곽진 아주대학교 사이버보안학과 교수. (출처=바이라인네트워크)

[미토스 이후, 전문가에게 듣는다⑦] 곽진 아주대 교수 “AI 기업이 글로벌 안보 지형 바꾸는 시대 왔다”

By 곽중희 2026년 5월 29일 16:13

앤트로픽의 새 인공지능(AI) 모델 ‘클로드 미토스(Claude Mythos)’ 등장을 계기로 AI가 사이버보안 분야에 미칠 영향에 대한 논의가 커지고 있다. AI가 취약점을 찾고 공격 경로를 설계하는 능력을 어디까지 갖췄는지, 그리고 이를 방어 체계가 따라갈 수 있는지 등을 두고 우려가 커지고 있다. 바이라인네트워크는 ‘미토스 이후, 전문가에게 듣는다’ 시리즈로 미토스 프리뷰를 접한 전문가들의 견해와 에이전틱 AI 시대의 사이버보안 대응 방향을 살펴본다. 그 일곱 번째로 곽진 아주대학교 사이버보안학과 교수를 인터뷰했다. 곽 교수는 국가AI전략위원회 보안특별위원회 위원으로도 활동하고 있다. [편집자주]

[미토스 이후, 전문가에게 듣는다①] 윤인수 카이스트 교수 “AI가 숨은 취약점 다 찾아낼 것” 

[미토스 이후, 전문가에게 듣는다②] 이상근 고려대 교수 “사이버보안 전략 무기가 되는 시대”

[미토스 이후, 전문가에게 듣는다③] 박관순 티오리 CISO “AI 해킹, 모델보다 시스템 싸움” 

[미토스 이후, 전문가에게 듣는다④] 최영철 SGA솔루션즈 대표 “미토스는 핵폭탄, 제로 트러스트 전환 앞당겨야” 

[미토스 이후, 전문가에게 듣는다⑤] 윤두식 이로운앤컴퍼니 대표 “AI 보안의 출발점은 거버넌스” 

[미토스 이후, 전문가에게 듣는다⑥] 최경진 가천대 교수 “AI 시대의 법제도, ‘책임 있는 이용’ 논의 시작해야” 

[미토스 이후, 전문가에게 듣는다⑦] 곽진 아주대 교수 “AI 기업이 글로벌 안보 지형 바꾸는 시대 왔다” (이번호)

(출처=AI 생성 이미지)

곽진 아주대학교 사이버보안학과 교수는 앤트로픽의 ‘미토스’ 등장을 사이버보안 패러다임이 바뀌는 변곡점으로 봤다. 처음에는 기술 공개 범위가 제한돼 있어 마케팅 성격도 있다고 봤지만, 이후 공개된 사례를 보며 생각이 달라졌다는 설명이다.

곽 교수는 미토스의 핵심을 ‘자동화에서 자율화로의 이동’에서 찾았다. 기존 AI 기반 공격 도구는 사람이 명령을 바꾸고 결과를 해석하며 다음 작업을 이어가야 했다. 반면 미토스는 코드 분석 결과를 바탕으로 취약점 가능성을 찾고, 이를 실제 익스플로잇으로 구성하는 단계까지 스스로 이어갈 수 있는 수준을 보였다는 것이다. 익스플로잇은 취약점을 실제 공격에 활용하는 코드나 기법을 뜻한다.

그가 더 주목하는 지점은 미토스가 사이버보안 특화 모델이 아니라 범용 모델이라는 점이다. 곽 교수는 “범용 모델이 기존 사이버보안 특화 모델의 성능을 넘어섰다는 점이 충격적”이라며 “공격자에게 직접 활용될 경우 상당히 큰 무기가 될 수 있고, 방어자는 시간에 쫓길 수밖에 없다”고 말했다.

범용 AI가 보안의 변곡점이 됐다

곽 교수는 클로드가 코드 리뷰에 강점을 보여온 점을 사이버보안 분야에서 미토스가 뛰어난 능력을 가지게 된 배경으로 봤다. 코드 리뷰 능력이 고도화되면 단순한 오류 탐지를 넘어 보안상 악용 가능한 코드 구조를 찾을 수 있다. 평상시에는 정상 작동하는 코드라도 특정 입력이나 조작이 들어가면 침투 지점이 될 수 있다. 미토스는 이런 오류를 찾아내고 공격 가능성까지  스스로 구성하는 모습을 보였다는 설명이다.

