2025년 여름, 세계 최고 규모의 해킹·사이버보안대회인 DEFCON(데프콘)에서 정보보호학과 김희찬 학생이 최종 우승을 차지했다.

앞으로도 꾸준히 사이버보안을 연구해 취약점을 분석하고 보완하겠다는 포부를 밝히는 김희찬 학생을 만나보자.

Q. 안녕하세요. 만나서 반갑습니다. 우선 축하합니다. 세계 최고 규모의 해킹·사이버보안대회에서 최종 우승을 차지했는데요. 소감 한 말씀 부탁드립니다.

우승 축하 감사합니다. 세계적인 대회인 DEFCON(데프콘)에서 우승을 차지하게 되어 큰 영광입니다.

그 동안 쌓아온 노력과 경험이 결실을 맺은 것 같아 기쁩니다.

특히 함께 참여한 MMM(Maple Mallard Magistrates) 팀원들 덕분에 많이 배웠고, 그 결과 우승할 수 있었습니다.

 

Q. DEFCON(데프콘)이란 대회는 어떤 대회인가요? 세계 최대 규모의 대회라고만 알고 있는데요.

네, 맞습니다. DEFCON(데프콘)은 매년 미국 라스베이거스에서 개최되는 세계 최대 규모의 해킹·사이버보안대회이자 글로벌 보안 컨퍼런스입니다.

1993년 해커 제프 모스(Jeff Moss)가 창설했는데요. 전 세계 보안 전문가와 화이트 해커들이 모여 최신 해킹 기술과 방어 전략을 논의합니다.

그중 데프콘 대표 프로그램인 DEFCON(데프콘) CTF(Capture The Flag)는 ‘해커들의 올림픽’이라 불리는 최고 난도의 해킹대회입니다.

세계 각국의 보안 전문가와 해킹 팀이 모여 네트워크 침투, 취약점 분석, 방어 전략 수립 등 최고 수준의 기술을 겨루죠.

이번 대회에도 예선에 전 세계 195개 팀이 참가했고, 예선을 거쳐 선발된 12개 팀이 본선에 진출했는데요.

본선에 한국팀 4곳이 진출했습니다. 그 대회에서 우리 팀이 최종 우승을 한 것이고요.

 

Q. 미국 라스베이거스에서 2박 3일간 진행했다고 들었습니다. DEFCON(데프콘)은 어떻게 진행되는지 궁금합니다.

DEFCON(데프콘) CTF는 예선과 본선으로 나뉘는데요. 본선에는 총 12팀만이 참가할 수 있습니다.

본선에는 전년도 DEFCON(데프콘) 우승팀과 주요 CTF 우승팀들, DEFCON(데프콘) 공식 예선에서 상위 7팀 안에 진입한 팀들에게 진출 자격이 주어집니다.

본선은 8월 7일부터 10일까지 열렸는데요. 모든 팀이 숙박하면서 대회가 진행됩니다.

예선에서는 단순 문제 해결 방식(Jeopardy)으로 진행된다면 본선에서는 공격(Attack) &방어(Defense), King of the Hill, LiveCTF 등 3개 분야의 종합 점수로 순위가 결정됩니다.

좀 더 설명해 드리자면,

• Attack &Defense(A&D): 모든 팀에게 동일한 취약점을 가진 서비스가 주어지고, 공격과 방어를 동시에 수행합니다.
• King of the Hill(KoH): 시스템을 점령하고 유지하는 것이 목표로 팀이 시스템의 주도권을 확보할 경우마다 점수를 획득합니다.
• LiveCTF: 특정 시간마다 열리는 1:1 토너먼트 방식. 동시에 같은 문제에 도전해 먼저 해결하는 쪽이 승리하게 됩니다.

Attack &Defense 때 저는 Attack 파트를 맡아 서비스 취약점을 발견하고 라운드마다 자동으로 동작하는 익스플로잇 코드를 작성해 공격을 자동화 했습니다.

