Skip to main contentSkip to footer
Search
LY Corporation Tech Blog

LY Corporation과 LY Corporation Group(LINE Plus, LINE Taiwan and LINE Vietnam)의 기술과 개발 문화를 알립니다.

커뮤니티와 함께 성장하는 실무 보안 지식, LINE CTF

안녕하세요. 보안 엔지니어 여석기입니다. LY Corporation에서는 2021년부터 매년 글로벌 보안 기술 대회인 LINE CTF를 개최하고 있습니다. LINE CTF는 보안에 관심 있는 전 세계의 연구자와 엔지니어들이 함께 문제를 풀며 서로의 접근 방식을 배우고 기술적으로 성장하는 것을 목표로 삼는 행사입니다. 올해도 많은 보안 엔지니어들의 관심 속에 LINE CTF가 마무리됐는데요. 이번 글에서는 올해 LINE CTF가 어떻게 진행됐는지 소개하겠습니다.

LINE CTF 로고

CTF란 어떤 행사인가요?

CTF(capture the flag)란 보안 기술을 겨루는 해킹 콘테스트의 대표적인 형태 중 하나입니다. 참가자는 제한된 시간 동안 문제에 숨겨진 문자열 플래그(flag)를 찾아내 제출해야 하는데요. 이 플래그를 얻기 위해서는 웹 애플리케이션의 취약점 분석, 시스템 해킹, 암호 해독, 리버스 엔지니어링(reverse engineering) 등 다양한 기술을 종합적으로 활용해야 합니다.

CTF는 단순한 해킹 시뮬레이션이 아니라 보안 지식을 실전처럼 적용할 수 있는 학습의 장으로 평가됩니다. 참가자들은 문제를 해결하면서 자연스럽게 네트워크 구조, 운영체제 내부 동작, 소프트웨어 취약점 원리를 이해하게 됩니다. 또한 전 세계 연구자들과 기술을 공유하며 최신 공격 기법과 방어 전략을 학습할 수 있습니다.

이러한 점에서 CTF는 해커 커뮤니티의 중심 문화 중 하나로 자리 잡았으며 기업이나 기관, 대학에서도 보안 인재 발굴 및 기술 검증의 수단으로 폭넓게 활용되고 있습니다.

LINE CTF는 어떤 배경에서 진행됐나요?

LY Corporation이 이 대회를 지속적으로 운영하는 이유는 단순히 경쟁의 장을 열기 위해서가 아니라 보안 기술을 공유하고 커뮤니티를 활성화하기 위해서입니다. 참가자들은 대회에 참여해 실제 서비스 환경을 모티브로 한 문제를 풀며 최신 공격/방어 기법을 익히고 실습합니다. 출제진은 이를 기반으로 보안 연구의 방향을 점검하고, 기술 적용 가능성을 검증하며 실전 감각을 유지하고, 글로벌 커뮤니티와 교류하며 조직 전체의 보안 역량을 강화합니다. 이와 같은 참가자와 출제진의 상호 작용은 기업의 보안 문화 확산에도 긍정적인 영향을 미칩니다. 따라서 LINE CTF는 해킹 콘테스트를 넘어 보안 기술을 실무적으로 탐구하고 커뮤니티를 성장시키기 위한 플랫폼이라고 할 수 있습니다.

2021년에 시작한 LINE CTF는, 2024년부터는 LINE Corporation과 Yahoo! JAPAN Corporation의 통합으로 탄생한 LY Corporation 체제 아래 대회를 운영하고 있습니다. 매년 꾸준히 개최하면서 참가자 구성과 문제 수준, 운영 품질 등 모든 측면에서 높은 평가를 받으며 아시아 지역을 대표하는 CTF 이벤트 중 하나로 자리매김했고, LY Corporation의 보안 기술력과 커뮤니티 참여 문화를 상징하는 대표적인 대회로 성장했습니다.

CTF 플랫폼 화면
CTF 플랫폼 화면

올해 CTF의 특징이 있다면요?

2025년 LINE CTF는 운영 구조와 기술 방향 모두에서 의미 있는 변화를 보여줬습니다.

