• Korea Council of Chief Information Security Officers
      회원안내      

CISO 뉴스

  • HOME
  • CISO 뉴스
  • 최신뉴스

CISO 뉴스

최신뉴스

[인터뷰] “AI 맹점 찌르는 ‘오펜시브’ 벼린다”… 신정훈 책임 멘토가 그린 BoB 15기 2026.06.22

KISA 이관 속 110명 소수 정예화... 1대1 도제식 멘토링 극대화
LLM 자체 취약점 검증하는 ‘Security for AI’ 커리큘럼 전면 이식

“단순히 남들이 못 찾는 버그를 찾아내 제보하는 수준이라면 평범합니다. 기업의 비즈니스 리스크를 번역해 내고 AI의 맹점을 철저히 통제할 수 있는 진짜 ‘오펜시브(Offensive)’ 리더를 키워내야 합니다.”

신정훈 BoB 취약점 분석 트랙 책임 멘토 [출처: 보안뉴스]


사이버보안 생태계가 기술적 방어를 넘어 비즈니스 리스크를 통제하는 종합 거버넌스로 진화하고 있다. 대한민국 정보보안 인재 양성의 핵심 축인 차세대 보안리더 양성 프로그램(BoB) 역시 15기를 맞아 대대적인 쇄신을 예고했다.

운영 주체가 한국인터넷진흥원(KISA)으로 이관되고 선발 인원을 정예화한 변화 속에서 10여년 동안 BoB 프로그램 간판 역할을 해온 취약점 분석 트랙의 신정훈 책임멘토를 만나 변화한 보안 패러다임과 차세대 BoB의 비전을 들었다.

15기부터 KISA 체제로 이관되며 새로운 2.0 시대를 맞이했다. 소회가 어떤지?
책임 멘토로 막중한 책임감을 느낀다. KISA는 방어와 사후 대응에 초점이 맞춰진 정부 운영 기관이지만 BoB 취약점 분석 트랙은 최상위 공격 역량 육성이다. 실전 공격 기술을 통해 방어 거버넌스까지 꿰뚫는 ‘오펜시브’ 정체성을 1순위로 지켜내겠다.

선발 인원을 감축하는 ‘정예화’를 선언했다. BoB 2.0 체제가 어떤 변화를 불러올 것으로 기대하는가
선발 규모도 중요하지만, 인원을 채우면서 하향 평준화 우려도 있었다. 이번 기수부터 취약점 분석 트랙 인원을 30명으로 압축했다. 1대1 밀착 실습 위주의 도제식 멘토링을 통해 교육의 질을 한층 더 끌어올릴 계획이다. 열정 있는 소수에게 에너지를 온전히 쏟을 수 있게 됐다.

10여년 동안 이어온 역사 속에서 반드시 계승할 가치는 무엇이라 보는지. KISA 체제를 맞아 쇄신할 부분이 있다면
폰투온(Pwn2Own)이나 데프콘(DEF CON) 등 글로벌 해킹방어대회 성과를 꼽을 수 있다. 반면 해외 연수 지원은 다변화가 필요하다. 실전 취약점 점검 프로젝트 중 법적 규제에 가로막히는 부분이 있었는데, KISA 지원을 통해 해결 방안을 모색하고 싶다.

AI 보편화 등 사이버 위협 패러다임이 급변하고 있다. 이에 대응한 커리큘럼 변화는
AI를 방어 수단으로 활용하는 것을 넘어 AI 모델 자체가 가진 취약성을 집요하게 검증하는 ‘Security for AI’에 훈련 초점을 맞췄다. LLM을 통한 대규모 오디팅 파이프라인(Auditing Pipeline) 설계 등을 심도 있게 교육할 방침이다.

15기에 ‘기업보안’ 트랙이 신설됐는데, 소개를 부탁한다
취약점 분석이 해킹의 근간이 되는 뿌리라면, 기업보안은 네트워크와 클라우드 등 레드팀 관점의 복합적 통제를 다루는 줄기다. 이 두 역량이 융합될 때 실무 현장에 즉시 투입 가능한 강력한 비즈니스 게이트 역할이 완성된다.

멘토진을 구성할 때 가장 중요하게 평가한 기준은 무엇인가
실무적 업적과 그 지속성을 시작으로 인성(윤리) 측면을 중시했다. 철저한 레퍼런스 체크와 함께 교육생의 결과물을 사적으로 유용하는 등 일탈 행위가 발생하면 가차 없이 멘토진에서 제명하는 제도를 확립했다.

프로젝트 과정에서 멘티들이 겪는 좌절을 돕고, 실무 감각을 익히게 하는 멘토들만의 노하우가 궁금하다
교육생들이 스스로 목표를 제안하고 혹독한 평가를 받는 킥오프 과정을 통해 본인의 한계와 진짜 역량을 스스로 깨닫게 한다. 이론에 갇히지 않도록 현장에서 느낀 살아있는 정보들을 허용된 선에서 여과 없이 공유해 정보 격차를 허물고 있다.

해커를 넘어 비즈니스 생태계를 이해하는 리더로 성장하기 위해 멘티들에게 강조하는 마인드셋은 무엇인가
찾아낸 취약점을 무분별하게 과시하지 않는 ‘책임감 있는 공개’ 원칙과 윤리. 취약점이 기업에 미칠 파급력을 경영진의 언어로 치환하는 ‘리스크 번역’ 능력. AI 시스템 결과값을 맹신하지 않고 맹점을 찾아내는 ‘AI 통제권’을 필수 역량으로 강력하게 주문한다.

10년 뒤 대한민국 사이버보안 생태계에서 이번 15기 수료생들이 어떤 모습이길 기대하는가
국가적 사이버보안 난제가 터졌을 때 가장 먼저 BoB 출신을 찾을 수 있는 문화가 정착되길 바란다. 나아가 수료 이후에도 끊어지지 않는 총동문회 네트워킹을 바탕으로 우리 사회의 올바른 보안 대응을 이끄는 주역이 되길 기대한다.

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>