오픈AI, 취약점 찾기부터 패치까지 돕는 ‘코덱스 시큐리티’ 공개

• 오픈AI가 보안 전용 AI 흐름을 꽤 본격적으로 밀기 시작함

  • 사이버보안 이니셔티브 데이브레이크를 확대하고, 보안 전용 도구인 코덱스 시큐리티를 공개함
  • 방향은 단순함. 취약점을 ‘찾았다’에서 끝내지 말고, 검증하고 위험도 보고 패치 만들고 테스트하고 배포까지 이어가자는 것임

• 코덱스 시큐리티는 개발팀의 코드와 위협 모델을 같이 본다는 점이 핵심임

  • 코드베이스를 분석해 잠재 취약점을 찾고, 실제 악용 가능성이 있는지도 검증함
  • 그다음 패치 개발과 검증까지 도와주지만, 최종 조사와 적용 판단은 인간 개발자와 보안 담당자가 하도록 설계됨
  • 이건 꽤 현실적인 타협임. 보안 패치를 AI가 제안할 수는 있어도, 운영 중인 시스템에 바로 꽂는 건 다른 문제라서임

• GPT-5.5-사이버도 제한적으로 공개됨

  • 대상은 검증된 방어 전문가와 대규모 코드베이스 분석이 필요한 조직임
  • 알려진 취약점 재현 능력을 평가하는 CyberGym 벤치마크에서 85.6%를 기록함
  • 일반 GPT-5.5 모델의 81.8%보다 높은 수치라, 보안 분석 작업에 특화된 튜닝이 실제 점수로도 드러난 셈임

• 오픈소스 생태계 지원 프로그램도 같이 나옴

  • 이름은 패치 더 플래닛이고, 보안 연구기업 트레일 오브 비츠와 협력함
  • 연구자들이 첨단 AI 모델로 오픈소스 프로젝트의 취약점을 패치할 수 있도록 돕는 구조임
  • 해커원과 칼리프는 취약점 분류와 추가 탐색을 담당함
  • 현재 cURL, Go, Python, Sigstore 등 30개 이상 주요 오픈소스 프로젝트가 참여 의사를 밝힘

• 참여 프로젝트에는 실질적인 리소스도 제공됨

  • 챗GPT 프로 이용권과 API 크레딧 등이 제공된다고 함
  • 오픈소스 유지관리자 입장에선 취약점 제보는 늘어나는데 검증과 패치 여력은 부족한 경우가 많아서, 이 지원이 실제 병목을 줄일 수 있음

• 오픈AI는 이걸 글로벌 공조 이슈로도 끌고 가고 있음

  • 호주, 캐나다, 프랑스, 독일, 일본, 유럽연합 사이버보안청 등과 파트너십을 맺음
  • 한국 정부와도 지난달 협력을 체결했고, 주요 방어 주체들과 안보·공공 안전을 강화하겠다는 메시지를 냄
  • 영국 정부와의 협력도 확대 중이라고 밝힘

• 개발자 입장에서 중요한 건 보안 업무가 점점 코드 리뷰와 개발 플로에 가까워진다는 점임

  • 취약점 스캐너가 리포트만 던지는 시대에서, AI가 재현 가능성·위험도·패치 후보까지 묶어 제안하는 쪽으로 가고 있음
  • 결국 팀의 차이는 ‘AI가 찾아준 걸 얼마나 빨리 검증하고 안전하게 릴리스하느냐’에서 날 가능성이 큼

---

기술 맥락

• 이번 발표에서 오픈AI가 고른 문제는 취약점 탐지 자체보다 그 이후예요. 실제 조직에서는 취약점 목록이 생겨도 재현, 우선순위 판단, 패치 작성, 테스트, 배포가 밀리면서 위험이 오래 남거든요.

• Codex Security가 코드와 위협 모델을 같이 보는 이유도 여기 있어요. 같은 버그라도 어떤 시스템에 붙어 있는지, 외부에서 접근 가능한지, 실제 악용 경로가 있는지에 따라 우선순위가 완전히 달라지거든요.

• GPT-5.5-Cyber를 제한적으로 공개하는 건 모델 능력과 악용 가능성이 같이 커지기 때문이에요. 취약점을 잘 재현하는 모델은 방어자에게 좋지만, 같은 능력이 공격 자동화에도 쓰일 수 있거든요. 그래서 검증된 방어 전문가 중심으로 접근을 좁힌 거예요.

• Patch the Planet이 cURL, Go, Python 같은 프로젝트를 노리는 것도 이유가 분명해요. 이 프로젝트들은 수많은 서비스의 기반이라, 여기서 패치 속도가 빨라지면 개별 회사 하나를 넘어서 생태계 전체 보안 수준에 영향을 줘요.