곽 교수는 모질라(Mozilla)가 미토스 프리뷰를 취약점 점검에 활용한 사례도 언급했다. 그는 이를 조정된 취약점 공개(CVD)나 취약점 공개 정책(VDP)과 연결해 볼 수 있다고 봤다. 조정된 취약점 공개는 취약점 정보를 무작정 공개하지 않고, 개발사와 조율해 패치와 이용자 보호가 가능한 시점에 공개하는 방식이다. 취약점 공개 정책은 기업이나 기관이 취약점 신고 절차와 처리 방식을 미리 정해두는 제도다.

곽 교수는 미토스가 맥 운영체제(macOS)를 우회한 사례도 강한 신호로 봤다. 그는 “현존하는 강력한 보안 메커니즘을 미토스와 사람의 일부 개입으로 우회할 수 있었다는 점도 충격적이었다”며 “앞으로 이런 변화는 더 자주 나타날 수밖에 없다”고 말했다.

그는 미토스가 단순히 한 기업의 모델 성능 논란에 머무르지 않는다고 봤다. 고성능 AI 모델을 가진 기업이 취약점 탐지와 보안 대응 정보를 쥐게 되면, 국가의 사이버안보 대응도 민간 AI 기업의 기술과 정책에 영향을 받을 수 있기 때문이다. 곽 교수는 “이제는 한 국가의 안보 프레임 자체를 빅테크 기업이 바꿀 수도 있겠다는 생각이 들었다”고 말했다.

방어자는 패치 시간과 검증 부담에 쫓길 것

미토스 이후 방어자가 가장 먼저 마주하는 문제는 시간이다. 공격자는 AI 도구를 활용해 많은 공격 경로를 빠르게 시험하고 하나만 찾아도 공격을 시도할 수 있다. 반면 방어자는 가능한 경우의 수를 모두 고려해야 한다. 취약점을 확인하고, 패치를 만들고, 테스트하고, 코드 리뷰를 거치고, 승인 절차를 밟아 배포한 뒤 실제 문제가 없는지도 확인해야 한다.

곽 교수는 이를 ‘시간 비대칭성’으로 설명했다. 그는 “공격자는 공격 포인트를 찾으면 바로 시도하면 되지만, 방어자는 패치와 검증, 배포, 배포 후 확인까지 거쳐야 한다”며 “패치나 대응 구조 자체에 차이가 있기 때문에 방어자는 시간이 걸릴 수밖에 없다”고 말했다.

따라서 방어자는 외부 고성능 AI 모델 접근 여부만 바라볼 수 없다고 했다. 글래스윙 같은 제한 접근 프로그램에 들어가는 것만을 대책으로 볼 수 없다는 취지다. 곽 교수는 국내에서도 기존 범용 모델이나 국내 모델을 활용해 사전 취약점 점검을 시도할 필요가 있다고 봤다. 모질라 사례처럼 공격이 아니라 사전 점검과 패치 준비에 AI를 활용하는 방향이다.

자산 파악과 거버넌스가 먼저다

곽 교수는 국내 기업과 공공기관이 가장 먼저 해야 할 일로 자산 파악을 꼽았다. 어떤 시스템과 소프트웨어, 코드, 데이터, 클라우드 자산을 쓰고 있는지 알아야 AI가 찾아낸 취약점에 대응할 수 있기 때문이다.

그는 특히 섀도우 IT와 비인간 신원(NHI)을 지적했다. 섀도우 IT는 보안 담당 부서가 파악하지 못한 채 현업 부서나 개인이 쓰는 정보기술 자산을 뜻한다. 비인간 신원은 사람 계정이 아니라 시스템, 애플리케이션, AI 에이전트, 토큰, 인증키처럼 기계나 소프트웨어가 사용하는 신원을 뜻한다. 클라우드와 AI 에이전트 환경에서는 임시 토큰, 인증 정보, 시리얼 번호처럼 관리 대상이 넓어진다.

곽 교수는 “자산을 완벽하게 파악하고 있었다면 미토스 프리뷰로 코드 분석을 했을 때 문제가 나온 뒤 패치를 하지 않았을 리 없다”며 “섀도우 IT와 비인간 신원은 관리가 잘 안 되는 영역”이라고 말했다.

