최현민 박사 단국대학교 전임교원 임용(보안공학 연구실, 지도교수: 김형식)

본교 보안공학연구실 졸업생인 최현민 박사가 2026년 3월부로 단국대학교 소프트웨어학과 전임교원으로 임용되었습니다. 최현민 교수는 네이버 클라우드에서 연구원으로 근무한 뒤, 성균관대학교 보안공학연구실에서 박사과정을 수행하였으며, 2025년 8월 박사학위를 취득하였습니다. 최현민 교수는 박사과정 동안 동형암호, 프라이버시 보호 기술, AI 보안 분야를 중심으로 연구를 수행하였습니다. 특히 민감한데이터를 안전하게 보호하면서도 활용할 수 있는 프라이버시 강화 기술과, 인공지능 시스템의 보안성과 신뢰성을 높이기 위한 연구에 꾸준히 힘써 왔습니다. 이와 같은 연구 경험을 바탕으로, 최현민 교수는 앞으로도 보안과 인공지능이 융합되는 다양한 영역에서 활발한 연구와 교육 활동을 이어갈 것으로 기대됩니다.

진범진 박사 아주대학교 전임교원 임용 (보안공학 연구실, 지도교수: 김형식)

본교 보안공학연구실 졸업생인 진범진 박사(지도교수 김형식)가 2026년 3월부로 아주대학교 사이버보안학과 전임교원으로 임용되었습니다. 진범진 교수는 성균관대학교 소프트웨어학과에서 학사학위를 취득한 뒤, 성균관대학교 전기전자컴퓨터공학과에서 김형식 교수의 지도 아래 석박사통합과정을 마치고 2025년 8월 박사학위를 취득하였습니다. 이후 미국 퍼듀대학교 컴퓨터과학과에서 박사후연구원으로 재직하며 사이버보안 분야의 연구를 이어갔습니다. 진범진 교수는 학위과정 동안 악성코드 분석, 사이버 위협 인텔리전스, 소프트웨어 보안 분야를 중심으로 연구를 수행해 왔습니다. 특히 악성코드 규칙 생성과 변종 분석, 사이버 위협 인텔리전스 분석, 웹 생태계에서의 개인정보 보호 등 실제 보안 위협을 정밀하게 분석하고 이를 효과적인 대응 기술로 연결하는 연구에 주력하였습니다. 최근에는 인공지능과 대규모 언어모델을 활용하여 악성코드 분석과 위협 정보 생성 과정을 자동화하는 연구에도 관심을 두고 있으며, 보다 효과적이고 확장 가능한 사이버 위협 대응 기술 개발에 기여할 것으로 기대됩니다.

보안공학연구실(김형식 교수 지도), CHI 2026 논문 2편 게재 승인

보안공학연구실, CHI 2026 논문 2편 게재 승인 대규모 보안 사고 이후 사용자 인식과 대응 행동의 한계 실증 분석 성균관대학교 보안공학연구실(지도교수 김형식)의 연구 2편이 HCI 분야 최고 권위 국제학술대회인 CHI 2026에 게재 승인되었다. 이번 성과는 대규모 보안 사고 이후 사용자가 위험을 어떻게 이해하고, 실제로 어떤 대응 행동을 보이는지를 실증적으로 분석했다는 점에서 의미가 크다. 한 연구는 KAIST와의 공동연구로 국내 대규모 SIM 정보 유출 사고를 다루었고, 다른 연구는 조지아텍, Samsung Research와의 공동연구로 FTX 붕괴 이후 암호화폐 이용자의 보안 인식 변화와 대응 양상을 분석했다. 두 연구는 모두 보안 문제를 기술적 취약점 자체에만 한정하지 않고, 사용자의 인식, 신뢰, 행동까지 함께 살펴보며 사용자 중심 보안 설계의 중요성을 보여주었다. 첫 번째 논문인 "Mind the SIM: Awareness and Mental Models in a South Korean Case Study”는 2025년 국내 대규모 SIM 인증정보 유출 사고를 배경으로, 사용자가 SIM 기반 인증과 관련된 위험을 어떻게 이해하는지 분석한 연구이다. 연구팀은 국내 이용자 33명을 대상으로 인터뷰와 멘탈모델 분석을 수행한 결과, 많은 사용자가 사고 발생 사실은 인지하고 있었지만 무엇이 유출되었고 그것이 어떤 위험으로 이어질 수 있는지는 정확히 이해하지 못하고 있음을 확인했다. 특히 사고의 심각성을 막연히 느끼면서도 자신의 피해 가능성은 낮게 인식하거나, 통신사가 조치할 문제라고 생각해 적극적인 대응을 하지 않는 경향이 뚜렷하게 나타났다. 이는 보안 사고에서 자주 지적되는 ‘인지와 행동의 간극’이 통신 인증 인프라 영역에서도 분명하게 존재함을 보여준다. 연구팀은 이러한 결과를 바탕으로, 향후 통신 보안 서비스와 인증 체계는 기술적 안전성뿐 아니라 사용자가 위험을 올바르게 이해하고 실제 보호 행동으로 이어질 수 있도록 돕는 설명 방식과 안내 구조를 함께 설계해야 한다고 제안했다. 두 번째 논문인 “I just have faith in my wallet to not mismanage my crypto”: Investigating Changes in Users’ Security Perceptions Post-FTX Collapse”는 FTX 붕괴 이후 암호화폐 이용자들이 거래소 보관형 지갑과 개인 보관형 지갑의 보안을 어떻게 인식하게 되었는지, 그리고 그 인식 변화가 실제 대응 행동으로 이어졌는지를 분석한 연구이다. 연구팀은 심층 인터뷰 22건과 후속 설문 430명을 통해, 대형 사고 이후 중앙화 거래소에 대한 신뢰는 전반적으로 낮아지고 개인이 직접 관리하는 지갑의 보안성은 더 높게 평가되는 경향이 나타났음을 확인했다. 그러나 이러한 인식 변화가 실제 행동으로 이어지는 경우는 제한적이었다. 상당수 사용자는 여전히 기존 서비스에 자산을 그대로 두었고, 거래소가 자신의 개인키를 보관한다는 핵심 구조조차 정확히 이해하지 못하는 경우도 적지 않았다. 특히 위험을 인지하고도 별다른 조치를 취하지 않거나, 스스로 더 안전한 방식을 사용하고 있다고 믿지만 실제로는 여전히 위험한 구조에 머물러 있는 사용자 집단이 확인되었다. 연구팀은 이를 통해 암호화폐 서비스의 보안 안내가 단순한 정보 제공을 넘어, 사용자가 자신의 위험을 구체적으로 점검하고 즉시 행동할 수 있도록 돕는 방향으로 개선되어야 한다고 강조했다. 이번 CHI 2026 게재 승인은 보안공학연구실이 기술 중심 보안 연구를 넘어, 실제 사용자 경험과 행동을 정밀하게 분석하는 인간 중심 보안 연구에서도 국제적 경쟁력을 확보하고 있음을 보여준다. 두 연구는 서로 다른 도메인을 다루고 있지만, 공통적으로 대규모 사고 이후에도 사용자의 이해 부족, 불완전한 멘탈 모델, 행동 지연이 반복된다는 점을 실증적으로 확인했다. 이는 앞으로의 보안 기술이 단순히 더 안전한 시스템을 만드는 데 그쳐서는 안 되며, 사용자가 위험을 이해하고 적절히 대응할 수 있도록 지원하는 방향으로 함께 발전해야 함을 시사한다. 두 연구 결과는 ACM CHI 2026 (바르셀로나)에서 현지 시간 4월 14에 발표될 예정이다.

