AI가 사이버보안 입문 장벽을 낮추다: 초보자를 위한 CTF 학습 사례 연구

초록

본 논문은 초보 대학생이 에이전트형 사이버보안 AI(CAI)를 활용해 CTF 과제를 수행한 과정을 혼합‑방법으로 분석한다. 정량적 성과와 자가반성 로그를 통해 AI가 초기 인지 부하를 감소시키고 전략적 탐색을 가속화하지만, 신뢰·의존·윤리적 위험도 동반한다는 결론을 제시한다.

상세 분석

이 연구는 인간‑중심(Human‑Centered) 접근을 채택해, ‘에이전트형 AI가 초보 학습자를 어떻게 매개하는가’를 탐구한다. 연구자는 1년 동안 4단계(도입·설정, 반복적 CTF 해결, 정량적 벤치마크, 회고)로 구성된 액션리서치와 설문조사를 병행했으며, 주요 측정 지표는 도전 과제 시도 여부, 해결 시간, 전략당 평균 시간, 시도 횟수 등이다.

정량적 결과는 초보자가 CAI를 사용함으로써 기존 ACSC 참가자( N=29 ) 대비 평균 해결 시간과 전략당 소요 시간이 현저히 낮아졌음을 보여준다. 특히 ‘전략적 가속화’가 두드러졌는데, 이는 AI가 탐색적 단계(정보 수집·취약점 파악)를 자동화해 사용자가 고차원적 의사결정에 집중하도록 만든다.

정성적 분석에서는 ‘구조적 안내’, ‘인지 부하 감소’, ‘학습 동기 부여’가 주요 테마로 도출되었다. 초보자는 AI가 제공하는 작업 흐름 개요와 단계별 가이드를 통해 도구 체인(Nmap, Burp 등)의 복잡성을 빠르게 극복했으며, 이는 ‘학습 곡선 완화’로 해석된다. 반면, ‘신뢰와 의존성’, ‘책임감 결여’, ‘윤리적 오용 위험’이 부정적 테마로 나타났다. 참가자는 AI가 제시하는 결과를 무비판적으로 받아들일 위험성을 인식했지만, 실제 사용 과정에서 검증 절차를 충분히 거치지 못한 사례가 보고되었다.

이러한 양면성은 AI‑보조 사이버보안 교육이 단순히 자동화 도구가 아니라, 학습자에게 ‘AI 활용 역량(AI fluency)’을 동시에 길러야 함을 시사한다. 즉, 전략적 위임, 비판적 검증, 책임 있는 사용에 대한 교육이 병행돼야 한다는 점이다.

연구의 제한점으로는 단일 피험자(저자 중 한 명) 중심의 사례 연구라는 점, CAI 버전(0.5)과 특정 LLM(OpenAI ChatGPT, Anthropic Claude)에 국한된 결과, 그리고 시간·성공률 데이터가 자가보고에 의존한다는 점을 들 수 있다. 향후 연구는 다수의 초보자를 대상으로 다양한 에이전트형 AI 툴을 비교하고, 장기적인 기술 습득 효과와 윤리적 행동 변화를 추적할 필요가 있다.