그는 AI 도입만으로 문제가 해결된다는 인식도 경계했다. 공공기관은 최신 시스템이나 민간 클라우드 도입이 쉽지 않은 경우가 많다. 기존 인프라 성능과 운영 체계가 받쳐주지 않으면 AI를 얹어도 충분한 효과를 내기 어렵다는 설명이다.

곽 교수는 미토스 이후 보안 거버넌스도 바뀌어야 한다고 했다. 기존 보안 거버넌스는 법·제도, 규정, 컴플라이언스가 먼저 있고 그 틀 안에서 기술을 운영하는 방식에 가까웠다. 그러나 AI는 기술 발전 속도가 너무 빨라 컴플라이언스가 뒤따라가기 어렵다. 그래서 통제보다 ‘관리’에 초점을 맞춰야 한다고 봤다.

그가 말한 관리는 자산 파악, 가시성 확보, 위험 평가, 우선순위 결정, 패치와 검증, 경영진 보고까지 이어지는 운영 체계다. 단순히 문서나 지침을 만들어두는 것이 아니라 실제 시스템에서 유기적으로 돌아가야 한다는 의미다.

아래는 곽 교수와의 일문일답이다.

Q. 미토스 이슈를 어떻게 보고 있나.

처음 발표됐을 때는 “정말 그 정도일까?”라고 생각했다. 자세한 내용을 공개하지 않았기 때문에 노이즈 마케팅이 아닌가 하는 생각도 있었다. 그런데 이후 발표된 결과를 보니 생각했던 수준을 넘어섰다.

기존에도 AI 도구를 공격에 활용하는 사례는 많았다. 다만 기존 도구는 자율이라기보다는 자동화에 가까웠다. 공격자가 AI를 활용해 속도를 높이거나 다른 도구와 조합하는 방식이었다. 인간의 개입이 여전히 많이 들어갔다.

미토스는 그 차원을 벗어난 것으로 보인다. 자동화 도구는 반복적으로 분석하고 결과를 알려준다. 결과가 없으면 끝나고, 사용자가 다시 명령을 바꿔야 한다. 미토스는 분석 결과를 바탕으로 자동으로 익스플로잇을 구성하는 모습까지 보였다. 자동화에서 자율화로 넘어간 것이다.

더 충격인 건, 미토스가 사이버보안 특화 모델이 아니라 범용 모델이라는 점이다. 클로드는 원래 코드 리뷰와 바이브 코딩에서 강점이 있다고 평가돼 왔다. 범용 모델이 코드를 분석하고 리뷰하면서 코드 오류를 찾아내고, 그것이 보안 취약점으로 연결될 수 있다는 점을 보여준 것이다.

공격자 입장에서는 미토스 같은 모델을 잘 쓰는 것만으로도 공격 도구를 만들어낼 수 있다. 공격 도구가 어떻게 동작하는지 정확히 몰라도 모델이 알아서 구성할 수 있다. 그래서 미토스는 큰 변곡점이 됐다. 범용 모델이 사이버보안 특화 모델의 성능을 넘어섰고, 자율화 수준이 높아졌다는 점이 중요하다.

Q. 범용 모델이라는 점이 왜 중요한가.

사이버보안 특화 모델이 아니라는 점은 중요하다. 특정 목적을 위해 따로 만든 모델이 아니라 일반적인 코드 이해와 추론 능력을 가진 범용 모델이 보안 취약점 탐지와 익스플로잇 구성까지 연결될 수 있다는 뜻이기 때문이다. 코드는 정상적으로 작동해도 보안상 오류를 품고 있을 수 있다. 기본 기능에는 문제가 없지만 특정 방식으로 조작하면 침투 지점이 될 수 있다. 미토스는 이런 코드를 찾아내고 악용 가능성까지 구성하는 방향으로 발전한 것으로 보인다.

이런 능력이 공격자에게 직접 활용되면 상당히 큰 무기가 될 수 있다. 반대로 방어자는 더 큰 압박을 받는다. 공격자가 코드를 분석하고 취약점을 찾는 시간이 줄어들면, 방어자는 취약점을 확인하고 패치하는 시간에 쫓길 수밖에 없다.

Q. 공격과 방어의 시간차에서 발생하는 문제는.

원래도 공격과 방어 사이에는 시간차가 있었다. 공격자가 취약점을 찾아내면 방어자는 이를 확인하고 패치를 만들어야 한다. 패치를 만든 뒤에는 그것이 정상적인지 검증해야 한다. 기존 시스템에 문제를 일으키지 않는지도 봐야 한다.

