🔗 https://blog.sunggwanchoi.com/cptc-daehoe-sogaewa-ribyu/

CPTC == Collegiate Penetration Testing Competition

Collegiate = 학부생

13’ RIT(Rochester Institute of Technology) Prof. Bill Stackpole 께서 만든 모의침투 대회

• 학생이 가상의 보안 업체를 만들어 **가상의 고객(운영진)**과 모의침투테스트 계약을 맺는 시나리오

  • 사전 계약 단계(RFP, Rules of Engagement, Scope, NDA, Pre-Engagement Meeting), 외부 Pentest, 내부 Pentest, 보고서 작성, Presentation, 고객과의 소통 진행 (해킹만 하는 게 아니라 일련의 Process를 모두 진행하는 것이 특징)
  • 기술적인 능력 + 비기술적인 능력

• 미국 내 60개 대학교 팀 및 500명의 학생들이 참가하고 약 30명의 운영진, 유수의 기업(IBM, Google Cloud, MITRE, …)들이 스폰하는 대규모 대회로 성장함

  • https://nationalcptc.org/

• 대회는 2달 간 진행되고, 그 사이에 사전 계약 단계(서류 작업)을 함 → 그 이후에 실제 Pentest 예선전, 본선 경기가 진행되는데 이것들은 모두 2박 3일로 진행됨

  • 10 페이지 가량 되는 세세한 Rules of Engagement 를 작성하고, 가상 비밀유지계약서(NDA) 서류에 사인을 하고, 2번의 전화미팅, 실제 회사를 본딴 30개 정도의 호스트가 존재하는 인프라를 향한 실제 외부/내부 모의침투테스트, 6시간동안 50페이지 가량 되는 보고서 작성, 그리고 약 15명정도 되는 스폰서 회사들의 실제 임원진들 앞에서 프리젠테이션을 발표

• 대회 내내 모두 인-캐릭터 (In-Character) 로 진행

  • 학생들은 경기 도중 모든 대회 운영진들과의 소통(이메일, 전화, 대화)을 실제 보안업체와 고객회사가 소통 하듯 진행해야 함
  • 운영진도 가상 회사의 임원진 Title을 갖고, 가명을 사용함
  • 과도한 설정, 몰입 요구 → 현실적인 환경을 만들어 Professional하게 소통하기 위해 노력하게 하고, 현실이라면 어떻게 대처해야할까 등을 고민하게 만듦

• Prof. Bill Stackpole

  • “제대로된” Offensive Security 인재 육성
  • 스폰서 회사들과 대학생들 간의 더욱 더 긴밀한 관계를 구축
  • 대학생들이 수업, 동아리에서 OffSec을 마주할 기회가 많지 않아 수요는 늘지만 공급이 부족한 문제를 인식
  • 실제 Pentester인 대회 운영진 “실제로 내가 매일 하는 일과 비슷하다” → 목적은 충분히 달성하고 있다!

다른 대회와 비교하기

CTF

우리나라 학생들에게 가장 비슷한~

특정 분야에 집중하는 CTF도 나오고 있음 (e.g., Flare-On 사 리버싱 / Trace Labs 사 OSINT)

CPTC와는 장르가 완전히 다름

Attack & Defence