---
title: "사이버보안 시험이 ‘정답 하나짜리 암기’로 망가지는 방식"
published: 2026-06-29T06:33:12.000Z
canonical: https://jeff.news/article/4355
---
# 사이버보안 시험이 ‘정답 하나짜리 암기’로 망가지는 방식

한 보안 자격증 문제를 예로 들어, 위협 행위자 분류를 단순 암기식으로 가르치는 방식이 얼마나 빈약한지 비판하는 글이다. ‘돈 많고 최신 공격 기법을 쓰며 금전 이득을 노리는 집단’의 정답을 조직범죄로 고정하지만, 실제로는 국가 지원 공격자나 내부자 위협도 충분히 들어맞을 수 있다는 지적이 핵심이다.

- 글쓴이는 보안 자격증 문제 하나를 들고, 사이버보안 교육이 너무 ‘정답 암기 게임’으로 굴러간다고 깜.
  - 문제는 ‘자금이 풍부하고 동기가 있으며 최신 공격 기법을 쓰고 금전적 이익을 노리는 위협 행위자’를 고르라는 내용임.
  - 보기에는 핵티비스트, 국가 지원 공격자, 조직범죄, 내부자 위협이 있었고, 시험의 정답은 ‘조직범죄’였음.

- 근데 글쓴이가 보기엔 이 문제는 정답이 하나로 떨어지기 어렵다는 게 포인트임.
  - 국가 지원 공격자도 금전적 이익을 노릴 수 있음. 산업 스파이로 국가 경제에 이익을 주거나, 공격 조직 자체가 국가에서 보상을 받을 수 있으니까.
  - 조직범죄는 당연히 돈을 벌려고 움직이고, 자금도 충분할 수 있음. 여기까지는 시험 출제자가 의도한 답에 가까움.
  - 내부자 위협도 외부 조직에서 돈을 받고 움직일 수 있고, 최신 기법을 쓰지 말라는 법도 없음. 현실은 보기처럼 깔끔하지 않음.

> [!IMPORTANT]
> 글에서 가장 세게 치는 지점은 ‘위협 행위자 분류’ 자체가 아니라, 보안 교육이 현실의 애매함을 지우고 낡은 상식 퀴즈로 변하는 순간임.

- 특히 ‘금전 목적이면 조직범죄’라는 식의 단순화는 요즘 공격 현실과도 잘 안 맞음.
  - 글쓴이는 미국 재무부 자료를 인용해, 북한 연계 공격자들이 2022년부터 2025년까지 주로 암호화폐로 30억 달러 이상을 훔쳤다고 짚음.
  - 이건 국가 지원 공격자도 매우 직접적인 금전 동기를 가질 수 있다는 꽤 강한 반례임.

- 글쓴이는 사이버보안 인력 부족 담론에도 회의적임.
  - ‘75만 개의 사이버보안 일자리가 비어 있다’는 식의 숫자가 돌아다니지만, 실제로 그만큼의 역할이 있는지나 충분한 급여가 제시되는지는 의심스럽다고 봄.
  - 설령 자리가 많다 해도, 회사들이 원하는 건 ‘지루한 용어 조각’을 외운 사람이 아니라 실제 문제를 다룰 수 있는 사람이라는 뉘앙스가 강함.

- 결론은 꽤 직설적임. 보안 공부를 하려면 퀴즈 정답을 외우기보다 직접 뜯어보라는 것.
  - 글쓴이는 중고 무선 공유기를 사서 펌웨어를 덤프하고, 널 포인터 역참조(Null Pointer Dereference) 같은 버그를 찾아보는 쪽이 훨씬 값진 학습이라고 말함.
  - 실제로 본인이 TP-Link TL-WR841N에서 CVE-2025-9014 취약점을 찾았다는 사례도 붙임. 말만 센 게 아니라 경험 기반의 비판인 셈임.

## 핵심 포인트

- 보안 시험의 위협 행위자 분류가 현실의 복잡성을 제대로 반영하지 못함
- 북한 연계 공격자가 2022년부터 2025년까지 암호화폐 중심으로 30억 달러 이상을 훔쳤다는 사례가 반례로 제시됨
- 암기식 지식보다 중고 공유기 펌웨어를 뜯고 취약점을 찾는 식의 hands-on 학습이 더 낫다는 주장

## 인사이트

보안 교육이 ‘이 용어의 정답은 이거’에 머무르면 실제 사고 대응이나 위협 모델링에는 별 도움이 안 됨. 개발자 입장에서도 보안 분류표를 외우는 것보다, 왜 여러 답이 동시에 맞을 수 있는지 따지는 습관이 훨씬 실전적임.