--- title: "오픈AI, 취약점 찾고 패치까지 돕는 ‘데이브레이크’ 확대" published: 2026-06-23T20:32:01.660Z canonical: https://jeff.news/article/4281 --- # 오픈AI, 취약점 찾고 패치까지 돕는 ‘데이브레이크’ 확대 오픈AI가 AI로 소프트웨어 취약점 검증, 위험도 평가, 패치 개발, 테스트, 배포까지 가속하는 보안 이니셔티브 ‘데이브레이크’를 확대했다. GPT-5.5-사이버와 코덱스 시큐리티 플러그인도 공개됐고, 보안 업체 30곳이 파트너 프로그램에 참여한다. - 오픈AI가 사이버 보안 이니셔티브 ‘데이브레이크(Daybreak)’를 확대함 - 목표는 AI로 소프트웨어 취약점 검증, 위험도 평가, 패치 개발, 테스트, 배포까지 전체 수정 과정을 빠르게 만드는 것임 - 단순히 “여기 취약점 있음”이라고 알려주는 도구가 아니라, 실제 고치는 과정까지 밀어붙이는 쪽에 가까움 - 같이 공개된 건 GPT-5.5-사이버 정식 버전과 코덱스 시큐리티 플러그인임 - GPT-5.5-사이버는 검증된 보안 전문가에게만 제한 제공됨 - 코덱스 시큐리티는 개발팀의 코드와 위협 모델을 분석해서 취약점을 찾고, 패치를 개발하고, 테스트까지 돕는 역할을 함 - 다만 최종 적용 여부는 개발자와 보안 담당자가 결정함. 완전 자동 수정이라기보다는 보안 패치 워크플로를 빠르게 만드는 도구임 - 성능 수치도 하나 나옴. GPT-5.5-사이버는 취약점 재현 능력 평가 벤치마크 ‘사이버짐(CyberGym)’에서 85.6%를 기록함 - 일반 GPT-5.5는 같은 평가에서 81.8%였음 - 차이는 3.8%포인트임 - 보안 특화 모델이 일반 모델보다 취약점 재현 쪽에서 더 나은 결과를 냈다는 게 오픈AI가 내세우는 포인트임 > [!IMPORTANT] > 보안 AI에서 중요한 건 “취약점을 찾았다”가 아니라 “재현하고, 위험도를 판단하고, 패치 후보를 만들고, 테스트까지 연결할 수 있느냐”임. 데이브레이크는 바로 그 전체 흐름을 겨냥하고 있음. - 파트너 프로그램도 꽤 크게 붙음 - 오픈AI는 ‘데이브레이크 사이버 파트너 프로그램’을 출범시킴 - 액센츄어, 시스코, 클라우드플레어, 크라우드스트라이크, IBM, 팔로알토네트웍스, 체크포인트, 포티넷, 다크트레이스 등 30개 보안 소프트웨어·서비스 업체가 참여함 - 참여 기업은 GPT-5.5를 자사 보안 제품과 서비스에 적용할 수 있음 - 모델 접근은 꽤 엄격하게 제한됨 - 파트너 프로그램에 참여한다고 해서 모두 모델에 직접 접근할 수 있는 건 아님 - 직접 접근 권한은 오픈AI가 선정한 파트너만 보유함 - 취약점 재현과 패치 개발 능력이 있는 모델은 방어에도 좋지만 공격 자동화에도 악용될 수 있어서, 접근 통제가 핵심 이슈가 됨 - 앤트로픽의 ‘프로젝트 글래스윙’과도 비교되는 구도임 - 앤트로픽은 ‘클로드 미토스 프리뷰’를 약 50개 초기 파트너에게만 제공하는 방식으로 운영했음 - AWS, 마이크로소프트, 구글, 시스코 같은 글로벌 기업들이 참여했음 - 오픈AI의 데이브레이크도 제한된 파트너 중심으로 보안 특화 모델을 배포한다는 점에서 운영 방식이 비슷함 - 변수는 미국 정부의 수출 통제임 - 지난 12일 미국 정부가 국가안보를 근거로 미토스5와 페이블5를 수출 통제하면서 앤트로픽의 프로젝트 글래스윙은 진행되지 않고 있음 - 고성능 보안 AI 모델이 단순 제품 경쟁이 아니라 국가안보와 수출 규제의 영역으로 들어가고 있다는 신호로 볼 수 있음 --- ## 기술 맥락 - 데이브레이크의 기술적 선택은 취약점 탐지를 단일 기능으로 보지 않고, 검증부터 패치와 테스트까지 하나의 흐름으로 묶는 거예요. 실제 보안 업무에서는 취약점 리포트보다 “이걸 어떻게 안전하게 고치냐”가 더 오래 걸리거든요. - 코덱스 시큐리티가 코드와 위협 모델을 같이 본다는 점도 중요해요. 같은 코드라도 어떤 공격 표면을 갖고 있는지에 따라 위험도가 달라지기 때문에, 단순 정적 분석보다 맥락을 더 많이 먹여야 쓸 만한 패치 후보가 나와요. - 접근 제한은 기능보다 더 민감한 설계예요. 취약점 재현 능력이 높은 모델은 방어 자동화에 좋지만, 잘못 풀리면 공격자에게도 꽤 강한 도구가 될 수 있거든요. 그래서 검증된 보안 전문가와 선정된 파트너 중심으로 제공하는 구조가 붙은 거예요. ## 핵심 포인트 - 데이브레이크는 취약점 발견 이후 실제 수정과 배포까지 AI로 줄이는 보안 이니셔티브다 - GPT-5.5-사이버는 사이버짐 벤치마크에서 85.6%를 기록해 일반 GPT-5.5보다 3.8%포인트 높았다 - 모델 접근은 검증된 보안 전문가와 오픈AI가 선정한 파트너에게 제한된다 ## 인사이트 AI 보안 도구의 경쟁 포인트가 ‘취약점 찾아줌’에서 ‘패치까지 만들어 검증함’으로 넘어가는 흐름이 보임. 다만 이런 모델은 공격 자동화에도 바로 연결될 수 있어서, 누가 접근할 수 있느냐가 제품 기능만큼 중요해진다.