여기에 구조적인 문제도 있다. 엔지니어가 패치를 마음대로 배포할 수 없다. 패치가 문제를 일으키면 서비스 장애로 이어질 수 있기 때문이다. 팀과 부서, 최고정보보호책임자(CISO), 경영진 승인까지 거쳐야 하는 경우가 많다. 그만큼 시간이 걸린다.

공격자는 도구를 돌려 하나만 찾으면 된다. 반면 방어자는 가능한 모든 경우를 고려해야 한다. 패치, 테스트, 시뮬레이션, 코드 리뷰, 승인, 배포, 배포 후 확인까지 이어진다. 그래서 공격 속도가 빨라질수록 방어자가 느끼는 시간 비대칭성은 더 커질 수밖에 없다.

Q. 방어자는 AI를 어떻게 활용해야 하나.

모든 방법을 동원해야 한다. 모질라 사례처럼 취약점 점검에 AI를 활용하는 방향은 참고할 만하다. 이는 조정된 취약점 공개나 취약점 공개 정책과도 맞아떨어질 수 있다. 사전에 점검하고, 필요한 경우 조율해 공개하고, 패치하는 구조다.

모질라는 미토스 프리뷰를 활용해 자사 코드와 시스템의 취약점을 점검했다. 공격자가 취약점을 먼저 찾아 악용하기 전에, 방어자가 AI로 코드와 오류 가능성을 먼저 살피고 패치 준비에 나서는 방식이다. 이는 조정된 취약점 공개(CVD)나 취약점 공개 정책(VDP)과도 맞아떨어질 수 있다.

꼭 미토스가 아니더라도 다른 범용 모델이나 국내 모델을 활용해 사전 취약점 점검을 해보는 방향도 필요하다. 글래스윙 같은 제한 접근 프로그램에 들어가는 것만 기다릴 수는 없다. 국내에서도 이미 성능이 괜찮은 모델들이 있고, 독자 파운데이션 모델도 추진되고 있다. 이를 활용해 사전 점검을 시도해볼 수 있다.

중요한 것은 외부 기업의 정보 제공만 기다리지 않는 것이다. 우리가 가진 자산을 먼저 파악하고, 활용할 수 있는 도구로 선제 점검을 해봐야 한다. 미토스 프리뷰가 공개되기 전에 모질라가 한 것처럼 코드 리뷰와 취약점 점검을 먼저 해보는 접근이 필요하다.

Q. 국내 기업과 공공기관은 어떻게 대응해야 하나.

무엇을 지킬 것인지부터 알아야 한다. 먼저는 ‘자산 파악’이다. 정보기술(IT) 자산, 소프트웨어, 코드, 데이터, 클라우드 자원, 인증 정보가 어디에 있는지 알아야 한다.

특히 섀도우 IT와 비인간 신원을 봐야 한다. 섀도우 IT는 보안 담당 부서가 모르는 시스템이나 서비스다. 비인간 신원은 사람 계정이 아니라 시스템과 애플리케이션, AI 에이전트, 토큰, 인증키가 쓰는 신원이다. 임시로 발급되는 토큰이나 인증 정보도 많다. 이런 영역은 관리가 잘 안 되는 경우가 많다.

아쉬운 점은, 공공기관은 최신 시스템을 바로 도입하기 어렵다는 점이다. 민간 클라우드도 쉽게 쓰지 못하는 환경에서 AI를 도입하면 모든 문제가 해결된다고 봐서는 안 된다. 먼저 자산을 파악하고, 자체 패치 능력을 갖추거나 패치 시간을 줄일 수 있는 구조를 만들어야 한다.

Q. 미토스가 특히 글로벌 안보 지형에도 영향을 줄 수 있다고 봤는데.

미토스는 기술의 변곡점이자 강력한 경고라고 본다. 단순히 한 모델이 취약점을 잘 찾았다는 문제가 아니다. 특정 AI 기업이 가진 기술이 국가의 사이버안보 프레임 자체에 영향을 줄 수 있다는 점을 보여줬다.

지금까지 안보는 주로 국가가 주도하는 영역으로 여겨졌다. 그러나 고성능 AI 모델을 가진 빅테크 기업이 취약점 탐지와 보안 대응 정보를 쥐게 되면, 각국 정부도 그 기업의 정책과 접근 권한에 영향을 받을 수 있다. AI 기업에 의해 글로벌 안보 지형이 바뀔 수 있다는 뜻이다.

