🚩제 1회 IxC CTF 운영 후기🚩

# 글을 시작하며

---

 아직 연초이지만 벌써부터 큰 이벤트 하나가 지나갔습니다,, 정보보안을 공부하는 사람이라면 한 번쯤 들어봤을 CTF 대회를 직접 개최하여 문제 제작부터 대회 운영까지 모두 맡아 진행하였습니다. 대회를 zero부터 시작하여 마치기까지 저에게는 큰 업적이라고 생각하기도 하였고, CTF 운영을 하며 여러 블로그와 글들을 참고하였지만 운영에 관해 완전하게 정리되어 있는 글은 많지 않다고 생각하여 저희와 같이 보안을 공부하는 동아리나 스터디 등과 우리 동아리를 이어 나갈 운영진 분들에게 이 글이 가이드가 되었으면 하는 바람에 이렇게 글을 작성하게 되었습니다.

# IxC의 시작

---

 저는 현재 중앙대학교 소프트웨어학부 학과에서 정보보안을 공부하는 CAUtion의 회장을 맡고 있습니다. 지난 10월에 같은 학교 산업보안학과 정보보안 학술 동아리 ISANG 회장님과 연락이 닿아 좋은 기회로 두 동아리가 연합하여 CTF를 개최하기로 하였습니다. 대회명은 ISANG X CAUtion CTF, 줄여서 IxC CTF로 정하였습니다.

대회 개최의 의의 및 목표는 뚜렷하였습니다. 각 동아리마다 보안 공부를 이제 막 시작한 부원이 대부분을 이루고 있고, 그렇기에 CTF 경험이 없는 부원이 많았습니다. 이러한 Newbie에게 CTF 경험을 제공하여 이제까지 각자 공부한 내용을 응용하여 적용해보고, 재미를 붙일 수 있도록 하는 것이 대회의 취지였습니다. 따라서 수준 높은 문제들보다는 쉬운 문제들을 위주로 구성하고 CTF라는 대회의 진행 방식을 경험할 수 있도록 하였습니다.

이번 대회는 운영진 모두 CTF 운영 경험이 없었고, 처음으로 연합하여 진행하는 대회이기 때문에 운영이 미숙할 것으로 예상되어 대회 참가자를 외부인 대신 각 동아리 부원으로 한정하였습니다. 아마 이번 대회를 계기로 연합 CTF를 연례 행사로 진행하게 될 것 같은데 이후에는 운영 실력을 갈고 닦아 더 발전된 대회가 되었으면 하는 바람입니다.

대회 운영진은 각 동아리에서 CTF를 운영하기 위한 인원을 모아 총 16명으로 구성하였습니다. 운영진은 분야별 문제 출제팀, 웹 서버 운영팀, 홍보팀, Docker 팀으로 팀을 나누어 카카오톡 채팅방, Discord, Notion을 이용하여 협업하였습니다.

# 대회 준비

---

📌 예산 및 지원

우선 대회 진행을 위해서 예산이 들어가야 했던 부분은 다음과 같았습니다.

1. 대회 서버
2. 상금 및 상품
3. 도메인

다행히도 CAUtion은 NAVER D2로부터 지원을 받고 있었고 ISANG은 중앙대학교 LINC 3.0 사업단으로부터 지원을 받고 있어 지원과 더불어 자치 예산으로 모두 해결할 수 있었습니다. 네이버 클라우드 플랫폼의 서버와 약 80만원 어치의 상품을 지원 받았고 동아리 자치 예산으로 도메인을 구입하였습니다. 지원해주신 두 곳에 모두 진심으로 감사드립니다 ..😂

📌 대회 서버

대회 서버는 앞에서 언급했듯이 NAVER D2로부터 지원을 받았고, 네이버 클라우드 플랫폼에서 제공하는 [Standard] 4vCPU, 16GB Mem, 50GB Disk [g2] 사양의 클라우드 서버를 이용하였습니다.

클라우드 서버는 대회 후에도 CAUtion에서 사용하기 때문에, 운영진의 서버 제어를 위해 전용 사용자를 만들어 ssh로 접근함으로써 서버를 제어하도록 하였습니다.

📌 홍보

홍보도 빠져서는 안되는 대회 준비사항이었고 홍보 방법, 홍보 대상, 홍보 목적 등등 여러 이야기가 있지만 대회의 성격에 영향을 받기 때문에 생략하도록 하겠습니다.

📌 CTFd

CTF는 자체 플랫폼을 제작하는 것도 방법이겠지만 가장 유명한 플랫폼인 CTFd 서비스를 이용하였습니다. 내부적으로 다양한 기능과 유용한 기능이 이미 구축되어 있기에 CTFd를 이용하는 것을 추천드립니다. ~ CTFd Docs

1) Deployment

여기서는 CTFd를 구축하는 방법을 설명드리겠습니다. 저희는 docker를 이용하여 CTFd 사이트를 구동하였습니다.

