 경험은 아쉬움으로 남기지 않고, 저희가 앞으로 나아가기 위한 귀중한 성장 동력이 될 것입니다.
경쟁을 넘어 교류의 장으로
DEFCON은 고립된 대회가 아니라, 세계 최대 규모의 보안 행사 한가운데서 열리는 핵심 이벤트입니다.
저희가 대회에 모든 것을 쏟아붓는 동안에도, 행사장 다른 곳에서는 세계적인 전문가들의 발표 세션(Track)과 자동차 해킹, IoT 등 특정 주제를 파고드는 체험 공간(Village)이 동시에 펼쳐집니다.
이처럼 치열한 경쟁과 방대한 지식 공유가 한 공간에서 열리는 독특한 분위기야말로 DEFCON의 진정한 매력입니다.
DEFCON은 순위 경쟁의 장이 아니라, 서로의 지식과 경험을 나누며 함께 성장하는 글로벌 보안 커뮤니티의 핵심임을 다시 한번 실감했습니다.
세계적인 수준의 팀들과 실력을 겨루는 과정 자체가 저희에게는 무엇과도 바꿀 수 없는 성장의 기회였습니다.
이번 대회를 통해 얻은 소중한 경험을 바탕으로 부족한 부분을 채워 나가도록 노력하겠습니다.