[LOG] 해킹한지 4개월, 중간점검과 고민

7월 말에 코딩만 겨우 할 줄 아는 뉴비로 해킹을 처음 시작하고 대략 4개월이 지났다. 이후로 중간점검이 한 번 있으면 좋을 것 같아 혼잣말이나 다름 없는 블로그 글을 쓴다.

 

1. 중간점검

9월 초부터 내가 푼 문제를 기록해야겠다는 생각이 들었다. 내가 한 번 푼 문제는 까먹고 싶지 않았기 때문이다. 숫자가 하나씩 늘어갈 때마다 만족스러웠다. 

이런 식으로 기록해서 9월 5일부터 11월 30일까지 총 200문제를 풀었다. '푼 것'의 기준은 애매하니까 정확하진 않다.

tryhackme, wechall, rootme, los, cryptohack, dreamhack, hackthebox, webhackingkr, picoCTF 등 눈에 보이는 건 다 풀었다. 체감상 8월에 CTF를 한달에 4개씩 나가고 문제를 많이 풀었다. 9월에는 학교때문에 잠깐 정체기가 있었다. 그러다가 정체기에서 벗어나고 다시 해킹에 집중했다.

 

학교 동아리에 들어갔다. 외국 팀에 속해있다가 다양한 이유로 대회를 한두번 같이 뛰고 나온 게 두 개쯤 된다. 그러다가 내 팀을 만들었다. CTF를 같이 하고 싶은데 사람이 없어서 아쉬웠기 때문이다. 

 

2. 고민

공부 방식에 대해 제일 많이 고민한다. 해킹을 강의만으로 공부하겠다는 것은 한 번도 제빵을 해보지 않은 사람이 요리책을 외워가서 케이크를 만들어보겠다는 소리같다고 생각한다. 근데 웹해킹은 또 너무 범위가 넓어서 두루두루 알아야 한다는 것도 사실이다. 적당히 밸런스 맞추면서 CTF를 풀고 이것저것 만들어보면서 해킹을 공부하는 게 제일 효율적인 방법 같다. 

 

CTF 대회를 뛰는 게 워게임을 푸는 일보다도 도움이 되는 이유는, 답을 볼 수 없는 상태에서 몇 십시간 동안 고민한 다음 문제를 풀어보는 경험은 그 자체로도 도움이 되기 때문이다. 그것보다도 그만큼 골머리를 앓다가 라이트업을 보면 문제가 기억에 확연하게 남는다.

 

워게임은 다르다. 탑다운으로 공부를 하게 되면 문제를 풀면서 개념을 익히게 된다. 반대로 얘기하면 개념을 모르면 문제를 풀 수가 없다는 소리다. 문제가 안 풀리면 팁이나 힌트를 보게 되는 일이 생긴다. 워게임은 라이트업이 인터넷에 많이 나와있다. 그래서 삽질과 치팅의 밸런스를 잘 맞추는 게 중요한 것 같다.

 

개인적으로 드림핵 로드맵 같은 데 중간에 껴있는 문제는 라이트업을 볼 필요가 없다. 다 알려주기 때문이다. 근데 htb같은, 좀 허들이 있는 외국 사이트 같은 데서 문제를 풀면 그냥 완전히 생소한 CVE가 나와버리니까 당황하게 된다. 그러면 또 삽질하다가 결국엔 답을 찾아보게 되는데 이게 죄책감이 든다.

앞으로는 그냥 안풀리면 1. 다른 거 풀고 다시 오거나 2. 실눈뜨고 힌트만 봐야겠다. 

 

요즘 꿈 속에서도 문제를 풀만큼 여기에 많이 집중한다. 리듬게임도 어려운 거 해야 재밌듯, 좀 더 잘하게 되어서 더 재밌는 거 하고 싶다.