1. CTFd github 클론

    git clone https://github.com/CTFd/CTFd.git
   

2. CTFd/docker-compose.yml 를 알맞게 수정

   다른 블로그 등에서는 SECRET_KEY 필드를 추가하고 임의의 값을 설정하라고 하였는데, 없어도 실행이 되긴 하는 것 같습니다..?

3. docker-compose를 이용하여 컨테이너 생성

    sudo docker-compose up
   

   저는 처음 실행할 때 여러 오류가 발생했습니다. pip, openssl 등등.. 해당 오류들을 고친 후에 정상 동작하는지 확인합니다. (보통 설치되어 있지 않거나 버전 오류였습니다..)

4. 정상적으로 사이트에 접속이 가능하면 docker를 백그라운드로 실행

    sudo docker-compose up -d
   

주어진 docker-compose.yml 에서 이미 volumes를 관리하기 때문에 서버가 꺼져 docker 컨테이너가 down 되어도 다시 컨테이너 생성 시에 저장된 DB에서 정보를 불러옵니다.

혹은 CTFd 내부에서 자체 백업 시스템을 제공합니다. 아래에서 다시 다루겠습니다.

2) Settings

CTFd 컨테이너가 생성된 이후에 CTFd에서 제공하는 기본 세팅을 마치면 대회 사이트가 동작합니다. 주로 사용하였던 기능을 아래에 정리하겠습니다.

• Pages

  • HTML과 Markdown 언어를 이용하여 페이지를 제작할 수 있습니다. Media Library에서 이미지 등을 업로드하면 파일 위치를 받을 수 있고 본문에 활용할 수 있습니다.

  • 아래 이미지는 저희가 제작한 대회 index 페이지입니다.

• Notification

  • 모든 사용자에게 알림을 보낼 수 있는 기능입니다. 알림의 유형도 정할 수 있습니다.

  • 아래 이미지는 IxC 대회 중간에 안내할 사항을 Notification으로 전송한 모습입니다.

• Configuration

  • Appearance: CTF 대회명, 설명 설정 가능
  • Theme: Logo, Icon, Header, Footer 등을 설정 가능.

  <style>
      :not(i) {
          font-family: 'LINESeedKR-Bd' !important;
      }
  </style>
  

  Tip. 위와 같은 코드를 Header에 삽입하면 사이트 전체 글꼴을 변경할 수 있습니다.

  • Custom Fields : 대회 사이트 가입 시 참여자의 추가 정보를 입력 받을 수 있도록 설정 가능. IxC는 동아리 부원만 참여할 수 있었기에 이름, 학번, 소속을 입력 받도록 하여 검증하였습니다.

  • Backup : CTFd의 현재 상태를 저장한 zip파일을 추출하고, 저장된 zip파일을 import 할 수 있습니다. Docker에서 볼륨을 설정해주어 별다른 백업이 필요 없었지만 혹시 모를 사태를 대비하여 대회 기간 동안 주기적으로 백업을 하여 노션에 저장하였습니다.

📌 DNS

DNS는 다음과 같은 순서로 설정하였습니다.

1. 가비아에서 도메인 구입

2. 네이버 클라우드 - Global DNS에 가비아에서 등록한 도메인 등록. 레코드 값으로는 서버의 IP 주소를 넣어줍니다.

3. 네임 서버 확인

   네이버 클라우드에서는 다음 두 개를 네임서버로 제공합니다. ns1-1.ns-ncloud.com / ns1-2.ns-ncloud.com

4. 가비아 도메인 관리 탭에서 네임 서버 등록

5. 도메인으로 접속 가능

Tip. IxC에서는 다음과 같이 별칭(서브 도메인)을 설정하여 문제별로 직관적인 도메인을 사용할 수 있도록 설정하였습니다. ex) web.isangxcaution.xyz:1234

📌 문제 제작

문제 제작은 첫 회의 때 분야별로 출제할 문제 수를 정하고 각 분야별로 회의하여 문제를 출제하였습니다. 처음 목표한 출제 문제 수는 33개였으나 열정 넘치는 운영진 분들께서 단 7명의 운영진이 총 44개의 문제를 제작하였습니다..👏 문제가 다 만들어지고 나서는 문제가 많다고 생각하였으나 마찬가지로 열정적인 참가자분들께서 2개의 문제를 남기고 모두 푸셨습니다..🙊

1) Deployment

CTF는 해킹방어대회의 일반적인 진행 방식으로, 특정 서비스나 프로그램을 대상으로 취약점을 찾아내어 숨겨진 플래그(Flag) 파일을 찾아내는 대회입니다. 대회의 특성상 플래그를 포함한 취약한 서비스를 구동하는 서버가 필요합니다. 그러나 문제 n개에 대해 서버 n개를 운영할 수 없으므로 가상 환경을 구축하여 해당 환경을 대회 참여자가 접속할 수 있도록 해야합니다. 이를 위한 최적의 선택지는 Docker를 이용하여 문제 서버를 구축하는 것입니다.

