tmp

CTF는 해커들의 시야를 좁히는가?

2021. 11. 6. 23:11

점심식사 이후 선웅님이랑 카페를 가다가 찍은 단풍 ,, 이뻤다

 

 최근에 Team H4C라는 해킹팀에서 주최한 <학생용 해킹노트> 행사에서 'Young CTF Player가 성인이 되었을 때' 라는 주제로, 내가 청소년 때 알았으면 좋았을 것들을 이야기 한 적이 있다. 여러 주제에 대해 주저리 이야기했지만 그 중에서 주된 얘기는 'CTF는 보안 시장의 전부가 아니다'는 점이었다. 

 

 고등학교 시절 나는, 압박감과 열등감 속에서 살았던 것 같다.

 압박감은 남들보다 비교적 일찍 시작한 BoB 생활로 시작되었다. 나는 그 당시, 또래 친구들 중 제일 첫번째로 BoB에 합격한다. 밑져야 본전으로 시작한 자기소개서로 덜컥 합격해버렸고, 그때까지도 부족했던 내 실력은 합격을 뒷받침해주지 못했다. 누군가는 비오비의 합격 기준이 불만족스럽다면서 내가 합격한 것을 예로 들어 욕했고, 그것을 알게 된 나는 내 능력을 입증하려고 CTF 순위에 각별히 목매었다. 

 이런 압박감과 더불어 느낀 열등감은, 나보다 늦게 시작했음에도 무서울 정도로 지식을 빠르게 습득했던 친구와, 항상 나와 그 친구를 비교하던 비해커 학교 친구들, 선생님들로부터 기인되었다. '왜 너는 이 정도밖에 못 돼?', '너는 왜 현수막에 이름이 없어?', '저 친구는 몇등했는데 너는 몇등이야?'. 이런 질문들은 기술적으로 나보다 뛰어난 사람이 있다면 자존심을 무조건 굽히고 들어가는, 실력 지상주의를 뼛속까지 심어두었다. 

 

 그 덕에 나는 해킹을 배우는 것이 두려웠다.

 고등학교 3학년이 되고 사실상 도피 목적으로 수능 공부를 시작했다. 수능 공부를 하게 되면 해킹을 못해도 되는 이유가 생기는 것이니 마음이 한결 편해졌다. 그리고 입사하기까지 내가 해킹을 다시 공부하게 된 데에는 꽤 오랜 시간이 걸렸다. 그리고 입사할 때까지 나는 해킹에 상당한 압박감을 느꼈다. 회사 입사일이 결정되고나서, 2주 정도는 악몽을 꾸었다. 악몽 속에서 '쟤는 왜 저 정도밖에 못해?', '쟤를 왜 데려왔지?' 하는 소리를 한창 들었다. 그리고 실제로 이 두려움이 극복되기까지는 거의 1년 가까이 걸렸던 것 같다. 

 

 정보보안 산업에서 CTF (혹은 버그헌팅) 가 끝이 아니다.

 도현이형이 이 말을 안해줬으면 나는 압박감에 회사를 그만뒀을지도 모른다. CTF에만 시야가 한정되어 있는 학생들에게는 정보보안 산업은 곧 모의해킹, 버그헌팅 사업이다. 당장 나만해도 보안 솔루션(앱슈트) 개발과 모의해킹이 정보보안 산업의 전부라고 생각했으니깐. 나머지 분야는 기술적인 부분에서 CTF를 따라잡지 못한 패배자들의 잔잔바리 사업이라고 느꼈다.

 근데 말로만 그런 것이 아니라 실제로 '정보보안 산업은 CTF가 끝이 아니다'. 잔잔바리라고 생각했던 분야에도 수요가 상상이상으로 많고, 보상도 상당하다. 그래서 CTF에서 아무리 성적이 잘 안나와도, 버그헌팅에서 취약점을 많이 못찾아도, 나는 다른 분야에서 해놓은 것이 있으니 실력 지상주의도 열등감도 크게 줄었다. 상위 버그헌터들에게 돌아가는 상금이 어마무시하게 커서 그것이 뇌리에 박혀서 그렇지, 무슨 분야든 상위 기술자에게 돌아가는 돈은 많다.

 

 그래서 초보자들은 어떻게 해킹을 공부해야 하는가?

 첫번째로 분야를 가리지 않고 배울 필요가 있다. 고등학교 시절, 내 생각 기저에는 '나는 웹해커니까 포너블 리버싱은 안배워도 돼'하며 한 분야만 편식하며 공부했던 적이 있다. 그런데 장기적으로 봐야할 것이, 이것들은 결국 내 실력이 되는 것이고 넓게 알면 그만큼 응용하고 이해할 수 있는 기술의 수준이 높아진다고 본다. 그렇다고 무슨 분야든 잘할 필요는 없고 기본적인 원리와 우회 기법 변천사 정도는 알고 넘어가면 된다고 생각한다.

 두번째로 정보에 민감하게 반응하는 것이 중요하다고 생각한다. 어떤 컨퍼런스에서 특이한 주제를 보고 신기했지만, 항상 나는 '웹해커라서' 나와는 다른 내용이라고 생각하면서 무시했던 적이 많다. 나처럼 이런 내용에 둔감하게 반응하지 말고, 이 분야가 실제로 수요가 얼마나 있는지, 다른 나라에서는 어떻게 활용했는지 찾아보면서 이런 정보에 민감하게 반응하는 것이 정말 중요한 것 같다.

 세번째로 어떻게든 CTF에서 배운 기술로 돈 벌 방법은 있으니 조급해 하지 말고 꾸준히 배우는 것이 결국 승리한다는 점이다. 어떤 분야든 정말 꾸준히가 중요한 것 같다. 

 

첨언

 김도현 연구원님 항상 감사하게 생각하고 있습니다.

 

마지막 첨언

 반박시 니 말이 맞음