가장 눈에 띄는 변화는 운영 체계 재편과 다국적 협업 강화입니다. 예년에는 일본 보안 팀이 주축이 되어 한국과 베트남 엔지니어들이 참여하는 형태였는데요. 올해는 한국 보안 팀이 이벤트 준비를 주도했고, 베트남 보안 엔지니어들이 가장 많은 문제를 출제하며 대회에 열정과 기술적 깊이를 더했으며, 운영 경험이 풍부한 일본 보안 팀이 자문과 검수 역할로 지원했습니다. 또한 한국과 일본의 보안 엔지니어들도 핵심 문제를 담당해 이전보다 훨씬 다양하고 협업적인 구조가 만들어졌습니다.

기술적 측면에서는 AI 활용이 늘어난 환경을 고려해 AI 활용 환경에서도 공정성을 유지할 수 있는 방향으로 문제를 설계했습니다. AI를 이용해 코드 분석이나 자동화된 연산의 도움을 받을 수 있는 점을 고려해 그러한 도구 사용 여부와 관계없이 참가자가 문제의 핵심 개념을 이해하고 논리를 완성해야만 해결할 수 있는 형태의 문제로 설계한 것인데요. 예를 들어 몇몇 문제는 문제를 설계할 때 AI가 잘못된 분석을 내놓도록 유도하는 요소를 넣어 AI만으로는 해결하기 어려운 구조로 설계했고, 난이도도 조정했습니다.

운영 측면에서는 LY Corporation 체제에 맞춘 행정 절차와 내부 승인 프로세스를 처음으로 적용했습니다. 출제, 운영, 검토 단계의 일정이 새롭게 조정되면서 준비 과정이 이전보다 세밀해졌고, 이를 통해 대회의 품질 검증과 운영 안정성을 보다 체계적으로 관리할 수 있었습니다.

결과적으로 올해의 LINE CTF는 운영 구조의 다변화, AI 시대를 고려한 문제 설계, 조직 통합 이후 체계화된 운영 프로세스 적용이라는 세 가지 변화를 경험한 해였습니다.

어떤 방식으로 진행되나요?

CTF에는 여러 가지 운영 방식이 있으며, 대표적으로 Jeopardy, Attack & Defense, Mixed의 세 가지 형식이 널리 사용됩니다.

  • Jeopardy 형식: 난이도에 따라 점수를 달리 매긴 독립적인 문제를 여러 개 출제하고, 참가자는 그중 원하는 문제를 자유롭게 선택해 해결해 나가는 방식입니다. 참가자는 문제를 풀고 숨겨진 플래그(flag)를 찾아 제출해야 하며, 제한 시간 내에 가장 많은 점수를 획득한 팀이 우승합니다. 웹 취약점, 바이너리 분석, 시스템 익스플로잇(exploit, 취약점 공격), 암호학 등 다양한 분야의 문제를 출제하며, 실제 서비스 환경에서 발생할 수 있는 보안 이슈를 모티브로 구성합니다.
  • Attack & Defense 형식: 각 팀이 자신의 서버를 방어하는 동시에 다른 팀의 서버를 공격하는 실시간 대전 방식입니다. 실전 네트워크 환경과 유사해 보안 실무 경험이 풍부한 참가자들이 선호하지만 운영 난이도가 높아 주로 오프라인 대회에서 사용됩니다.
  • Mixed 형식: 위 두 가지 요소를 결합해 Jeopardy 문제 풀이와 공격/방어 미션을 함께 진행하는 방식입니다.

LINE CTF는 온라인에서 누구나 쉽게 참여할 수 있도록 Jeopardy 형식으로 진행합니다. 참가자들은 24시간 동안 팀 단위로 협력해 문제를 해결하며 점수를 쌓습니다. 올해 대회에서는 총 13개의 문제(웹: 6, 포너블(pwn): 4, 역공학: 3)를 출제했습니다. 플랫폼은 오픈소스 기반의 CTFd(CTF 프레임워크)를 커스터마이징해 운영했으며, 참가자들은 Discord를 이용해 실시간으로 커뮤니케이션했습니다.

