음.. 일단 제목을 정정하겠습니다.
private CTF보다는 semi-private CTF가 낫겠네요. 운영상 상당히 아쉬운점이었습니다. 뒤에서 다시 언급하겠습니다.
이번 Nuit du Hack CTF는 예선, 본선으로 나뉘어 대회가 진행되었었는데요, 저는 한국인이라서 한국팀으로 나갔습니다.
예선이 4월 4일부터 4월 5일까지 24시간동안 진행되었구요, 저희 팀은 본선에 진출해서 6월 20일부터 21날에 있는 Nuit du Hack 2015의 private CTF(본선)에 참가하게 되었습니다.
예선은 퀴즈 형식으로 진행되었는데요, 이건 그럭저럭 작년이나 재작년이랑 형식이 같고 딱히 특징적인 부분은 없었습니다.
음.. 하나 특징적인 부분이라면 문제에 게싱, 그러니까 좋게말하면 추리문제가 조금 있었는데... 문제의 추리에 약간 개연성이 떨어지는 느낌이 들어서 문제 자체에 대해서는 아쉬움이 들었습니다.
왜냐하면 이런 문제들에 대한 풀이 키워드는 사람들마다 생각하는 범위의 편차가 크기 때문이죠: 그러니까 저희는 그 문제들을 못풀었었거든요. 약간 아쉬웠습니다.
본선은 고전 CTF 형식, 그러니까 공격/방어전으로 서로 Capture-The-Flag, 키를 뺏어오는 형식이라고 공지되었습니다. 룰은 약간 특이했는데요. "카지노"를 컨셉으로 잡고, 각 팀들이 "카지노"의 서비스를 운영하며 다른 팀들의 카지노 게임들에 대한 허점을 찾고, Coin을 얻는..것으로 파악을 했습니다. CTF가 끝날 무렵 Money를 가장 많이 차지한 팀이 이기는 규칙이 있었구요.
CTF랑 비슷한 형식이지만 또 한가지가 있다면 그 카지노를 이용하는 사용자들이 있어서, 사용자들이 서비스에 대한 상시적인 체크를 수행하면서 피드백을 준다는 점이었습니다.
사용자는 그 게임의 작동 여부나, 이게 약간 특이한 부분이었는데 승률도 조정이 가능해서 그 승률에 대해서도 조사 후 피드백을 준다고 되어있었습니다. 이게 그 카지노의 "평판"(reputation) 지수와 연결이 되서 만약 승률이 짜거나 게임이 작동 안되면 평판이 깎이고 사용자 수가 준다는 내용이었죠. 사용자가 돈을 지불하는지, 사용자가 대회 참가자인지 주최측의 SLA지수인지(데프콘처럼) 아니면 컨퍼런스 참가자인지는 공지가 되지 않았습니다.
문제는.
이 방식은 시행되지 않았습니다. 시행될 뻔 했죠.
대회 시작 전 저희는 설레는 마음으로 세팅을 하고 있었습니다. 라우터도 연결하고, 그 쪽에서 랜선도 잘 지급을 해줬었죠. 이 부분까지는 문제가 없지만.. 네트워크가 다른 팀끼리 연결되고 맙니다.
A bit messed up start at #ndh2k15 CTF looks like everyone connected to @HexpressoCTF pic.twitter.com/jjhAo41HOk
— Stratum Auhuur (@StratumAuhuur) 2015년 6월 20일네. 그러니까 여러 팀들이 각자 다른 팀들의 정보들을 보고 백도어를 심을 수 있었다, 이런 상황이 가능했었던거죠.
이게 대회 시작 30분전 일이었고, 주최측은 비상사태가 걸렸던 모양입니다.
그래서 그 분들은 참가자들을 모두 내보내는 결정을 하고 1시간동안 대회를 연기했습니다.
주최측이 이 시간동안 바베큐 파티를 진행했었고 저희보고 바베큐 파티를 즐기던 뭘 하던 하다가 11시까지 오라고 했어요.
덕분에 고기는 맛있게 잘 먹었습니다!
1시간 후 대회 방으로 들어간 팀들은 private CTF가 컨퍼런스 방에서 진행되고 있던 워게임 형식의 public CTF와 같이 시행되며, 아이디를 ctf_로 함으로써 팀명을 구분한다는 소식을 듣게 됩니다. IP대역도 public CTF의 대역으로 바뀌었구요.
덕분에 공격/방어 형식의 private CTF 대신 재밌게 public CTF를 워게임 풀듯이 풀고 나왔지만, 약간 껄끄럽긴 했습니다.
Public CTF는 일단 문제 분류가 약간 애매모호하기도 했고, 예선전때 아쉬웠던 추리식 문제가 약간 있었습니다.
문제에 대한 단서가 좀 많이 없었던 문제들이 2개 있었는데, 그 문제들을 못푼게 상당히 아쉽습니다. (사실 지금도 그 문제를 어떤 식으로 접근해야 그런 단서가 나오는지는 모르겠습니다. 적어도 문제 파일에는 딱히 그렇다 할 단서들이 없었기에..)
약간 느낀 점은, 일단 운영 상의 미숙이 아쉬웠고 (반면교사로 삼을 수 있을 것 같습니다), 그걸 제외하자면..
워게임이던 공격/방어 방식이던 "단서가 없는 상태"에서 순전히 추리를 해야되는 문제는 대회용으로 적합할까, 그 부분이 약간 의문입니다. 물론 단서를 찾는 능력도 대회 문제를 푸는 능력들 중 하나로 대해질 수 있다고 생각하고, 이는 실제 상황에 가까운 대회를 만드는 데 도움이 됩니다. 하지만.. 약간 퀴즈식으로 내면서, 문제 내용도 약간 실생활과는 거리가 있는 상황에서 이런 식으로 내니까.. 약간 당황스럽긴 했습니다.
그리고 무엇보다도 그냥 private CTF를 풀어보고 싶은 마음이 굴뚝같았습니다! 되게 재밌었을거같은데..
진짜 아쉽네요.. Nuit du Hack, 다음년도에는 제대로 대회를 운영했으면 좋겠습니다!!!