카스퍼스키, 글로벌 CTF 대회 개최

8월 30~31일 양일간 전 세계 5개 리전 연결해 24시간 글로벌 토너먼트로 진행

카스퍼스키(지사장 이효은)는 오늘, 보안 인재 양성을 위한 실전형 교육 수단으로 진행되는 Capture the Flag(CTF) 대회가 전 세계 기업 및 기관으로부터 높은 관심을 받고 있다고 밝혔다.

카스퍼스키 레오니드 베즈베르셴코 글로벌 리서치 및 분석팀 (GReAT) 선임 보안 연구원은 “사이버보안은 더 이상 서버룸에만 국한된 이슈가 아닌 기업 경영진의 핵심 의제이며, 기업 전체의 관심이 요구되는 중요한 비즈니스 과제”라고 말했다.

기업을 대상으로 한 사이버공격은 규모 면에서 극적으로 증가했다. 카스퍼스키의 GReAT은 전 세계적으로 900개 이상의 APT 그룹과 작전을 지속적으로 모니터링 하고 있다.

카스퍼스키가 일부 APT 공격자들을 수십 년간 추적해 왔음에도 불구하고, 이들은 지속적으로 새로운 기술과 도구를 개발하며 진화하고 있다. 예를 들어 2025년 초, 카스퍼스키는 구글 크롬의 제로데이 취약점을 악용한 러시아 조직 대상의 복잡한 APT 공격인 ‘Operation ForumTroll’을 발견했다. 또한, 최근에는 라자루스가 주도하는 새로운 사이버공격이 한국의 소프트웨어, IT, 금융, 반도체 및 통신 부문 조직을 대상으로 전개되고 있다.

이처럼 위험이 높은 환경에서, 가장 강력한 사이버보안 전략은 단순한 도구(tool)뿐 아니라 사람을 기반으로 구축된다. 압박 상황에서도 비판적으로 사고할 수 있는 경험 많고 숙련된 전문가 확보는 기업을 안전하게 지키기 위해 필수적이다.

그러나 바로 그 ‘인적 요소’가 업계 최대의 난제로 떠오르고 있다. 사이버보안 인력 부족은 전 세계적인 병목현상이 되었고, 이에 따라 기업들은 숙련된 방어 인력 확보를 위한 채용, 교육, 유지 전략을 재고하고 있다.

이러한 가운데 전세계 주요 기업 및 기관들이 주최하거나 후원하고 있는 CTF(Capture the Flag)가 중요한 역할을 하고 있다. 한때 대학 강의실에 국한되어 있던 CTF는 이제 전문 역량 개발을 위한 진지한 도구로 빠르게 진화했다. 지금은 보안 컨설팅 회사, 정부 기관, 학계 기관뿐 아니라, 내부 인재 육성과 역량 진단을 목표로 하는 민간 기업들까지 CTF를 적극적으로 활용하고 있다. 전세계적으로 CTF는 높은 수준에 도달했으며, 협업 학습, 첨단 연구, 인재 발굴을 위한 장으로 자리 잡았다.

카스퍼스키는 오는 8월 30–31일 양일간 기업 보안팀 및 학계 기관을 위해 설계한 24시간 온라인 CTF 챌린지(our own 24-hour online CTF challenge)를 개최하며, 이를 통해 기업과 학계 보안팀이 실제로 조직의 대응 역량과 복원력을 어떻게 향상시키는지 직접 확인할 수 있을 것으로 기대하고 있다.

사이버보안 교육 프로그램과 정부 차원의 투자에도 불구하고, 업계는 여전히 심각한 인력 부족을 겪고 있다. (ISC)² 2023 Cybersecurity Workforce Study에 따르면 전 세계 공공 및 민간 영역 시스템을 보호하기 위해 약 4.8백만 명의 추가 보안 전문가가 필요한 것으로 조사됐다.

카스퍼스키가 발간한 The Portrait of a Modern Information Security Professional” 보고서 역시 동일한 결론을 제시한다. 경영진들은 “적절한 보안 전문가를 찾는 데 가장 큰 장애물은 자격증과 실무역량 간의 간극(52%)”이라고 답변했다. 또한 많은 보안 종사자들이 실제 위협 환경에 충분히 대비되지 않았다고 느끼며, 현장 경험 부족, 툴 접근의 제약, 실무 지식 격차를 주요 요인으로 꼽았다.