미국 정부와 기업이 미토스 같은 모델을 통제하거나 제한적으로 활용하는 구조를 보면, 다른 국가는 해당 정보와 기술 접근에서 차이를 겪을 수 있다. 그렇다고 외부 기업만 바라볼 수는 없다. 국내에서도 자체 모델과 활용 체계를 준비해야 한다.

Q. AI 환경에서 보안 거버넌스는 어떻게 바뀌어야 하나.

기존 보안 거버넌스는 전통적인 IT 환경을 전제로 만들어졌다. 법·제도, 규정, 컴플라이언스를 정하고 그 틀 안에서 보안을 운영하는 방식이다. 하지만 AI 환경은 기존 IT 환경과 다르다. 기술이 너무 빠르게 발전하고, 법과 컴플라이언스가 따라가기 어렵다.

AI 환경에 맞는 거버넌스는 모델과 데이터에 대한 통제에서 시작해야 한다. 어떤 데이터를 어떤 모델에 입력할 수 있는지, 어떤 데이터는 학습에 쓸 수 있는지, 어떤 결과물을 신뢰할 수 있는지 봐야 한다. 데이터 거버넌스도 함께 바뀌어야 한다.

중요한 것은 평가, 우선순위, 통합 운영이다. AI 모델과 데이터 흐름을 어떻게 볼 것인지, 무엇부터 보호할 것인지, 어떤 위험부터 처리할 것인지 정해야 한다. 이 모든 것이 실제 시스템에서 함께 움직여야 한다. 문서로 200페이지짜리 지침을 만들어 놓는다고 거버넌스가 만들어지는 것은 아니다.

Q. 위험을 완전히 통제할 수 없다면 어떻게 관리해야 하나.

이미 발생한 위험은 없앨 수 없다. 미토스 같은 모델이 등장했고, 앞으로 오픈AI나 구글 같은 다른 기업도 유사한 능력을 가진 모델을 내놓을 수 있다. 우리가 이를 막거나 차단하거나 통제할 방법은 제한적이다. 그렇다면 받아들일 것은 받아들여야 한다.

보안에서는 이를 위험 수용이라고 한다. 위험 수용은 방치가 아니다. 지금 당장 처리하지 못하지만 일정 기간 안에 검증하고 해결하겠다는 관리 방식이다. 예를 들어 취약점 500개가 나왔을 때 20개는 즉시 처리하고, 480개는 한 달 안에 처리하기로 했다면 480개는 수용한 위험이다. 이 목록은 계속 관리하고 재검증해야 한다.

수용한 위험을 방치하면 보안 부채가 된다. 시간이 지나도 처리하지 못하면 사고가 발생했을 때 책임 문제가 생긴다. 그래서 CISO가 이사회나 경영진에 어떤 위험을 수용했고, 언제까지 검증할 것인지 보고해야 한다. 경영진도 이를 책임져야 한다. 이것이 거버넌스다.

Q. AI 에이전트가 상용화되고 있다. 보안의 기준은 어떻게 달라지나.

AI 에이전트가 업무 시스템과 연결되면 통제 지점이 많아진다. 사람이 직접 로그인해 파일을 열고 메일을 보내는 것이 아니라, 에이전트가 사람의 권한을 받아 여러 시스템을 오갈 수 있다. 그래서 권한 관리와 로그 관리가 중요해진다.

에이전트가 어떤 사용자 권한으로 움직이는지, 어떤 데이터에 접근했는지, 어떤 시스템을 호출했는지 기록해야 한다. 특히 비인간 신원을 관리해야 한다. AI 에이전트, 자동화 도구, 클라우드 서비스 계정, 임시 토큰 같은 것들이 모두 신원 관리 대상이 된다.

다만 모든 것을 처음부터 완벽하게 막기는 어렵다. 조직은 어떤 위험을 수용할지, 어떤 위험은 즉시 차단할지 우선순위를 정해야 한다. 수용한 위험은 검증 부채로 관리해야 한다. 이 구조가 실제로 돌아가야 AI 에이전트 보안도 관리할 수 있다.

