회고를 쓰는 건 처음인데 갑자기 내가 보안을 시작해서 어떻게 공부했는지 정리해보고 싶어서 글을 쓰게 되었다
24년 초에는 딱히 한 게 없어서 24년 후반부터 지금까지의 내용들만 써볼 거다
24년 9월
디코 돌아다니다가 KERIS라는 곳에서 4세대 나이스를 대상으로 보안점검단 신청을 받는다는 소식을 듣게 되었다
나이스 자체가 학생들이랑 교직원들만 쓰는 곳이다 보니까 학생, 교사들을 대상으로 모집받았던 모양이다
버그바운티를 한 두 번 해보긴 했었지만
정부 산하기관이 여는 바운티라는 메리트 + 무려 나이스의 취약점을 내가 찾는다고?
라는 기대감 때문에 취약점을 찾지 못하더라도 꼭 해보고 싶었다
결국 막 대단한 취약점은 아니었지만 하루 힘들게 찾아서 보고서를 제출하긴 했다
속으로 이게 인정이 될까 반신반의하며 썼는데 12월에 KERIS에서 조치 끝나고 포상금 받으라고 연락 와서 놀랐다
학교에서 메일 받고 좋아서 굴러다녔다 ㅋㅋ 암튼 버그바운티 경력에 쓸 거 하나 더 추가돼서 기분 좋았음..
24년 11월
드림핵에서 유저 5만 명 달성 기념으로 UCC CTF 열린다 해서 참여했다
23년에 드림핵 X-mas CTF 멋모르고 했다가 한 문제도 못 풀고 발린 이후로 처음이었다
결과적으로 목표했던 한 문제 푸는 거 성공했다
저거 하나에 4시간 정도 썼던 거 같은데
28등으로 마무리..!
생각보다 등수가 잘 나온 거 같다
24년 12월
23년에 카카오 버그바운티에서 포상 작게 한 번 받은 적이 있는데 "24년 끝나기 전에 2024 명예의 전당도 올라가 보자!"
라는 생각으로 열심히 삽질했다
마침 카카오가 취약점 인정 대상 범위를 확 늘려버렸던 때여서 급하게 취약점 하나 찾고 제보 넣었다
아쉽게도 다른 분이 같은 취약점 먼저 제출해 버려서 포상이랑 명예 전당은 못 올라갔다
경기과학고에서 주최하는 WaRP CTF에도 참여했었는데 마찬가지로 웹 1솔하고 끝냈다
지금 와서 생각해 보면 웹 문제 몇 개 더 풀 수 있었을 거 같은데 그래도 당시엔 만족해하며 마무리했다
20팀 밖에 참가를 안 해서 2팀 추첨하는 특별상 정도는 받을 거라 생각했는데 못 받은 건 진짜 너무 아쉬웠다
25년 1월
겨울방학해서 본격적으로 공부를 시작했다
일단 1월 11일에 Team H4C에서 '해킹하는 부엉이들 웹세미나' 한다고 해서 발표 들었다
닌텐도 취약점 분석, AI를 활용한 취약점 분석 등 다양한 게 있었는데
모바일 악성코드 최신 동향 분석이 제일 흥미로웠던 거 같다
안드로이드 리버싱 찍먹해본 적이 있어서 다른 발표들에 비해 더 와닿았고 얻어가는 것도 많았다
시간이 안 돼서 거의 끝나갈 때쯤 듣기 시작했는데 다음 기회엔 날 잡고 제대로 참여해야겠다
카카오 취약점 하나 찾아서 제보했다. 나름대로 보고서 제대로 써보려 했는데 퀄리티가 안 나온 거 같다 ㅋㅋ
포상 대상에 겨우 들어가긴 해서 25년 명예의 전당은 올라갈 예정이다
숭실대 해킹방어대회 열린대서 3명 팀원 모아서 나갔다
6시간 정도 뛰었고 100점짜리만 올솔브했다
종합 28등 일반부 17등으로 마무리했고
팀원들이 풀어놓은 문제를 또 풀고 있는 뻘짓을 해서 시간을 좀 많이 날려먹긴 했지만
다 같이 열심히 했고 고수들 사이에서 28등이면 나쁘지 않은 성과라고 생각한다
본격적으로 CTF 뛰다 보니 자신감이 붙어서 이걸 기점으로 해외대회랑 드림핵 CTF도 주기적으로 참가하기 시작했다
드림핵 1레벨만 주구장창 풀었다. 2, 3레벨 가면 뇌정지 와서 수준 맞춰서 하기로 했다
25년 2월
2월엔 특별한 거 없이 CTF랑 워게임만 계속했다
드림핵에 풀이 적는 기능이 있길래 문제 푼 거 싹 다 풀이 적어서 100개 넘었고 해결사 배너 받았다
Sechack님, One님, Predic님 같은 웹 고수분들이 쓰신 블로그 변태같이 다 정독하면서 웹 해킹만 공부했던 거 같다
학원 쉬는 시간까지 활용해 가며 하루 종일 write up 읽었었다
읽다 보니 EJS RCE라는 기법이 유명한지 자주 나와서 드림핵에서 관련문제들을 찾기 시작했고
급하게 ejs 모듈 대충 분석해서 관련문제들 보이는 건 다 풀어놨다
쓰고 보니 확실히 보안 쪽으로 열심히 공부한 거 같긴 하다
성적이랑 생기부도 적당히 챙겨야 하는데...
일주일 후에 코드게이트 예선 열리는데 진짜 꼭 본선 가고 싶다