이 형식의 가장 큰 장점은 순수하게 참가자의 분석력과 문제 해결 능력으로 승부가 결정된다는 점입니다. 참가자들은 공격/방어 시뮬레이션 없이 문제의 논리와 취약점을 정확히 이해해야만 플래그를 획득할 수 있습니다. 따라서 Jeopardy 방식의 핵심은 문제 설계의 완성도와 난이도 조정의 정교함에 있습니다. 출제진은 각 문제의 기술적 깊이와 풀이 경로를 세밀히 조율해야 하며, 참가자가 한정된 시간 내에 자신의 사고력과 도구 활용 능력을 최대한 발휘할 수 있도록 구성해야 합니다.

결과적으로 LINE CTF는 이러한 Jeopardy 형식의 강점을 극대화해 참가자들이 24시간 동안 순수한 기술적 탐구와 문제 해결의 즐거움에 집중할 수 있는 환경을 제공하고 있습니다.

문제는 직접 만드시나요? 출제 노하우가 있을까요?

LINE CTF의 모든 문제는 LY Corporation 및 글로벌 자회사(LINE Plus, LINE Vietnam) 소속의 보안 엔지니어들이 직접 제작합니다. 출제진은 각자 담당 분야에서 얻은 실제 경험과 최신 보안 이슈를 바탕으로 아이디어를 구체화합니다. 이때 단순히 어려운 문제를 출제하는 것을 목표로 삼지 않습니다. 참가자가 문제를 풀면서 학습하고 사고하며 성장할 수 있도록 설계하는 것에 초점을 맞춥니다.

출제 과정은 크게 다음 세 단계를 거칩니다.

  1. 아이디어 구상: 실제 취약 사례나 최신 보안 이슈에서 착안한 문제 콘셉트를 도출합니다.
  2. 기술 검증: 문제에서 사용하는 코드나 취약점이 안전하게 작동하도록 격리된 환경을 구축하고 재현 테스트를 진행합니다. 이를 통해 문제 풀이 과정에서 예기치 않은 취약점이나 부작용이 발생하지 않도록 검증합니다.
  3. 내부 테스트: 다른 출제진이 문제를 직접 풀어보며 난이도, 풀이 경로, 불필요한 취약점 여부를 확인합니다.

문제의 핵심 원칙은 다음과 같습니다.

  • 하나의 명확한 풀이 경로만 존재해야 하며, 의도하지 않은 취약점이나 대체 풀이가 없어야 합니다.
  • 난이도는 '숙련된 해커가 몇 시간을 투자하면 풀 수 있는 수준'으로 설정합니다. 24시간 동안 진행되는 대회의 특성상 적절한 난이도 참가자들의 참여 경험의 핵심이기 때문입니다.
  • 가능하면 최신 기술 트렌드를 반영하며, 실무 보안 상황에 응용할 수 있는 주제를 선택합니다.

올해에는 앞서 말씀드렸듯 AI 기반 풀이를 견제하면서도 학습 효과를 높이는 방향으로 문제를 설계했습니다. 그 결과 참가자가 문제의 논리를 분석하고 단계적으로 결론을 도출해야 하는 구조가 많았습니다. 이러한 설계 철학은 참가자들에게 '풀이는 어렵지만 명확한 정답이 존재하는 문제'를 푸는 만족도 높은 경험을 제공했고, 운영진 입장에서도 AI 시대를 맞아 문제 제작 기준을 새롭게 정의한 시도로 평가하고 있습니다.

올해 CTF에는 얼마나 참여했나요?

이번 LINE CTF 2025에는 644명의 참가자, 329개 팀이 등록했습니다. 참가자 수는 전년 대비 감소했지만 그동안 꾸준히 참여해 온 상위권 팀들이 대부분 다시 참가해 대회의 경쟁력은 여전히 높았습니다.

참가자는 주로 아시아 지역(한국, 일본, 중국 등)의 보안 전문가와 학생, 연구자로 구성됐으며, 글로벌 상위권 팀들의 재참여율도 높았습니다. 이는 LINE CTF가 단순한 이벤트가 아니라 매년 기술적으로 신뢰받는 대회로 자리 잡았다는 증거이기도 합니다.

특히 CTFtime(전 세계 CTF 대회의 일정과 결과를 집계하고 참가자들이 대회 품질을 평가하는 대표 플랫폼)의 대회 평점(weight)이 35.0 → 49.1 → 66.5로 3년 연속 상승한 점은 운영 품질이 꾸준히 개선되고 있다는 것을 보여주며, 올해에는 문제의 깊이와 완성도 덕분에 기술 커뮤니티 내 평판이 오히려 높아지기도 했습니다.

