2. Learning Path

예상 읽기 시간:2분 2 조회수

[강의 2] The Correct Path — 올바른 학습 경로와 마인드셋

셀프 스터디 교안 본 교안은 강의 영상을 보지 않고도 학습이 가능하도록 원본 영문 스크립트를 재구성한 자료입니다. 핵심 개념, 정의, 학습 포인트, 복습 문제로 구성되어 있습니다.

📌 학습 목표 (Learning Objectives)

이 강의를 마치면 다음을 이해/설명할 수 있어야 합니다.

AI 도구에만 의존했을 때의 위험성(“shortcut의 위험”)을 설명할 수 있다.
“자동화 전에 이해하라(Understand before you automate)” 원칙의 의미를 설명할 수 있다.
AI 기반 윤리적 해커가 되기 위한 4단계 올바른 경로를 순서대로 말할 수 있다.
본 코스의 사전 요구 지식(prerequisites) 과 실습 환경(tools/lab) 을 파악한다.
학습 과정에서 따라야 할 기본 규칙(basic rules) 과 윤리/법적 책임을 설명할 수 있다.
AI를 코스 내에서 어떻게 활용해야 하고, 하지 말아야 할 사용 방식이 무엇인지 구분할 수 있다.

1. 잠깐 멈추고 줌아웃하기 (Zoom Out)

이번 강의는 기술이 아니라 마인드셋과 토대(foundation) 에 관한 내용이다.

AI 기반 윤리적 해커로 성공하기 위해 반드시 갖춰야 할 사고방식을 다룬다.

기술을 빨리 배우고 싶은 마음을 잠시 내려놓고, “어떤 자세로 공부할 것인가”를 먼저 정리하는 시간이다.

2. Shortcut(지름길)의 위험성

2-1. AI는 매우 강력하지만, 사람을 게으르게 만들 수 있다

AI에게 다음을 요청하면 즉시(instantly) 결과물이 나온다.
- 피싱 이메일 작성
- 익스플로잇용 페이로드 생성
이 힘은 매우 유용하지만, 동시에 위험하다.
이유: “내부에서 무슨 일이 일어나는지(what’s happening under the hood)” 를 모르면 위험하기 때문.

2-2. 핵심 명제 ⭐

Tools are temporary. Your knowledge is permanent. (도구는 일시적이고, 지식은 영구적이다.)

AI는 스캔하고, 스크립트를 생성하고, 시뮬레이션할 수 있다.
그러나 무언가가 깨지거나(breaks), 예상과 다르게(unexpectedly) 동작할 때, 당신이 그 이유를 모른다면 → AI 도구는 무용지물(useless)이 된다.

2-3. 해킹에서의 진짜 무기

In hacking, your brain is the real weapon. AI is just an extra set of hands. (해킹에서 진짜 무기는 당신의 두뇌이고, AI는 단지 한 쌍의 보조 손에 불과하다.)

3. 본 코스의 핵심 원칙 — “이해한 다음 자동화하라”

3-1. 원칙

You must understand before you automate.

수동(manual)으로 수행하지 못하는 작업은, 자동화하거나 AI로 실행할 준비가 되어 있지 않은 것이다.

3-2. 구체적인 예시 (반드시 기억할 것)

자동화/AI로 하려는 일	먼저 알아야 할 기초
포트 스캔(Port Scanning)	TCP가 어떻게 동작하는지
셸코드(Shellcode) 생성	버퍼 오버플로우(Buffer Overflow)가 무엇인지
AI로 피싱 이메일 작성	피싱(Phishing)이 무엇인지

→ 이 모든 것은 필수 기초(necessary fundamentals) 다.

3-3. 듣기 싫지만 중요한 진실

윤리적 해킹은 하나의 기예(craft)이다.

침투 테스트(Penetration Testing)는 단순히 AI로 도구를 실행하는 것이 아니다.
그것은 기예이자 마인드셋(a craft and a mindset) 이다.
다음 자질들은 오직 연습과 학습(practice and study) 으로만 길러진다.
- 호기심(Curiosity)
- 규율(Discipline)
- 직관(Intuition)

AI는 당신의 작업을 확장(scale) 시킬 수 있다. 그러나 어려운 작업을 직접 해내며 형성되는 직관과 판단력(intuition and judgment) 은 대체할 수 없다.

4. 올바른 경로 (The Correct Path) — 4단계

AI 기반 윤리적 해커가 되기 위한 올바른 학습 경로는 다음과 같다.

[1단계] 기초(Fundamentals) 학습
        - 네트워킹(Networking)
        - 운영체제(Operating Systems)
        - 기본 프로그래밍(Basic Programming)
        - 기본 윤리적 해킹 기법
              ↓
[2단계] 다양한 랩(Labs)에서 수동(Manual) 기법 실습
              ↓
[3단계] 어렵고 느린 작업(hard work and slow work)을 직접 수행
        → 윤리적 해킹 개념을 진정으로 이해하기
              ↓
[4단계] 그제서야(only then) AI를 도입하여
        작업을 자동화하고 확장(scale)

⚠️ 4단계는 반드시 1~3단계를 거친 후에 진행해야 한다.

