Culture

Tag

갤러리 보기

Search

안녕하세요, 하임 시큐리티입니다.

하임 시큐리티의 CTF 팀 'Haim'이 'Cold Fusion' 연합팀으로, 세계 최고 권위의 해킹 방어 대회인 DEFCON 33 CTF 본선에 진출했습니다.

Haim 소속의 윤준원 선임 연구원, 이장군 연구원, 강찬송 연구원이 직접 라스베이거스로 날아가 대회에 참여했는데요. 현지 시간 기준 8월 8일부터 10일까지 3일간 펼쳐진 꿈의 무대, 그 뜨거웠던 기록을 지금부터 전해드립니다.

라스베이거스 컨벤션 센터 입구

DEFCON 33 CTF, 무엇이 달랐나?

대회는 작년과 동일하게 총 3일 간 공방전 (A&D), King of the Hill (KotH), LiveCTF 총 세 가지 부문으로 진행되었습니다.

공방전: 모든 팀에게 동일한 바이너리가 주어지고 익스플로잇(공격)/패치(방어)를 통해 점수를 획득하는 부문

KotH: 서비스 제공 기간 동안 매 라운드마다 각 팀의 순위에 따라 점수를 획득하는 부문

LiveCTF: 각 팀별 대표 1명이 나와서 1:1로 문제 풀이를 진행, 토너먼트 형식으로 순위에 따라 점수를 획득하는 부문

작년과 달리 올해 공방전에는 '스텔스 모드(Stealth Mode)'라는 새로운 규칙이 도입되어 변수가 되었습니다.

기존에는 다른 팀의 공격 패킷을 분석하여 역으로 공격하거나 방어 코드를 작성하는 것이 일반적이었습니다. 하지만 스텔스 모드를 사용하면 우리 팀의 공격 패킷을 다른 팀이 볼 수 없게 숨길 수 있습니다. 이를 통해 취약점 (익스플로잇 코드)의 수명을 늘릴 수 있게 되었습니다.

물론 장점만 있는 것은 아닙니다. 스텔스 모드로 공격에 성공하면 획득 점수가 1/4로 줄어드는 페널티가 존재합니다. 따라서 다른 팀이 아직 모르는 치명적인 취약점을 찾았을 때, 스텔스 모드를 활용해 오랫동안 꾸준히 점수를 쌓을지, 아니면 일반 모드로 단시간에 높은 점수를 얻을 지를 결정하는 전략적인 판단이 중요해졌습니다.

DEFCON 33 CTF 본선 후기

2025/09/09 01:18

발전하는 IT 기술, 그 속에서 우리 사회는 그 어느 때보다 뛰어난 취약점 연구원을 필요로 합니다. 하임시큐리티는 단순히 사람을 뽑는 것을 넘어, 미래의 연구원을 직접 키워내는 일에 진심입니다. 특히, 반짝이는 젊은 인재들의 잠재력을 알아보고, 그 가능성을 활짝 펼칠 수 있도록 돕는 데 힘쓰고 있죠. 그 대표적인 사례, 함께 만나보실까요?

우리 연구실에는 특별한 연구원이 있습니다. 이제 막 고등학생 신분을 벗어 났지만, 뛰어난 실력으로 취약점 연구원으로 활약하고 있는 안수현 연구원! 안수현 연구원은 이미 여러 대회에서 굵직한 수상 경력을 쌓았는데요, 2024년만 해도 DEFCON CTF 본선 9위, HITCON CTF 본선 6위, LINE CTF 7위 등 이름만 들어도 알만한 국제 CTF 대회에서 엄청난 성과를 냈습니다. 그뿐인가요, 화이트햇 콘테스트 청소년부 1위, ELECCON 고등부 1위 등 국내 대회에서도 뛰어난 실력을 보여줬죠. 자신의 지식을 나누기 위해 컨퍼런스 활동도 열심히 하고 있습니다.

안수현 연구원의 모습

인터뷰 내용

안녕하세요, 안수현 연구원님! 하임시큐리티에 합류하신 것, 정말 축하드립니다. 간단한 자기소개와 함께 닉네임에 얽힌 이야기도 들려주시면 좋겠어요.

안녕하세요! 하임시큐리티에서 취약점 연구를 하고 있는 안수현입니다. 닉네임은 movptr를 쓰고 있는데요, 이건 어셈블리 명령어 mov랑 포인터(ptr)를 합쳐서 만든 거예요. (웃음)

보안, 그중에서도 취약점 연구에 푹 빠지게 된 계기가 궁금하네요. 초등학생 때부터 컴퓨터를 좋아하셨다고 들었어요.

맞아요. 초등학교 때 서점에서 우연히 컴퓨터 관련 책을 봤는데, 그때부터 컴퓨터 세계에 푹 빠졌어요. 중학교 2학년 때 IT 특성화고가 있다는 걸 알고, '아, 이거다!' 싶었죠. 처음에는 IT 분야 이것저것을 기웃거리다가, 보안, 특히 취약점 연구를 알게 됐는데, 정말이지... 너무 재밌더라고요. 제가 직접 만든 프로그램에서 취약점을 찾고, 그걸 공격하는 코드를 짜는 과정에서 문제를 해결했을 때 그 짜릿함은 정말... 말로 다 할 수 없죠. 게다가 컴퓨터 과학 이론을 실제로 써먹을 수 있다는 것도 엄청난 매력이었고요.