전문 인력 확보가 어려워지면서 기업들은 내부 인재 육성으로 전환하고 있지만, 변화 속도가 빠른 위협 환경에서 직원들이 지속적으로 최신 공격에 노출되도록 유지하는 것은 쉽지 않다. 특히 대부분의 기존 교육 프로그램이 정적 콘텐츠, 이론 중심 모듈, 단순 시뮬레이션에 의존하고 있어 실제 공격의 속도와 복잡성을 반영하기 어렵다는 한계가 있다.

이러한 한계를 보완하는 대안으로 CTF가 주목받고 있다. CTF는 실제 공격 시나리오를 기반으로 설계된 인터랙티브 이벤트로, 참가자는 다양한 보안 과제를 해결하며 플래그를 획득한다. 과제는 암호화된 데이터 복호화, 웹 애플리케이션 취약점 악용, 악성코드 분석 등으로 구성되어 있다.

CTF는 크게 Jeopardy 형식과 Attack-Defense 형식으로 나뉜다. 먼저 Jeopardy는 암호학, 디지털 포렌식, OSINT(Open-Source Intelligence), 웹 익스플로잇등 개별 과제가 제공되는 형식으로, 특정 기술지식 평가에 효과적이다. Attack-Defense는 각 팀이 자신의 인프라를 방어(Defense) 하면서 동시에 상대 인프라를 공격하는 동적 방식으로, 실제 보안 사고 대응에 필요한 협업·전략 역량을 테스트할 수 있다.

오늘날 CTF는 단순한 경쟁을 넘어 기업 내부 학습 문화 조성, 직원 주도적 참여, 보안의 조직 전체 우선순위화를 이끄는 전략적 툴로 활용되고 있다. 특히 게임화된 학습 구조는 기존 교육에서는 제공되기 어려운 호기심과 동기를 유발한다.

또한 일부 기업은 CTF를 인재 유지 및 채용 수단으로 활용해, 우수한 성과를 낸 직원에게 외부 대회 참여나 레드팀/블루팀 프로그램 참여 기회를 제공하고 있다.

카스퍼스키가 오는 8월 30~31일 개최하는 Kaspersky{CTF}는 북미, 남미·카리브해, 유럽·중동·튀르키예 및 아프리카(META), 러시아 및 CIS, 아시아·오세아니아 등 5개 리전의 학계 및 기업 보안팀이 참가하는 온라인 대회다.

참가팀은 암호학, 리버스 엔지니어링, 웹 취약점, AI 보안 등 다양한 영역에서 실전 기반의 공격 및 방어 역량을 평가받게 된다.

Kaspersky{CTF}만의 차별점은 수준 높은 도전 과제뿐만 아니라 규모와 기회에 있다. 각 지역 우승팀은 10월 26~29일 태국에서 열리는 카스퍼스키 보안분석가 서밋(Security Analyst Summit, SAS) 본선에 초청되며, SAS CTF 결승 진출팀들과 함께 총 18,000달러($18,000) 규모의 상금을 두고 결승전을 치르게 된다.

이번 대회는 핸즈온 교육과 혁신을 중심으로 사이버보안 생태계 발전에 기여해온 카스퍼스키의 오랜 전통을 기반으로 한다. 특히 UAE 사이버 보안 위원회(UAE Cyber Security Council)가 META 지역 트랙을 후원하며, 공공–민간 협력 기반의 대규모 사이버 복원력 구축의 모범 사례로 높은 평가를 받고 있다.

카스퍼스키 이효은 한국지사장은 “사이버 위협은 멈추지 않는다. 이러한 환경에서 CTF 대회는 단순한 기술 역량 함양을 넘어, 기업이 창의적이고 유기적으로 공격자보다 한 발 앞서기 위한 의지를 보여주는 수단이 되고 있다. Kaspersky{CTF}와 같은 이벤트에 참여함으로써 기업은 기술 역량 강화뿐 아니라 목적의식과 팀 연대감을 강화하는 공동의 복원력을 구축할 수 있다. 언제 어디서든 공격이 발생할 수 있는 현 시점에서 이러한 복원력은 가장 강력한 보안 수단이 될 수 있다”라고 말했다.

[KCSCON 2025 개최] 하반기 최대 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]

(제13회 KCSCON 2025 / 구 PASCON)

※ Korea Cyber Security Conference 2025

-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-

공공∙기업 정보보안 책임자/실무자 1,200여명 참석!

-2025년 하반기 최대 정보보호 컨퍼런스&전시회-

△주최: 데일리시큐

△후원: 과학기술정보통신부, 한국인터넷진흥원, 한국정보보호산업협회

△일시: 2025년 9월 16일 화요일(오전9시~오후5시)

△장소: 세종대 컨벤션센터 전관

△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업

개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명