5. 본 코스의 사전 요구 지식 (Prerequisites)

본 코스를 최대한 활용하기 위해 다음을 갖추는 것이 권장된다.

영역	요구 수준
기본 해킹 지식	포트(ports), 서비스(services), 일반적인 취약점(common vulnerabilities)의 개념 이해
네트워킹 기초	Networking fundamentals 보유
Linux	편안하게(comfortable) 사용 가능한 수준
Python 기초	기본 코딩 가능 (본 코스에서 Python을 많이 사용하기 때문)

사전 지식이 부족하다면?

강사의 별도 윤리적 해킹 코스에서 위 내용을 학습할 수 있다.
또는 본 코스를 진행하면서 부족한 주제를 그때그때 보충 학습할 수 있다.
코스에 첨부된 부록(appendices) 및 자료(resources) 도 활용할 것.

즉, 사전 지식이 완벽하지 않아도 코스 진행은 가능하다. 다만 부족한 부분을 자각하고 보충하는 자세가 필요하다.

6. 사용할 도구와 실습 환경 (Tools & Lab)

항목	설명
Kali Linux	침투 테스트용으로 잘 알려진 OS. 본 코스의 모든 작업은 Kali Linux 가상 머신(VM) 안에서 수행
ChatGPT / OpenAI API	강의의 상당 부분에서 사용됨
Python	코스의 큰 비중을 차지 — 기본 사용법 숙지 필수
기타 도구	필요한 도구는 Kali Linux VM 안에 설치하며 진행

이론과 실습의 균형

본 코스는 실습 위주(practical hands-on) 다.
그러나 이론을 무시하지 않는다 → 대부분 섹션의 시작 부분에 이론 강의가 배치되어 있다.
이론 강의는 해당 섹션에서 무엇을 다룰지 설명하는 역할을 한다.

7. 해커의 사고 훈련 — 따라야 할 기본 규칙 (Basic Rules)

올바른 전략을 실천하고 해커 마인드(hacker mind) 를 기르기 위한 규칙들이다.

규칙 1 — 항상 수동(Manual) 접근법을 먼저 한다

모든 실습에서 자동화/AI를 쓰기 전에 수동으로 먼저 해본다.

규칙 2 — 변수를 바꿔가며 반복 실험한다

같은 실습을 변수만 바꿔 다시 실행해, 여러 상황에서 어떤 일이 벌어지는지 학습한다.

규칙 3 — “Why Log(왜 로그)”를 작성한다

모든 도구의 출력(output)에 대해 다음을 자문한다.

“왜 이런 결과가 나왔는가?”
“내가 입력한 프롬프트가 영향을 주었는가?”
“AI가 정확한 결과를 주었는가?”

규칙 4 — 단계적으로 자동화한다

수동 실습 후, 작은 부분부터 자동화 → 점차 더 큰 부분으로 확장한다.

규칙 5 — 항상 문서화(document) 한다

무엇을 했는지 기록한다.

규칙 6 — AI를 실험한다

AI의 한계(limitations) 가 무엇인지 직접 찾아낸다.
강의에서 보여준 전술 외에도, 새로운 활용 방법을 스스로 고민한다.

8. 윤리·규칙·법적 측면 (Ethics, Rules & Legal)

⚠️ 본 코스는 윤리적 행위(ethical behavior) 를 전제로 진행된다.

절대 원칙

배운 내용을 본인이 소유하지 않은 시스템이나
테스트 권한이 없는 시스템에 사용해서는 안 된다.

진짜 침투 테스터의 자질

다음은 단순한 권장 사항이 아니라 실제 침투 테스터(real penetration tester) 의 일부다.

전문성(Professionalism)
보고(Reporting)
책임 있는 공개(Responsible Disclosure)

9. 본 코스에서 AI를 사용하는 방법

9-1. AI는 다음 용도로 사용한다 ✅

(1) 아이디어 생성기 & 시간 절약 도구 (Idea Generator & Time Saver)

테스트 벡터(test vectors) 제안
보고서 초안 작성
입력 데이터 분석

(2) 생산성 도구 (Productivity Tool)

포맷팅 자동화
공격 계획(plans for attacking) 생성
다양한 스크립트의 베이스라인(baseline) 생성

9-2. AI를 이렇게 사용하면 안 된다 ❌

“Blind ‘do it for me’ replacement” — 무비판적으로 “대신 해줘”라고 맡기는 도구로 써서는 절대 안 된다.

9-3. 절대 원칙

AI가 만든 결과는 항상 검증(validate) 한다.
AI의 결과물을 항상 이해(understand) 한다.
이유: AI가 항상 옳은 것은 아니기 때문이다.

10. Q&A 섹션 활용법

이해되지 않거나 도움이 필요한 경우 Q&A 섹션을 활용한다.

활용 방식

질문을 올린다.
자신이 푼 챌린지를 공유한다.
도움이 필요한 다른 학생을 돕는다.

좋은 질문 작성법

강의별(lecture-specific) 의문에 사용한다.
맥락(context) 을 제공한다.
이미 시도한 것과 무엇이 되고/안 됐는지를 명시한다.

