Postmortems of DEFCON


Header imageDEFCON 32, Las Vegas, NV, USA (at Aug 11, 2024). 저 말대로 DEFCON에 내년에 다시 가게 됩니다.

대학 재학 기간 중, 2024년, 2025년 두 번의 DEFCON CTF 참가 경험을 기록하고자 합니다. 제가 있어도 되나 싶을 정도의 훌륭한 팀인 Cold Fusion 을 만나 경험한 것들을 작성해볼 예정입니다. 그에 더해, CTF 뿐만 아니라 라스베가스에서 할 수 있었던 컨텐츠들, 교통수단, 숙소, 그리고 PLUS 사람들끼리의 에피소드를 회고해보려고 합니다.

특히 2025년 DEFCON의 경우, POSTECH Voucher 제도를 사용해 방문했습니다. POSTECH Voucher를 활용하고자 하는 후배들에게도 도움이 되었으면 합니다.

Caution

아직은 작성중인 글입니다! 예전부터 글의 기반만 다지고 있었는데 올해 후배들이 다시 DEFCON을 가게 되면서, 글을 마무리해야겠다는 생각이 들어 작성 중입니다. 2024년과 2025년의 경험을 기반으로 작성하고 있습니다.

비록 2026년 올해는 여러 사정으로 현지 참여는 힘들 것 같지만, 예선 3위를 한 만큼 본선에서도 좋은 결과가 있었으면 좋겠습니다.

Note

과거의 일을 기록하기 때문에, 24년도 및 25년도 PLUS 대화 기록을 뒤적이며 적었습니다. 제가 정확히 기억하지 못하는 부분도 있으며, 이 점에 있어서는 최대한 기록을 찾아서 복원하려 했습니다.

On DEFCON

대회 얘기를 먼저 다루고, 그 다음에 라스베가스에서의 경험을 풀어 보겠습니다. 글 분량이 상당히 길어질 것 같습니다.

Team

Cold Fusion킹갓제너럴엠퍼러마제스티대대대 qwerty 주도로 다양한 팀이 모여 구성된 팀입니다. 매 출전마다 살짝씩 구성이 변화했지만, PLUS는 qwerty의 홈타운(?) 이기 때문에, 자연스럽게 Cold Fusion의 초기부터 합류하여 계속 함께 활동했습니다.

저 또한 초기부터, (사실 직속 PLUS 선배들이 qwerty, poro와 같은 월드클래스 탈인간들이기 떄문에) 2026년 현재까지 Cold Fusion(와 그 전신 프로그램털모찌) 합류하여 2023년부터 해외에 나가는 굵직굵직한 CTF를 뛰었습니다. 생각해보니까 HITCON은 또 다른 글으로 한번 정리해봐야겠습니다. 즐긴것도 많고, 제 첫 해외 CTF에서 경험한 게 많았기 때문입니다.

아무튼, 23’ HITCON1, 24’ HITCON, 24’-26’ DEFCON을 Cold Fusion으로 출전했습니다. 리버싱 분야 문제들 하나씩 잡아 가면서 1인분…은 거짓말이겠지만 각 CTF마다 0.5인분은 하지 않았을까 조심스럽게 생각합니다.

Qualifying

예선 끝나기 5분 전에 틀어놓으면 딱 예선 끝날때 끝납니다. (러닝타임 4분 57초) 떠오르는 햇살(KST)을 맞으며 축배를 올려 보세요.

24년 DEFCON Qual은 예선 6등 으로, 25년 DEFCON Qual은 예선 8등으로, 그리고 26년 DEFCON Qual은 예선 3등으로 통과했습니다. 물론 26년으로 오면 올수록 LLM 의존도가 높아지긴 하지만, 그래도 Cold Fusion의 팀원들과 함께 문제를 풀고 48시간 밤새며 문제를 풀어가는 과정은 여전히 즐겁습니다.

24년에는 poro와 함께 체스 비스무리한 문제를 잡았습니다. 제가 아직 어리버리할 때라서 이때 가장 기억에 남는 건, poro가 SHA256을 역산할 수 있는 능력이 있다는 점입니다.

