AI 요약
2021년 HCKSYD 우승을 시작으로 2025년 말까지 전 세계 10위권 팀인 'TheHackersCrew'에서 활동한 필자는 현재의 CTF(Capture The Flag) 포맷이 한계에 직면했다고 주장합니다. 과거에는 보안 기술의 학습과 성취도를 측정하는 장이었으나, GPT-4의 등장 이후 중급 난이도 암호학 문제 등이 단 한 번의 프롬프트로 해결되는 '원샷(one-shottable)' 시대를 맞이했습니다. 최근 출시된 Claude Opus 4.5는 한 단계 더 나아가 하드급 문제까지 에이전트 방식으로 해결하며 판도를 완전히 바꿨습니다. 이제 팀들은 보안 기술 자체보다 CTFd API와 Claude Code 등을 결합한 자동화 시스템 구축에 더 열을 올리고 있으며, 이로 인해 CTFTime 리더보드의 신뢰도와 기존 명문 팀들의 참여 동기가 저하되고 있습니다. 결국 전통적인 해킹 방어 대회는 인간의 추론이 아닌 프론티어 모델의 성능을 측정하는 장으로 변질되었다는 것이 핵심입니다.
핵심 인사이트
- 저자의 전문성: 2021년 HCKSYD 솔로 우승, 호주 최대 규모 대회인 DownUnderCTF 다회 우승(Blitzkrieg 팀), 그리고 전 세계 최상위권인 TheHackersCrew 멤버로 2025년 말까지 활동한 전문가의 분석입니다.
- 기술적 전환점: GPT-4 시절에는 중급 난이도 해결에 10분 정도 소요되었으나, Claude Opus 4.5 출시 이후에는 대부분의 중급 및 일부 상급 문제까지 에이전트가 자율적으로 해결 가능해졌습니다.
- 리더보드의 변화: 글로벌 CTF 랭킹 사이트인 CTFTime에서 전통적인 강호들이 사라지고 있으며, 점수판은 보안 실력보다 AI 모델 활용 능력과 오케스트레이션 기술을 더 크게 반영하고 있습니다.
주요 디테일
- 자동화 도구의 활용: Claude Code와 CLI, MCP(Model Context Protocol) 도구들을 결합하여 CTFd API와 연동된 자동 문제 풀이 인스턴스를 구축하는 것이 일반화되었습니다.
- One-shottable 현상: 암호학(Cryptography) 등 특정 분야의 문제는 챌린지 코드를 ChatGPT에 복사해 넣는 것만으로도 10분 내에 플래그(Flag)를 획득할 수 있는 수준에 도달했습니다.
- 대회 운영 방식의 변질: 온라인 오픈 CTF의 경우, 초반 1시간 동안 AI 에이전트를 돌려 하위/중급 문제를 모두 해결한 뒤 남은 시간만 인간이 고난도 문제에 집중하는 전략이 필수가 되었습니다.
- 개발자 동기 저하: 수주에 걸쳐 정교하게 제작된 보안 챌린지가 AI에 의해 순식간에 풀리면서, CTF 문제를 예술의 영역으로 다루던 개발자들의 의욕이 꺾이고 있습니다.
향후 전망
- 포맷의 전면 재편: 인간과 AI의 협업을 전제로 하거나, AI가 풀 수 없는 완전히 새로운 형태의 고난도 추론 문제가 주류가 될 것으로 보입니다.
- 오프라인 대회의 가치 상승: 온라인에서의 AI 자동화를 차단할 수 있는 폐쇄형 오프라인 대회가 보안 실력을 측정하는 진정한 척도로 다시 주목받을 가능성이 큽니다.
출처:hackernews