Q. DEFCON(데프콘)에 MMM팀 소속으로 참여했다고 했는데요. MMM팀 소개를 부탁드립니다.

MMM(Maple Mallard Magistrates)팀은 2022년부터 올해까지 4년 연속 우승을 차지한 세계 최강 화이트 해커 팀입니다.

박세준 팀장이 주축이 되어 MMM팀을 이끌고 있는데요. 박세준 팀장님은 제가 재직 중인 사이버보안 전문기업 티오리(Theori) 대표님이기도 합니다.

그리고 한국정보기술연구원이 운영하는 ‘차세대 보안리더 양성 프로그램(BoB, Best of the Best)’ 책임멘토시기도 하죠.

MMM팀은 박 대표님과 BoB 수료생과 함께 구성된 저희 티오리(The Duck)팀, 미국 PPP팀, 캐나다 Maple Bacon팀과 연합한 팀입니다.

2022년부터 2025년까지 데프콘 CTF 4년 연속 1위를 차지한 팀이죠. 이번 예선에서도 우리 팀이 4,427점을 기록하며 1위를 차지했습니다.

2022년부터 이번 대회까지 4회 연속 우승한 팀입니다. 이런 팀과 함께 참가할 수 있어서 영광이었습니다.

 

Q. 현재 정보보호학과 2학년으로 학과 학생회장도 맡고 있는 걸로 알고 있는데요. 사이버보안 전문기업 티오리에 재직 중이라고요? 힘들진 않나요?

저는 학생이면서 동시에 직장인입니다. 수업이 없는 날에는 회사에 출근하고, 수업이 있을 때는 재택근무를 하는 등 유연근무 형태로 재직 중입니다.

학업과 병행하는 게 힘들진 않고 재밌습니다. 제가 특성화고를 나와서 이미 고등학교 3학년 때부터 연구원으로 재직 중이었습니다.

티오리는 해킹 사건이 일어났을 때 솔루션을 제시하는 등 컨설팅도 하고, 사이버 보안 관련 연구를 하는 회사입니다.

 

Q. DEFCON(데프콘) 외에 다른 대회에도 참가하나요?

네, 기회가 있으면 되도록 많은 대회에서 경험과 실력을 쌓기 위해 참가하고 있습니다.

(인터뷰 기준 11월 21일) 어제도 한국전력에서 주관하는 ‘제5회 ELECCON(ELEctric sector Cyber CONtest, 이하 일렉콘) 2025’에서도 우승했습니다.

일렉콘은 에너지 분야 실전형 사이버 공격 방어훈련으로 공격 1팀, 운영 1팀, 방어 32개 팀으로 구성되는데요.

실제 에너지시스템과 유사하게 구축된 가상의 환경에서 공격팀과 방어팀으로 나눠 실시간 공방 방식으로 진행합니다.

이 대회에서도 저희 팀(상금루팡슝슝이 팀)이 대학부 우승을 차지했습니다.

Q. 앞으로 어떤 꿈을 그리고 있는지 궁금합니다.

저는 나이 들어도 꾸준히 연구하는 사람이 되고 싶습니다. 제 주 분야가 취약점 연구인데요.

사이버 보안 분야에서 취약점 연구를 꾸준히 하고, 다양한 세계 컨퍼런스에서 발표하고 싶습니다.

이런 분야 활동을 버그바운티 활동이라고 하는데요. 기업의 보안 취약점을 찾아내 신소하면 보상받는 공개 해킹 대회나 프로그램을 의미합니다.

그러기 위해서는 지금, 현재를 열심히 달려야겠죠.

 

Q. 후배들에게 전하고 싶은 이야기가 있을까요?

저는 후배들이 학업과 대회의 균형을 잘 맞췄으면 좋겠습니다.

학업에만 몰두하거나 대회만 찾아서 나가기보다는 공부와 대회 참가의 밸런스를 잘 맞춰야 더 성장할 수 있거든요.

학교에서 배운 것들을 바탕으로 대회에서 경험을 쌓는 것도 중요하거든요.

그리고 전공 분야 관련 논문을 쓰거나 연구해서 컨퍼런스 등에서 발표하는 등 다양한 경험을 쌓고 자신의 것으로 만들길 바랍니다.