Poro's Hypothesis

Poro's Hypothesis 사람아니야…

25년에는 GPIO pin으로 VM 조작하는 비스무리한 문제를 풀었습니다. DEFCON 본선 시드권을 제외했을 때, 본선 진출 가능 팀이 8위까지라 막판에 제가 기여한 문제가 도움이 되었다는 면에서 뿌듯함을 느꼈습니다. 이거 안풀면 미국 못간다! 정도의 압박이어서 소스코드에 험한 말이 좀 많이 있었던 해프닝(?) 이 있습니다.

Aplace Solver 파일명이 심상치 않습니다

Aplace Solution

새벽 3시 (대회 시작 39시간째)에 저러고 있으니 죽을 맛이었습니다. 예선 끝나자마자 병원(리스폰 지점)에 가서 수액 맞고 자다 일어났습니다.

Reviewing Quals

3번 모두 본선에 진출할 수 있었습니다. 뭐 문제 풀이야 (특히 요즘은) “결국엔” LLM의 힘을 빌려온다면 분석이라던지, Payload 작성이라던지 도움을 받을 수 있다고 생각합니다. 처음 DEFCON을 뛸 때는 이 사실을 간과한 채 풀이에만 집중해서 툴링은 커녕 있는 시스템 따라가기도 벅찼습니다.

KoTH(King of the Hill)이나 Attack & Defence, LiveCTF와 같은 다양한 경쟁 방식, 제출 방식으로 Qualifying round부터 경쟁하기 때문에 일반적인 Jeopardy만을 생각했다가는 큰 코 다치게 됩니다. (제 얘기입니다) 두세 번 해보면서 익숙해지는 점도 있었지만, 오히려 이 점이 처음에 DEFCON이라는 CTF가 어떻게 돌아가는지 네트워크와 시스템만 잘 파악하더라도 1인분 할 수 있겠다는 생각이 듭니다. 문제가 주어질 때 플래그를 계산할 줄은 알지만, 정작 문제를 받아오고 제출 포맷에 맞추어 제출하기가 안되면 사고니까요. 특히 DEFCON에 첫 출전인 플레이어가 많다면 툴링 도와주기 등등을 알고 가는게 좋을 것 같다고 생각이 듭니다.

Finals

2024

2024년에 본선에서 집중한 분야는 KoTH를 맡아 잡고 풀었습니다. 23년 HITCON 본선에서 KoTH에 대한 좋은 기억이 있었기도 했고, 툴링 및 시스템을 잘 모르는 상태여서 A&D보다는 그나마 KoTH로 들어가는게 마음이 편하기도 했습니다.

llmship이라는 문제를 잡았습니다. 가상의 원형 아레나에서 12개의 본선 팀들별로 전함(?)이 주어지고, 그 전함을 잘 조종하여 상대 전함을 격침시키거나, 무빙을 잘 쳐서 공격을 피하거나, 방어막을 발동하거나, 자폭을 하거나(실제 기능) 해서 킬 수와 생존 시간에 비례해 점수를 산정하여 각 틱별로 진행하는 방식입니다. 전함에 명령을 내리는 방식은 게임 키 입력하듯이 각 프레임마다 “right”, “attack”, “shield”, “leave”: 자폭 과 같이 텍스트 입력을 하면 되는 방식이었습니다. 무효한 명령어는 아무 동작도 하지 않습니다.

…그리고 그 텍스트는 (문제 이름대로) LLM이 생성합니다! (프레임 넘버 같은 환경 변수를 사용할 수 있는) 프롬프트 하나는 405b짜리 모델, 그리고 다른 프롬프트는 무려 8b짜리 모델이 입력 명령어를 생성합니다. 26년에 복기하는거라 8b라는 파괴적인 숫자를 다시 보니까 경악이 나오는 파라미터 수인것 같습니다. 현재 프레임 수를 입력으로 줘도 얘를 가지고 산수도 못하는, 그야말로 금쪽이를 전함에 태우는 느낌이었습니다. 405b는 10프레임정도에 1회씩 수행되고 8b는 나머지 10프레임 중 9프레임을 수행합니다.

결국 8b 모델이 할 수 있는 건 고정된 하나의 행동 (“Always answer right 같이…) 이라고 생각했습니다. 당시 시뮬레이션 시스템에 주어진 회전 각(가)속도, 이동 (가)속도, 탄환 속도 등 모든 파라미터를 고려하여 최적의 행동을 인간으로써 계산했습니다.