어떤 팀이 수상했나요? 인상 깊었던 점이 있었다면?

  • 1위: The Duck(한국, Theori) – 8,399점
  • 2위: GMO Ierae(일본, GMO Ierae Security) – 7,604점
  • 3위: Odin(한국, ENKI) – 6,814점

The Duck 팀은 3년 연속 우승을 차지하며 압도적인 기량을 보여줬습니다. 덕분에 대회 중반부터 사실상 1위는 굳어진 상태였는데요. 반면 2위와 3위의 경쟁은 마지막 10분까지 이어졌습니다. Odin 팀이 종료 직전까지 2위를 지키고 있었으나 GMO Ierae 팀이 대회 종료 10분 전 마지막 문제를 풀어내며 극적인 역전에 성공했습니다.

또한 4위를 차지한 일본의 full_week_engineer 팀도 초반부터 인상적인 기세를 보여줬습니다. 대회 초반 빠른 속도로 문제를 해결하며 상위권에 오르면서 운영진 사이에서도 '이번엔 새로운 강자가 나오나'하는 기대가 모였는데 후반부에 아쉽게 순위가 밀렸습니다.

아래 그래프는 상위 4개 팀의 점수 상승 추이를 보여줍니다. 중후반까지 치열한 2위 쟁탈전이 이어지면서 운영진 입장에서도 마지막 순간까지 예측하기 어려운 긴장감 넘치는 대회였습니다.

LINE CTF 탑 10 대시보드

운영진으로서 준비하거나 진행하면서 기억에 남는 에피소드가 있나요?

올해 운영진에게 가장 큰 도전은 참가자 개인정보를 수집하지 않는 시스템을 설계하는 것이었습니다. 이전에는 이메일 기반 등록 방식을 사용했지만 이번 대회에서는 복구 코드(recovery code)만으로 참가자가 계정을 관리할 수 있도록 오픈소스 CTF 플랫폼 CTFd를 커스터마이징했는데요. 수백 명이 동시에 접속한 대회 시작 시점에도 서버가 안정적으로 작동하며 보안성과 개인정보 보호를 동시에 달성할 수 있었습니다.

또 하나 인상 깊었던 점은 커뮤니티 분위기입니다. 최근 몇몇 국제 대회에서는 플래그 거래 같은 비정상 플레이가 문제로 불거졌지만 LINE CTF 2025에서는 그런 사례가 전혀 없었습니다. 오히려 참가자들이 조용해서 운영진이 Discord에서 직접 농담을 던지기도 했을 정도입니다.

이처럼 운영 팀의 기술적 준비와 참가자의 성숙한 태도가 어우러져 올해 대회는 '완성도 높은 문제'와 '안정적인 시스템', '신뢰할 수 있는 커뮤니티'의 세 가지가 균형을 이룬 대회로 기억에 남았습니다.

CTF 참여를 고민하는 분들에게 하고 싶은 이야기가 있다면요?

CTF는 단순한 게임이 아니라 보안 엔지니어로 성장할 수 있는 가장 실전적인 학습 환경입니다. 문제를 푸는 과정에서 취약점 분석과 익스플로잇 작성, 시스템 구조 이해 등 실무에서 바로 활용할 수 있는 기술을 습득할 수 있습니다. 처음에는 문제의 난이도에 압도될 수 있지만 풀이 과정을 따라가다 보면 점점 논리적 사고력과 분석 감각이 향상되며, 포기하지 않고 결국 한 문제를 풀어냈을 때의 성취감이 스스로의 성장으로 이어집니다.

LY Corporation은 앞으로도 보안 커뮤니티와 함께 성장하며 안전하고 신뢰할 수 있는 서비스를 만들기 위해 지속적인 교류의 장을 마련할 예정입니다. LINE CTF는 단순한 기술 대회가 아니라 보안을 즐기고 배우는 문화를 함께 만들어가는 프로젝트입니다. 보안에 관심이 있다면 내년 LINE CTF에서 우리와 함께 플래그를 찾아주세요. 그 작은 한 걸음이 더 나은 보안 문화를 만들어 냅니다.