오픈AI, 취약점 찾고 패치까지 돕는 ‘데이브레이크’ 확대

• 오픈AI가 사이버 보안 이니셔티브 ‘데이브레이크(Daybreak)’를 확대함

  • 목표는 AI로 소프트웨어 취약점 검증, 위험도 평가, 패치 개발, 테스트, 배포까지 전체 수정 과정을 빠르게 만드는 것임
  • 단순히 “여기 취약점 있음”이라고 알려주는 도구가 아니라, 실제 고치는 과정까지 밀어붙이는 쪽에 가까움

• 같이 공개된 건 GPT-5.5-사이버 정식 버전과 코덱스 시큐리티 플러그인임

  • GPT-5.5-사이버는 검증된 보안 전문가에게만 제한 제공됨
  • 코덱스 시큐리티는 개발팀의 코드와 위협 모델을 분석해서 취약점을 찾고, 패치를 개발하고, 테스트까지 돕는 역할을 함
  • 다만 최종 적용 여부는 개발자와 보안 담당자가 결정함. 완전 자동 수정이라기보다는 보안 패치 워크플로를 빠르게 만드는 도구임

• 성능 수치도 하나 나옴. GPT-5.5-사이버는 취약점 재현 능력 평가 벤치마크 ‘사이버짐(CyberGym)’에서 85.6%를 기록함

  • 일반 GPT-5.5는 같은 평가에서 81.8%였음
  • 차이는 3.8%포인트임
  • 보안 특화 모델이 일반 모델보다 취약점 재현 쪽에서 더 나은 결과를 냈다는 게 오픈AI가 내세우는 포인트임

• 파트너 프로그램도 꽤 크게 붙음

  • 오픈AI는 ‘데이브레이크 사이버 파트너 프로그램’을 출범시킴
  • 액센츄어, 시스코, 클라우드플레어, 크라우드스트라이크, IBM, 팔로알토네트웍스, 체크포인트, 포티넷, 다크트레이스 등 30개 보안 소프트웨어·서비스 업체가 참여함
  • 참여 기업은 GPT-5.5를 자사 보안 제품과 서비스에 적용할 수 있음

• 모델 접근은 꽤 엄격하게 제한됨

  • 파트너 프로그램에 참여한다고 해서 모두 모델에 직접 접근할 수 있는 건 아님
  • 직접 접근 권한은 오픈AI가 선정한 파트너만 보유함
  • 취약점 재현과 패치 개발 능력이 있는 모델은 방어에도 좋지만 공격 자동화에도 악용될 수 있어서, 접근 통제가 핵심 이슈가 됨

• 앤트로픽의 ‘프로젝트 글래스윙’과도 비교되는 구도임

  • 앤트로픽은 ‘클로드 미토스 프리뷰’를 약 50개 초기 파트너에게만 제공하는 방식으로 운영했음
  • AWS, 마이크로소프트, 구글, 시스코 같은 글로벌 기업들이 참여했음
  • 오픈AI의 데이브레이크도 제한된 파트너 중심으로 보안 특화 모델을 배포한다는 점에서 운영 방식이 비슷함

• 변수는 미국 정부의 수출 통제임

  • 지난 12일 미국 정부가 국가안보를 근거로 미토스5와 페이블5를 수출 통제하면서 앤트로픽의 프로젝트 글래스윙은 진행되지 않고 있음
  • 고성능 보안 AI 모델이 단순 제품 경쟁이 아니라 국가안보와 수출 규제의 영역으로 들어가고 있다는 신호로 볼 수 있음

---

기술 맥락

• 데이브레이크의 기술적 선택은 취약점 탐지를 단일 기능으로 보지 않고, 검증부터 패치와 테스트까지 하나의 흐름으로 묶는 거예요. 실제 보안 업무에서는 취약점 리포트보다 “이걸 어떻게 안전하게 고치냐”가 더 오래 걸리거든요.

• 코덱스 시큐리티가 코드와 위협 모델을 같이 본다는 점도 중요해요. 같은 코드라도 어떤 공격 표면을 갖고 있는지에 따라 위험도가 달라지기 때문에, 단순 정적 분석보다 맥락을 더 많이 먹여야 쓸 만한 패치 후보가 나와요.

• 접근 제한은 기능보다 더 민감한 설계예요. 취약점 재현 능력이 높은 모델은 방어 자동화에 좋지만, 잘못 풀리면 공격자에게도 꽤 강한 도구가 될 수 있거든요. 그래서 검증된 보안 전문가와 선정된 파트너 중심으로 제공하는 구조가 붙은 거예요.