Atillery Hypothesis 일단은 이론상은 돌아갈 것 같았습니다

이렇게 1일차의 모든 KoTH 틱이 끝났고, 밤이 되었습니다. 그렇다고 해서 CTF가 멈추는 것은 아니죠. FDC로 전직하게 되었습니다. 저녁에 가설을 세운걸 토대로 현지 시간 새벽 두시에 Google Sheet를 열고 사격통제컴퓨터라는 스프레드시트를 만든 걸 보면 어지간히 정신이 힘들었나 봅니다. 근데 동작은 잘 되었습니다.

FDC Computer Sheet Reactions

적들이 있을 법한 방위각에 맞춰서 정렬을 하기 위해, 8b 모델이 무작정 돌기만 할 때 405b 모델이 적절히 (반대로)돌거나, 멈추거나 해서 각가속도를 조절합니다. 마찬가지로 405b 모델이 방위각이 잘 나왔을때 사격하는 역할까지 수행합니다.

4AM Hotel

메타데이터를 보니까 찍힌 시간이 새벽 3시 54분이었습니다. 밤새도록 8b 금쪽이를 잘 키웠습니다. 침대 위에 쓰러져있는 사람은 qwerty입니다.

그래서 결과는 어땠냐구요? 직접 보시죠. 위에서부터 179라운드, 185라운드입니다. 매드무비 모음집으로 추려왔습니다. 제 장례식장에서 고인의 생전 개쩌는 모멘트 로 기억되고 싶은 영상들입니다.

185라운드 영상을 보시면, 다른 팀들도 저희 팀과 비슷하게 확 돌고 쏘는 모습을 볼 수 있었습니다. 다른 팀들이 저희 프롬프트를 가져가기 시작한 것입니다.

KoTH라는 시스템이 초반에 감을 일찍 잡아서 다른 팀이 못푸는 사이 격차를 벌려야 유리하다는 점에도 불구하고, 2일차 제 전략이 실제로 유효하게 먹혀들어간 것 같아 뿌듯했습니다. 상위권은 아니었지만 그래도 KoTH 등수에 기여해서 다행입니다. 무엇보다도, DEFCON 왕초보가 구상한 공격 방식을 다른 유명 팀들이 가져가서 실제로 적용하는 모습을 보니 저에게는 감회가 좀 달랐습니다. 성공적인 분탕이었다고 생각됩니다.

2025

Note

Writing in Progress.

Reviewing Finals

Note

Writing in Progress.


Off the CTF

이제부터는 좀 다른 얘기를 해볼까 합니다. 대회의 내용이 아닌 대회와 관련된 잡다한 숙박 및 교통, 놀 거리, 구경한 것들 등 Las Vegas를 “즐기고 온” 쪽의 얘기를 기록하려고 합니다.

Transportation

2024년에는 제가 서울 모처에서 인턴십을 진행하고 있어서 서울 출발으로 시작할 수 있었지만, PLUS의 모든 여정은 포항이라는 저주받은 지리적 위치에서 출발하고 끝나게 됩니다. 국토의 대동맥에 살짝 엇나가있는 위치라서, 일단 서울역까지 KTX로 최소 2시간 30분이 걸립니다. (물론 캠퍼스에서 포항역까지 택시로 20분, 버스로 1시간!)

인천공항까지 버스를 타고 가는 방법은 대개 심야버스로, 미주 항공노선이랑 시간이 애매하게 맞지 않을 것 같아 패스했었습니다. 개인적인 사유(수상한 목적으로 일본에 자주 가는 인간)으로 해당 노선 버스를 탈 일이 종종 있었는데 5시간정도 걸리더군요.

2024

  • 갈 때: ICN -> HNL -> LAS
  • 올 때: LAS -> LAX -> ICN

24년 멤버는 Aplace(저, 가장 뉴비), boo, beta, f2koi, qwerty 로 기억합니다. jjong22도 라스베가스는 왔지만 사정상 회사 일정(다른 Village)에 모든 시간을 투자해야 해서 밥만 몇 번 같이 먹었습니다.

2025

  • 갈 때: ICN -> LAX -> LAS
  • 올 때: LAS -> ICN (직항!)

25년 멤버는 Aplace, beta, guna, Kaere, physicube, PotatoY, qwerty 입니다.

Accomodation

Tip

POSTECH Voucher 제도가 본격적으로 시작된건 2024년 후반입니다. PLUS에서 자꾸 지원을 해달라고 해서 아예 제도를 명문화한건지 모르겠지만 Voucher 제도 처음 설명회에서도 해외 컨퍼런스 방문(예: 해킹 대회) 라고 적혀있었습니다. 실제로 Voucher를 사용해 대회를 다녀온 건 2024 HITCON Finals가 처음 (POSTECH 첫 번째 바우처 사용 사례)입니다.