11. 강사 소개

이름: Aleksa
직책: 윤리적 해커(Ethical Hacker), Bedlam Security 공동 창립자(co-founder)
본 코스의 강사

12. 마무리 메시지 (Final Message)

핵심 등식 ⭐

\boxed{\textbf{Knowledge} \ + \ \textbf{AI} \ = \ \textbf{Unstoppable}}

AI는 여기 머물 것이고, 최고의 해커들을 더 강하게 만들 것이다. 그러나 단순히 AI 사용법만 배우지 마라. 당신의 두뇌를 사용하는 법(use your mind) 을 배워라.

강사의 도전 과제

어려운 일을 먼저 하라 (Do the hard work first).
기본기를 마스터하라 (Master the fundamentals).
그 다음 AI로 더 빨라져라 — 더 게을러지지 말고 (Faster, not lazier).

📖 핵심 용어 정리 (Glossary)

용어	영문	의미
지름길	Shortcut	기초를 건너뛰고 결과만 빠르게 얻으려는 접근 (위험)
후드 안	Under the hood	시스템 내부에서 실제로 벌어지는 일
기예	Craft	단순한 도구 사용이 아닌, 숙련과 직관이 필요한 작업
수동 접근	Manual Approach	도구·자동화 없이 단계를 직접 수행하는 방식
자동화	Automation	반복 작업을 코드/도구로 처리하는 것
Why Log	—	도구 출력에 “왜?”를 묻고 답을 기록하는 학습 로그
Kali Linux	—	침투 테스트 용도의 대표적인 Linux 배포판
OpenAI API	—	OpenAI가 제공하는 GPT 모델 호출용 API
책임 있는 공개	Responsible Disclosure	발견한 취약점을 적절한 절차로 알리는 행위
테스트 벡터	Test Vectors	시스템을 시험하기 위한 입력/공격 경로
베이스라인	Baseline	시작점으로 삼는 기본 코드/구조

✅ 복습 문제 (Self-Check Questions)

정답은 본문에서 직접 찾아보며 확인해보세요.

AI 도구를 사용했을 때 발생할 수 있는 가장 큰 위험은 무엇인가?
“Tools are temporary. Your knowledge is permanent.”를 자신의 말로 풀어 설명하시오.
“Understand before you automate” 원칙의 의미와, 본 강의에서 제시한 3가지 예시를 적으시오.
윤리적 해킹이 “기예(craft)”라고 불리는 이유는 무엇인가?
AI 기반 윤리적 해커가 되기 위한 4단계 올바른 경로를 순서대로 적으시오.
본 코스의 사전 요구 지식 4가지를 적으시오.
코스에서 사용하는 주요 도구/환경 3가지를 적으시오.
“Why Log”란 무엇이며, 왜 작성해야 하는가?
AI를 본 코스에서 사용하는 두 가지 올바른 용도(✅)와, 절대 해서는 안 되는 사용 방식(❌)을 적으시오.
AI 결과물을 받았을 때, 학습자가 반드시 해야 하는 두 가지 행동은?
윤리/법적 측면에서 절대 해서는 안 되는 행동은 무엇인가?
“Knowledge + AI = Unstoppable”이 의미하는 바를 본인의 말로 설명하시오.

🎯 한 페이지 요약 (One-Page Summary)

AI는 강력하지만 사람을 게으르게 만들 수 있다. 도구는 일시적, 지식은 영구적.
핵심 원칙: “이해한 다음 자동화하라(Understand before you automate).”
- 수동으로 못 하는 일은 자동화할 자격도 없다.
- TCP 모르면 포트 스캔 안 됨 / 버퍼 오버플로우 모르면 셸코드 안 됨 / 피싱 개념 모르면 AI 피싱 메일 안 됨.
윤리적 해킹은 기예(craft) 다. 호기심·규율·직관은 연습으로만 길러진다.
올바른 경로 4단계: ① 기초 학습(네트워크/OS/프로그래밍/해킹 기초) → ② 랩에서 수동 실습 → ③ 어려운 일 직접 하기 → ④ 그제서야 AI 도입.
사전 지식: 해킹 기초 / 네트워킹 / Linux / Python
실습 환경: Kali Linux VM + ChatGPT / OpenAI API + Python
학습 규칙: 수동 먼저 → 변수 바꿔 반복 → Why Log 작성 → 단계적 자동화 → 문서화 → AI 한계 실험
윤리: 권한 없는 시스템은 절대 건드리지 않는다. 전문성·보고·책임 있는 공개가 진짜 침투 테스터의 자질.
AI 사용법: 아이디어 생성기/생산성 도구로만 ✅, “맹목적으로 대신 해줘”는 ❌. 항상 검증·이해.
Knowledge + AI = Unstoppable. 어려운 일 먼저 하고, AI로 더 빨라져라(더 게을러지지 말고).

다음 강의에서는 실제로 랩을 셋업하고 ChatGPT를 사용해본다. 그 전에, 이 강의 다음에 나오는 prerequisites 노트를 2분만 시간을 내서 확인할 것!