학생에서 연구원으로 변화 (안수현 연구원 인터뷰)

연구 지원 제도

2025/03/17 08:42

2024년의 마지막을 장식하며, 하임시큐리티는 특별한 송년 행사를 개최했습니다. 올해는 특히 연구소의 눈부신 성과가 있었기에 그 어느 때보다 풍성하고 의미 있는 시간이었습니다. 한 해 동안의 노고를 격려하고, 함께 이뤄낸 값진 성과를 축하하며, 새로운 도약을 다짐하는 뜻깊은 자리, 웃음과 열정, 그리고 동료애로 가득했던 그 현장을 생생하게 전해드립니다.

송년의 밤, 설렘과 기대 속에 시작!

송년 행사를 위한 완벽한 준비 덕분에 연구소는 설렘과 기대로 가득 찬 연구원들의 활기로 넘실거렸고, 훈훈한 분위기 속에서 드디어 송년의 밤이 시작되었습니다. 성공적인 한 해를 기념하는 케이크 커팅식에서는 임원진과 연구원 모두 함께 케이크를 자르며 축하를 나누고, 달콤한 케이크를 맛보며 서로에게 따뜻한 덕담과 격려를 건네는 훈훈한 시간을 가졌습니다.

뛰어난 신입 연구원의 모습!

특히 올해는 신입 연구원들의 빠른 적응과 기존 연구원들의 훌륭한 성과, 그리고 몇몇 선임 연구원들의 뛰어난 결과 산출 등 연구소 구성원 모두가 괄목할 만한 성과를 이루어낸 해였기에, 케이크를 함께 나누며 이러한 성과들을 되짚어보고 "정말 수고 많았다", "덕분에 좋은 결과를 낼 수 있었다"와 같은 따뜻한 말을 나누는 모습은 더욱 보기 좋았습니다.

흥미진진한 게임과 퀴즈쇼, 그리고 행운의 선물 증정

케이크 커팅에 이어 흥미진진한 게임 시간이 펼쳐졌습니다. 특히 ‘요트 다이스’ 게임은 모두의 뜨거운 호응을 얻었습니다. 주사위를 던져 나온 숫자에 따라 요트가 항해하는 콘셉트로 진행된 이 게임은, 간단하면서도 스릴 넘치는 진행으로 모두를 즐겁게 했습니다.

요트 다이스를 하며 먹는 케이크!

곧바로 이어진 퀴즈쇼에서는 다양한 분야들을 주제로 한 퀴즈들이 출제되었습니다. 연구원들은 열정적으로 퀴즈에 참여했고, 정답을 맞출 때마다 환호성이 터져 나왔습니다. 아쉽게 오답을 맞춘 연구원들의 탄식은 행사장을 더욱 흥미진진하게 만들었습니다. 퀴즈쇼의 열기가 채 식기도 전에 선물 증정식이 진행되었습니다.

퀴즈쇼 점수를 합산하여 1위부터 순차적으로 원하는 선물을 3개씩 고르는 방식으로 진행되었는데, 어떤 선물을 고를지 고민하는 모습, 원하는 선물을 얻고 기뻐하는 모습 등 다양한 반응들이 쏟아져 나왔습니다.

회식 전 깜짝 선물 교환, 개성이 드러나는 특별한 순간들

송년회 2024, 빛나는 성과와 함께하는 시작한 행사 후기

2024/12/29 09:18

Intro

저는 국가의 부름을 명받은 뒤 사라졌다가 작년 초에 막 사회로 복귀하게 되었습니다.

대학교 복학을 고민하던 중 저희 회사에 지원할 수 있는 좋은 기회가 생겨, 다음과 같이 입사하여 다양한 소프트웨어의 Offensive Security를 연구하고 있습니다.

연구를 진행하던 와중, 지난 겨울에 신입 연구원을 대상으로 실력 증진을 위해 실제 소프트웨어(패치 이전)를 분석하여 1day 취약점을 탐색하고 익스플로잇 하는 기술 과제가 주어졌습니다.

해당 기술 과제를 해결하던 중 발견했던 1day 취약점이 zero day 취약점으로 이어졌고, 해당 취약점을 Exploit 하여 이 글을 작성하게 되었습니다.

리월 월드를 접하고 처음으로 버그 헌팅을 해본 경험이여서 신기하고 배웠던 점이 많았던 것 같아요.

그래서 제가 겪었던 경험과 지식을 공유하고자 다음과 같이 이 글을 작성하게 되었습니다.

이미 패치된 취약점이며, 타겟은 비공개입니다.

Overview

먼저 코드 분석에 들어가기 전, 사전 조사를 진행했습니다.

제가 분석하는 소프트웨어의 종류는 Viewer이고, 확장자에 따라 진입하는 Dynamic Link Library가 달라지는 것을 확인했습니다.

그런데 파싱하는 이미지 확장자가 생각보다 다양해서 한번에 분석하기 애매했어요.

일단 분석할 확장자를 선택해야 하는데 대중적인 png, jpg 등과 같은 이미지 파일의 경우는 우선 순위에서 제일 마지막에 배치하였습니다.

하린이의 버그헌팅 일기

연구 지원 제도

오경제(@ohgyeongje)

2024/01/15 06:49