이어지는 노벨위크로 인해 저는 POSTECH 최초로 Voucher 장이 되었습니다.

2024

Rio에서 있었습니다. 앞서 작성했듯, PLUS가 돈을 많이 받아올 수 없는 상황이었기 때문에 주최 측에서 팀에게 주는 숙소 하나를 PLUS가 사용하게 되었습니다.

2025

Excalibur에서 6일간 머물렀습니다. 시설이 꽤 오래되었지만 가격이 싸기 때문에 머물렀습니다. 인터넷 환경은 예상 외로 나쁘지 않았던 것 같은데 냉장고는 옵션으로 돈주고 추가해야 했습니다.

본격적으로 Voucher를 사용했습니다. 참여한 PLUS 출신 Cold Fusion 팀원은 총 6인으로, 바우처를 사용가능한 인원이 2명(PotatoY, guna) 참여했고, 나머지 4명은 바우처를 다 썼거나(Aplace), 지급되지 않거나(qwerty, Kaere), 이미 졸업했거나 (physicube)입니다.

바우처 제도는 해외 대회의 경우 최대 USD 100 / 박 지원됩니다. (6일 숙박) * (2인 바우처) == 총 USD 1200 만큼 사용 가능했고, 당시 환율 상 160만원 가까이 되었습니다.

동아리비를 사용해서 200만원을 채우고, 그러고도 남은 금액의 경우 바우처가 없는 4인의 할아버지들이 N빵으로 지불했습니다. 최종 추가 지불 금액은 인당 20만원 언저리였습니다.

Meals

버거 세트 한 번 먹으면 포항에서 학식을 10번 먹을 수 있어요

라고 PotatoY가 말했던 것 같은데, 학식이 3500원에서 4500원으로 올라서 거짓입니다. 근데 환율도 같이 올라서 다시 맞는것같기도?

Sightseeing and Entertainment

Gambling

일단 엔터테인먼트 목적의 소액이면 괜찮은 걸로 알고 있습니다. 하지만 라스베가스에선 만 21세 미만은 도박을 할 수 없습니다. 빡세게 잡는 사람을 본 적은 없지만 (+ 테이블에서 딜러랑 하는건 카드게임류는 시작할때 나이를 물어봤던 걸로 기억합니다. qwerty가 나이체크를 당했습니다.) 빨간숫자 파란숫자에 크게 흔들려서 투자도 섣불리 못하는 사람이기 때문에, 당연히 도박은 패스였습니다.

Arcade

24년에는 저 혼자라 고민하다 못갔지만, 25년에는 2회차가 되었겠다 + 뜻이 맞는 사람이 모였다 버프로 라스베가스의 오락실에 갔습니다. PLUS에서 저와 Kaere가 리듬게임 애호가 우락스레기 이기 때문에, 꼭 가보자고 다짐했습니다.

Red Note Rhythm Games

상당히 기체 종류가 많았습니다. Kaere 선배가 그루브코스터가 본진이셨는데, 그코 기체가 있었으나 고장난 관계로 아쉬웠습니다. 일본 내수용 리듬게임 기체들을 떼어서 그대로 인터페이스만 영어로 바꾼 채로 사설 서버로 운영중이었습니다 - 온게키 / 테토테 커넥트 등 한국에서 못 보는 리듬게임을 미국에서 볼 수 있다는 점이 신기했습니다.

수상하리만치 무서운 상관 관계 법칙에 의하여 DEFCON 회장에서 있었던 사람들이 대거 오락실에서 발견되었습니다. 옷만 봐도 다른 CTF Team, 혹은 Village로 보였습니다. 어둠의 Aplace를 본 사람들은 아시겠지만 세가쪽 리겜 많이 해서 (올해 초에 CHUNITHM 무지개를 달았다고 합니다. 뉴비에요) 가서 재밌게 놀았습니다. 마이마이 버튼에 깨진 부분이 좀 있고 헐거웠었는데 미국에서 플레이하는것만으로 다행이죠.

Footnotes

  1. Cold Fusion의 전신(?): 프로그램털모찌로 출전했습니다. 이때 재밌는 기억들이 상당히 많았습니다.