IxC에서는 Docker를 이용해야 하는 문제가 총 27문제였고, 많은 문제를 관리하기 위해서 docker-compose 을 이용하여 여러 개의 컨테이너(문제 서버)를 관리하였습니다. IxC에서 진행한 Docker 관리 방법에 대해서 이야기하겠습니다.

• 문제 하나당 Dockerfile 하나와 docker-compose.yml 파일을 생성하여 관리합니다. 이는 개별 문제를 수정해야할 때 컨테이너의 재시작 등을 위함입니다.
• 각 분야별로 문제 디렉토리를 만들고, 내부에 Dockerfile과 docker-compose.yml이 포함되도록 하였습니다. 구조의 예시는 다음과 같습니다.

  .(category directory)
  │
  ├── challenge1
  │   ├── docker-compose.yml
  │   ├── Dockerfile
  │   └── index.html
  ├── challenge2
  │   ├── app.py
  │   ├── docker-compose.yml
  │   ├── Dockerfile
  │   ├── flag.txt
  │   └── templates
  │       └── index.html
  ...
  
  

• docker-compose.yml 예시

  version: '3'
  
  services:
    web-challenge1:
      build: .
      image: "challenge1"
      ports:
        - "10100:80"
  

  • version: compose 파일의 버전으로 버전별 특징은 공식 문서 참고.
  • service: 서비스 목록을 작성. 문제 이미지(ex. web-challenge1) 이외에도 사용하는 서비스가 있을 경우 추가.
  • build: Dockerfile이 위치한 경로 작성.
  • image: 이미지 이름 설정.
  • ports: {host port}:{container port} 순서로 작성. 예시에서는 10100 포트로 접속시 컨테이너의 80번 포트와 매핑한다는 의미입니다. web.isangxcaution.xyz:10100과 같은 hostname으로 접속할 수 있습니다.

  
  

  Docker 네트워크 풀(Network Pool) 오류

  Creating network "{challenge_name}" with the default driver
  ERROR: could not find an available, non-overlapping IPv4 address pool among the defaults to assign to the network
  

  IxC 대회 준비 중 문제 컨테이너 생성 시 위와 같은 오류 메시지를 마주하였습니다. 이는 docker에서 관리하는 네트워크 풀이 가득 차 더 이상 네트워크를 생성할 수 없다는 의미입니다. 문제 1개당 네트워크 1개를 생성하기 때문에 이러한 오류가 발생하는 것입니다. 이를 해결하기 위해서 각 문제별 컨테이너가 동일한 네트워크에 존재해도 되는 문제끼리 같은 네트워크에 위치하도록 설정해야 합니다.

  networks:
    default:
      external:
        name: ixc_net
  

  위의 코드를 같은 네트워크에 위치할 문제의 compose 파일에 추가하면 같은 네트워크에서 컨테이너가 동작하게 되고 임시적으로 문제를 해소할 수 있습니다.

  Solved by smart_kang

• Dockerfile, compose 파일, 문제 파일 등이 준비되면 아래 명령을 이용하여 container를 생성합니다.

  # 해당 디렉토리 내에서 실행
  sudo docker-compose up -d --build
  
  # 절대경로를 명시
  sudo docker-compose -f {compose_file_path} up -d --build
  

• 하나의 문제를 수정한 뒤에는 수정 사항을 반영하여 이미지를 다시 build하고 컨테이너를 재부팅합니다.

  # 실행 중인 컨테이너 DOWN
  sudo docker-compose down
  
  # 이미를 build할 사항이 있다면 build하고(--build) container를 백그라운드에서 실행(-d)
  sudo docker-compose up -d --build
  

• 서버를 재부팅하거나, Docker에 문제가 발생하였을 경우에 모든 문제의 compose 파일을 일일히 명령어를 입력하여 컨테이너를 동작시키는 것은 비효율적이라고 생각하여 다음과 같이 script를 제작하여 실행하도록 하였습니다.

  

2) Validation

문제를 제작한 후 해당 문제의 안전성을 검증하는 것은 필수라고 생각하였습니다. 문제를 검증하기 위한 방법으로는 1) 운영진 서로의 문제를 풀어보고 피드백 2) 출제가 직접 본인의 Write-Up 작성 두 가지를 채택했습니다.