[차수영 교수] 소프트웨어분석 연구실(SAL), FSE 2026 논문 게재 승인

소프트웨어 분석 연구실 (지도교수: 차수영)의 윤재한 학생 (박사과정)의 논문이 소프트웨어공학 분야 최우수 학회인 FSE 2026 (ACM International Conference on the Foundations of Software Engineering)에 게재 승인(Accept) 되었습니다. 본 연구는 고려대학교 서윤지 학생, 고려대학교 오학주 교수님과 공동으로 진행한 연구로, 2026년 7월에 캐나다 몬트리올(Montreal)에서 발표될 예정입니다. 본 논문 "Reducing Coverage-Equivalent Inputs in Grammar-based Fuzzing by Avoiding Recurrent Rule Sequences” 은 대표적인 소프트웨어 테스팅 방법론인 “문법-기반 퍼징 (Grammar-based Fuzzing)”의 성능을 높이기 위한 새로운 기술을 제안하였다. 본 논문의 동기는 최신 문법-기반의 퍼징 도구들이 테스트를 수행하는 동안 같은 코드 영역을 실행하는 Coverage-Equivalent 입력들을 반복해서 만들고 있다는 점이다. 이 문제를 해결하기 위해, 본 논문은 이러한 Coverage-Equivalent 입력의 생성 원인을 자동으로 추출하고 해당 입력들이 다시 만들어지지 않도록 하는 “생성 규칙들”을 자동 생성하는 기술을 만들었다. 본 논문은 연구 결과물(RSFuzz)을 기존의 최신 퍼징 도구들에 결합하고 다양한 입력 포맷을 갖는 12개의 실제 프로그램에서 성능을 평가했다. 실험 결과, RSFuzz를 세 가지 퍼징 도구에 통합함으로써 각각 121개, 46개, 17개의 추가적인 오류를 검출하였고, 코드 라인 커버리지를 각각 6.0%, 4.8%, 3.0% 향상시키며, Coverage-Equivalent 입력 생성을 각각 23.3%, 28.7%, 14.9% 감소시키는데 성공하였다. [논문 정보] - 제목: Reducing Coverage-Equivalent Inputs in Grammar-based Fuzzing by Avoiding Recurrent Rule Sequences - 저자: 윤재한, 서윤지, 오학주, 차수영 - 학회: ACM International Conference on the Foundations of Software Engineering (FSE 2026) Abstract: We present RSFuzz, a new technique to enhance grammar-based fuzzing by reducing the generation of coverage-equivalent inputs during testing. Grammar-based fuzzers apply production rules from a given grammar (e.g., forming a derivation tree) to generate well-structured inputs for the target program. However, a key limitation is that many existing fuzzers still produce a large number of "coverage-equivalent" inputs—those that revisit already explored program paths—thereby restricting their ability to uncover new bugs and improve coverage. To address this issue, RSFuzz automatically identifies recurrent sequences of production rules that lead to coverage-equivalent inputs and prevents their reuse during fuzzing. A key challenge in practice lies in the large number of coverage-equivalent input groups, each with many inputs and corresponding derivation trees, making it difficult to identify the underlying recurrent sequences. RSFuzz tackles this challenge with a customized algorithm that iteratively groups coverage-equivalent inputs, selects promising groups, and extracts recurrent sequences by abstracting derivation trees based on accumulated data while running any grammar-based fuzzer. We integrated RSFuzz with existing random, probabilistic, and grammar-coverage based fuzzers and evaluated it on 12 real-world programs using , JSON, CSV, and Markdown input formats. Experimental results show that incorporating RSFuzz into the three fuzzers detects 121, 46, and 17 additional crashes with distinct stack traces, increases line coverage by 6.0%, 4.8%, and 3.0%, and reduces duplicate-coverage input generation by 23.3%, 28.7% and 14.9%, respectively, compared to their performance without RSFuzz.