프론티어 AI, CTF 대회의 판도를 바꾸다 — GPT-5.5, 미친 pwn 문제를 단번에 해결하다

캡처 더 플래그(CTF) 대회는 역사적으로 보안 인재의 시험장이었지만, 전 최고 선수 kabir.au에 따르면 이제 공개 CTF 형식은 사실상 죽었습니다. 그 이유는 인간의 개입을 최소화하면서 챌린지를 인간보다 더 빠르게 해결할 수 있는 최첨단 AI 모델 때문입니다.

무엇이 바뀌었나: 보조에서 자동화로

GPT-4가 처음 출시되었을 때, 중간 난이도 CTF 챌린지를 한 번에 해결할 수 있었습니다. 암호학 챌린지를 ChatGPT에 붙여넣으면 10분 안에 플래그를 반환했습니다. 어려운 챌린지는 여전히 해결되지 않아 영향이 제한적이었습니다. Claude Opus 4.5가 균형을 바꾸었습니다: "거의 모든 중간 난이도 챌린지와 일부 어려운 챌린지가 에이전트로 해결 가능해졌습니다." Claude Code가 모델을 CLI로 패키징하면서, CTFd API를 사용해 챌린지당 Claude 인스턴스를 생성하고 첫 1시간 동안 무인으로 실행하는 오케스트레이터를 구축하는 것이 간단해졌습니다.

GPT-5.5가 결정타

GPT-5.5 및 GPT-5.5 Pro를 광범위하게 사용해온 저자는 보고합니다: "이 모델들은 HackTheBox에서 Insane 난이도의 활성 누수 없는 힙 pwn 챌린지를 한 번에 해결할 수 있습니다." Pro는 "능력 면에서 Claude Mythos를 능가할 가능성이 높습니다." 이는 48시간 CTF에서 오케스트레이션된 Pro 에이전트가 소규모 주최자가 만든 대부분의 챌린지를 해결하여, 공개 CTF를 페이-투-윈(pay-to-win)으로 만든다는 것을 의미합니다. 더 많은 토큰을 사용할수록 보드를 더 빨리 클리어합니다.

점수판은 더 이상 실력을 측정하지 않음

CTFTime 리더보드는 이제 보안 전문성이 아닌 오케스트레이션 능력과 예산을 반영합니다. 전설적인 팀은 덜 나타나고, 챌린지 개발자는 동기를 잃습니다. 저자는 "초보자도 여전히 배울 수 있다"는 주장도 요점을 놓친다고 주장합니다: 가시적인 점수판이 AI를 사용하는 팀에 의해 지배되면서, 초보자는 기본 본능을 기르기 전에 AI에 의존하도록 압박받게 되어 능동적 학습을 방해하는 안티패턴이 발생합니다.

채용 시사점

CTF 성과를 통한 채용은 점점 의미가 없어지고 있습니다. CTF를 위한 AI 오케스트레이션은 이미 오픈 소스이거나 "바이브 코딩 가능"하여 신호 대 잡음비가 붕괴되고 있습니다. 최고 팀 TheHackersCrew의 전 멤버였던 저자는 이제 경쟁이 조작 가능한 혼란이라고 결론지었습니다: "CTF에서의 성과가 더 이상 예전처럼 당신의 실력을 정의하지 않습니다."