Q. 국내 AI 보안 연구개발은 어디에 집중해야 하나.

독자 파운데이션 모델 개발은 중요하다. 하지만 그것만큼 중요한 것은 기존에 나와 있는 AI 도구를 분야별 목적에 맞게 잘 활용하는 능력이다. 제조업이면 제조업, 취약점 분석이면 취약점 분석, 보안관제면 관제, 선박이면 선박에 맞게 기존 모델을 최적화해 쓸 수 있어야 한다.

각 분야에 특화된 모델을 처음부터 모두 새로 만드는 것은 쉽지 않다. 기존 모델을 잘 활용하고, 필요한 도구를 골라 쓰는 방식이 에이전틱 AI의 개념과도 맞닿아 있다. 미토스도 범용 모델이 코드 리뷰 능력을 바탕으로 보안 취약점 탐지까지 연결된 사례로 볼 수 있다.

문제는 ‘폐쇄망’과 ‘망분리 환경’이다. 국방, 우주, 항공, 금융처럼 데이터 등급이 높거나 외부 유출이 어려운 영역에서는 상용 모델을 활용하기 쉽지 않다. 그래서 제도 개선도 필요하다. 데이터 표준화와 공유 체계가 없으면 모델이 있어도 학습과 활용이 어렵다.

Q. 보안 인력 양성도 중요해 보인다. AI 시대의 보안 인력은 어떻게 키워야 하나.

숫자로만 접근하면 안 된다. 하지만 이런 교육 정책은 지금도 계속되고 있다. 답답한 실정이다. AI 전문 인력 몇만명을 양성하겠다는 식의 정책은 실효성이 떨어진다. 인공지능학과를 졸업했다고 모두 AI 전문 인력인 것은 아니다. 모델을 만드는 사람, AI를 잘 활용하는 사람, 특정 산업에 AI를 적용하는 사람은 모두 다르다.

AI 전문 인력은 각 분야에서 요구하는 기술에 AI를 잘 적용할 수 있는 사람이어야 한다. 코딩을 잘하는 사람, 보안 모델 검증을 잘하는 사람, 선박 설계를 잘하는 사람, 보안관제에 AI를 적용할 수 있는 사람은 필요한 역량이 다르다. 표준 커리큘럼 하나로 모든 학생을 같은 방향으로 교육하는 방식은 맞지 않는다.

교육은 학생의 자율과 성향, 산업 수요에 맞춰야 한다. 기본 교육은 필요하지만 특화 교육은 더 세밀해야 한다. 특히 보안과 AI가 결합되는 분야는 석·박사급의 전문 교육과 산업 현장에 맞춘 훈련이 필요하다. 몇 명을 졸업시켰는지가 아니라 실제 어떤 역할을 할 수 있는 인력을 만들었는지가 중요하다.

Q. 국내 사이버보안 체계는 어떤 방향으로 가야 한다고 보나.

기다릴 때가 아니다. 외부 기업과 협의하는 것도 필요하지만, 그 정보가 언제 어디까지 제공될지 알 수 없다. 그동안 국내 기업과 공공기관은 자신들이 할 수 있는 일을 해야 한다.

우선 자산을 파악해야 한다. 그다음 기존 AI 도구와 국내 모델을 활용해 선제 점검을 해봐야 한다. 취약점이 나오면 즉시 처리할 것과 일정 기간 안에 처리할 것을 나눠야 한다. 자체 패치 능력을 갖추거나 벤더와의 서비스 수준 협약(SLA)을 바꿔 긴급 패치 시간을 줄이는 방안도 검토해야 한다.

보안 책임도 CISO에게만 몰아서는 안 된다. 보안 사고와 위험 수용, 검증 부채는 경영진이 함께 책임져야 한다. 평가, 우선순위, 거버넌스가 실제로 움직일 때 미토스 같은 위협을 관리할 수 있다. 완벽하게 제거할 수는 없더라도 관리 가능한 수준으로 줄여야 한다. 그렇게 해야 사고가 발생했을 때 빠르게 대응하고 회복할 수 있다.

곽진 교수는 아주대학교 사이버보안학과에서 학생들을 가르치고 있으며, 같은 대학에서 ‘정보보호응용 및 보증연구실(ISAA Lab)’을 이끌며 사이버보안, 암호 기술, AI 보안, 보안 모델 검증 등을 연구하고 있다. 최근에는 국가AI전략위원회 보안특별위원회 위원으로도 활동하고 있다.

글. 바이라인네트워크

<곽중희 기자>god8889@byline.network

https://byline.network/2026/05/29-504/