드림핵 이용자분들께,

최근 특정 이용자가 출제한 드림핵 워게임 UCC 문제들에 포함된 첨부 프로그램을 통해 의도되지 않았으나 실제 동작하는 악성코드가 배포되는 사건이 발생하였습니다.
먼저 드림핵 UCC 문제를 통해 실제 동작하는 악성코드가 배포되었고 그로 인해 이용자 여러분께 실질적인 피해와 불안을 초래한 점에 대해 진심으로 사과드립니다.

드림핵은 그동안 이용자들이 자유롭게 워게임을 제작하고 공유할 수 있는 학습 환경을 지향해왔으나 이러한 방향성에 비해 보안 검증 및 관리 체계가 충분히 뒷받침되지 못한 결과 이번 같은 사안이 발생하였다고 판단하고 있습니다.

이번 사건은 단순한 개별 출제자의 잘못이 아니라 UCC에 포함되는 첨부 파일에 대해 사전 보안 검증 체계를 충분히 갖추지 못한 드림핵 운영상의 명백한 미비에서 비롯되었습니다.

여러 창구를 통해 주신 의견들을 기반으로 내부적으로 논의하고 판단한 결과, 안전하게 학습할 수 있는 환경을 제공하기 위한 장치들을 마련하는 것이 무엇보다 중요하며 검증과 관리 체계가 전제되지 않을 경우 이러한 환경은 유지될 수 없다는 점을 분명히 인식하게 되었습니다.

드림핵은 보안에 대해 깊이 이해하고 있는 숙련자뿐만 아니라 이제 막 보안을 접하는 초심자까지 누구나 찾아와 학습할 수 있는 플랫폼입니다. 그런 만큼 이용자의 숙련도와 무관하게 모든 이용자가 안심하고 학습할 수 있는 환경을 제공하는 것은 플랫폼의 기본적인 책임이라고 생각하며 이를 실현하기 위한 장치를 단계적으로 마련해 나가고자 합니다.

워게임 문제 파일 악성코드 검사 및 위험성 안내 강화

워게임 문제에 대해 공개 시 첨부 파일을 대상으로 한 자동 정적 분석 기반의 악성코드 검사 프로세스를 우선 도입할 예정입니다. 워게임 문제의 특성상 실전 환경을 모사하기 위해 의도적으로 악성 행위가 포함되는 경우가 있을 수 있으며 반대로 이번 사례와 같이 의도 여부와 관계없이 실제 악성코드가 포함될 가능성 또한 배제할 수 없습니다.

이에 따라 문제에 포함된 첨부 파일에 대해 악성코드를 검사하고 검사 결과에 따라 문제를 풀이하는 이용자분들께 강력하게 경고하는 장치를 마련하고자 합니다. 이를 통해 이용자가 문제 파일의 위험도를 충분히 인지한 상태에서 문제에 접근할 수 있도록 할 계획입니다.

다만 현실적으로 악성코드 탐지에는 False Negative(악성코드임에도 탐지되지 않는 경우)가 존재할 수밖에 없다는 한계가 있습니다. 따라서 기본적으로 워게임 문제 이용시 가상머신 등 격리 환경에서의 실행을 기본 원칙으로 강력히 권장하는 안내 문구를 추가할 예정입니다.

기존에는 워게임 문제 풀이 시 가상머신 사용을 명확히 안내하는 문구가 충분히 제공되지 않았던 점을 인지하고 있습니다. 이로 인해 워게임 문제 파일의 위험성을 충분히 전달하지 못했으며 일부 이용자분들께서 해당 파일을 보다 안전한 것으로 받아들이실 수 있는 여지가 있었던 점을 인식하게 되었습니다. 이에 따라 UI/UX를 개선하여 문제 파일 다운로드 전 "해당 파일에는 악성코드가 포함되어 있을 수 있습니다. 로컬 환경에서 실행하는 경우 심각한 보안 사고로 이어질 수 있으므로 가상머신과 같은 격리 환경에서 실행하는 것을 권장합니다. 정말 다운로드하시겠습니까?" 와 같은 경고 안내를 제공하여 이용자 여러분이 위험성을 충분히 인지하실 수 있도록 하고자 합니다.

신규 워게임 문제 업로드가 일시적으로 제한될 예정이며 상기한 단기적인 조치가 마련되어 적용될 때까지 제한이 유지될 예정입니다.

보안 학습 플랫폼으로서 편의가 안전보다 우선될 수 없다는 점을 이번 사건을 통해 운영진 역시 무겁게 받아들이고 있습니다.
이용자 여러분께 안전한 학습 환경을 제공하기 위해서는 플랫폼이 충분한 장치와 명확한 안내를 제공해야 할 책임이 있음을 인정합니다.

추가로 공유드릴 수 있는 사항이나 적용 일정이 정리되는대로 공지를 통해 안내드리겠습니다.

다시 한번 깊이 사과드리며 날카롭고 진심 어린 문제 제기에 감사드립니다.

드림핵 운영진 드림