위와 같이 운영진 서로의 문제를 풀어보고 위와 같이 피드백을 남겨두었습니다.

📌 추가로

1) CTFd-First-Blood-Discord-Bot

대회 중 임의의 문제를 처음으로 풀었을 경우 디스코드에 공지를 하는 봇을 운영진 분 한 분께서 도입하였습니다(By neko_hat). 해당 봇의 레포지토리에서 자세한 사용법을 확인하실 수 있습니다.

2) 대회 기간 운영진 상주

타임테이블을 만들어 대회 기간동안 운영진이 질의응답과 서버를 관리할 수 있도록 상주 인원을 구성하였습니다. 상주 인원은 운영진 디스코드 음성 채널에 접속하여 빠르게 피드백을 주고 받도록 조치하였습니다.

# 대회 시작

대회는 걱정과는 달리 무사히 시작되었습니다. 심각한 문제 오류도 없었고 중간에 서버가 꺼지거나 트래픽이 몰리는 현상도 나타나지 않았습니다.

4개의 특별 문제도 준비하여 일정 시간에 공개하였고 4개의 보너스 문제를 준비하여 대회에 재미를 더하였습니다.

대회가 끝날 쯤에는 문제 풀이자 수가 적은 문제들에 대한 힌트를 공개하기도 하였습니다.

# 대회를 마치며

---

대회는 나름 성공적으로 마치게 되었고, 대회 마무리 단계를 진행하였습니다.

📌 수상자 Write-Up 취합

대회 수상자 중 1등에서 5등까지 풀이한 문제에 대한 Write-Up을 제출해야 하는 규칙이 있어 주어진 기간까지 제출 받았습니다.

📌 Write-Up 공개

문제 출제자의 Write-Up과 1등에서 5등까지의 수상자의 Write-Up을 Github 레포지토리에 정리하여 공개하였습니다.

📌 상품 수여

수상자 명단을 정리하여 상품을 수여하기 위한 절차를 진행하였습니다. 방학 기간인 관계로 개강한 첫 주에 오프라인으로 상품을 배부하였고 오프라인 수령이 어려운 분들에게는 착불 택배로 배부하였습니다.

📌 결과 보고 카드 뉴스

참가자 분들과 각 동아리에 대회 결과를 공유하기 위해 수상자 목록과 대회 통계, 지원사 감사 인사를 포함하여 카드 뉴스 형식으로 제작하였습니다.

이렇게 대회는 별 문제 없이 마무리가 되었으나, 개인적으로 아쉬웠던 점 몇 가지가 있었습니다.

첫 째, 대회 준비를 시작한 기간이 학기 중이다 보니 기말고사 기간과 학교 과제 프로젝트 진행 기간을 피할 수 없었습니다. 바쁜 일정 중에서도 대회를 준비해야 했고, 모든 학교 일정이 끝난 후에는 연말 연초 시즌에 16명의 운영진의 일정을 맞추기란 쉽지 않았습니다. 때문에 대회 준비에만 온전히 집중하기에는 어려웠고, 자연스레 운영진 내에서 기획한 내용들을 모두 성공적으로 진행하지 못하게 된 점이 아쉬웠습니다😥

둘 째, 대회 사이트에 SSL 인증서를 발급 받아 적용할 계획이 있었으나 우선 순위에서 밀려나게 되었고 일정 문제로 진행하지 못하였던 점이 아쉬웠습니다.

개인적으로 처음 직접 진행해보는 대회였고, 동아리의 회장으로서 부원들에게 좋은 경험을 제공하기 위해 계획한 대회를 별 문제 없이 마치고 싶었습니다. 또한 예산과 서버 등을 지원 받은 상태에서 대회를 성공적으로 마쳐야 한다는 부담감이 있었습니다. 그러나, 함께 대회를 운영하는 운영진 분들의 참여와 능력 덕분에 별 탈 없이 대회를 마칠 수 있었고, 대회 참여율이 저조할 것만 같았지만 각 동아리에서 많은 분들께서 참여해주셔서 문제를 열심히 푸는 모습에서 보람을 느꼈습니다.

또한 대회 운영을 위해 이렇게 웹 서버도 직접 구축해보고, 문제도 만들어보고, 평소 공부하고 싶었던 내용들을 공부할 수 있어 즐거웠고 제 자신이 한층 성장한듯한 느낌이 들었습니다. 앞으로도 시작도 전에 두려움을 가지기보다는 우선 부딪혀 봐야겠다는 다짐을 하게 된 귀한 경험이었습니다.

긴 글 읽어주셔서 감사합니다. 궁금한 점이나 피드백이 있으시다면 댓글 남겨주시면 감사하겠습니다 ☺