--- title: "오픈AI, 취약점 찾기부터 패치까지 돕는 ‘코덱스 시큐리티’ 공개" published: 2026-06-24T04:05:03.470Z canonical: https://jeff.news/article/4314 --- # 오픈AI, 취약점 찾기부터 패치까지 돕는 ‘코덱스 시큐리티’ 공개 오픈AI가 사이버보안 이니셔티브 데이브레이크를 확대하면서 보안 전용 도구 코덱스 시큐리티와 GPT-5.5-사이버를 공개했다. 목표는 취약점 탐지에서 끝나는 게 아니라 검증, 위험도 평가, 패치 개발, 테스트, 배포까지 AI로 지원하는 것이다. cURL, Go, Python, Sigstore 등 30개 이상 오픈소스 프로젝트도 패치 지원 프로그램에 참여한다. - 오픈AI가 보안 전용 AI 흐름을 꽤 본격적으로 밀기 시작함 - 사이버보안 이니셔티브 데이브레이크를 확대하고, 보안 전용 도구인 코덱스 시큐리티를 공개함 - 방향은 단순함. 취약점을 ‘찾았다’에서 끝내지 말고, 검증하고 위험도 보고 패치 만들고 테스트하고 배포까지 이어가자는 것임 - 코덱스 시큐리티는 개발팀의 코드와 위협 모델을 같이 본다는 점이 핵심임 - 코드베이스를 분석해 잠재 취약점을 찾고, 실제 악용 가능성이 있는지도 검증함 - 그다음 패치 개발과 검증까지 도와주지만, 최종 조사와 적용 판단은 인간 개발자와 보안 담당자가 하도록 설계됨 - 이건 꽤 현실적인 타협임. 보안 패치를 AI가 제안할 수는 있어도, 운영 중인 시스템에 바로 꽂는 건 다른 문제라서임 > [!IMPORTANT] > 오픈AI가 말하는 핵심은 ‘취약점 탐지 자동화’가 아니라 ‘취약점 대응 전체 파이프라인의 속도 향상’에 가까움. - GPT-5.5-사이버도 제한적으로 공개됨 - 대상은 검증된 방어 전문가와 대규모 코드베이스 분석이 필요한 조직임 - 알려진 취약점 재현 능력을 평가하는 CyberGym 벤치마크에서 85.6%를 기록함 - 일반 GPT-5.5 모델의 81.8%보다 높은 수치라, 보안 분석 작업에 특화된 튜닝이 실제 점수로도 드러난 셈임 - 오픈소스 생태계 지원 프로그램도 같이 나옴 - 이름은 패치 더 플래닛이고, 보안 연구기업 트레일 오브 비츠와 협력함 - 연구자들이 첨단 AI 모델로 오픈소스 프로젝트의 취약점을 패치할 수 있도록 돕는 구조임 - 해커원과 칼리프는 취약점 분류와 추가 탐색을 담당함 - 현재 cURL, Go, Python, Sigstore 등 30개 이상 주요 오픈소스 프로젝트가 참여 의사를 밝힘 - 참여 프로젝트에는 실질적인 리소스도 제공됨 - 챗GPT 프로 이용권과 API 크레딧 등이 제공된다고 함 - 오픈소스 유지관리자 입장에선 취약점 제보는 늘어나는데 검증과 패치 여력은 부족한 경우가 많아서, 이 지원이 실제 병목을 줄일 수 있음 - 오픈AI는 이걸 글로벌 공조 이슈로도 끌고 가고 있음 - 호주, 캐나다, 프랑스, 독일, 일본, 유럽연합 사이버보안청 등과 파트너십을 맺음 - 한국 정부와도 지난달 협력을 체결했고, 주요 방어 주체들과 안보·공공 안전을 강화하겠다는 메시지를 냄 - 영국 정부와의 협력도 확대 중이라고 밝힘 - 개발자 입장에서 중요한 건 보안 업무가 점점 코드 리뷰와 개발 플로에 가까워진다는 점임 - 취약점 스캐너가 리포트만 던지는 시대에서, AI가 재현 가능성·위험도·패치 후보까지 묶어 제안하는 쪽으로 가고 있음 - 결국 팀의 차이는 ‘AI가 찾아준 걸 얼마나 빨리 검증하고 안전하게 릴리스하느냐’에서 날 가능성이 큼 --- ## 기술 맥락 - 이번 발표에서 오픈AI가 고른 문제는 취약점 탐지 자체보다 그 이후예요. 실제 조직에서는 취약점 목록이 생겨도 재현, 우선순위 판단, 패치 작성, 테스트, 배포가 밀리면서 위험이 오래 남거든요. - Codex Security가 코드와 위협 모델을 같이 보는 이유도 여기 있어요. 같은 버그라도 어떤 시스템에 붙어 있는지, 외부에서 접근 가능한지, 실제 악용 경로가 있는지에 따라 우선순위가 완전히 달라지거든요. - GPT-5.5-Cyber를 제한적으로 공개하는 건 모델 능력과 악용 가능성이 같이 커지기 때문이에요. 취약점을 잘 재현하는 모델은 방어자에게 좋지만, 같은 능력이 공격 자동화에도 쓰일 수 있거든요. 그래서 검증된 방어 전문가 중심으로 접근을 좁힌 거예요. - Patch the Planet이 cURL, Go, Python 같은 프로젝트를 노리는 것도 이유가 분명해요. 이 프로젝트들은 수많은 서비스의 기반이라, 여기서 패치 속도가 빨라지면 개별 회사 하나를 넘어서 생태계 전체 보안 수준에 영향을 줘요. ## 핵심 포인트 - 코덱스 시큐리티는 코드와 위협 모델을 분석해 잠재 취약점을 찾고 패치 개발·검증까지 지원함 - GPT-5.5-사이버는 CyberGym 벤치마크에서 85.6%를 기록해 일반 GPT-5.5의 81.8%보다 높게 나옴 - 패치 더 플래닛 프로그램에는 cURL, Go, Python, Sigstore 등 30개 이상 주요 오픈소스 프로젝트가 참여함 - 최종 조사와 패치 적용 판단은 인간 개발자와 보안 담당자에게 남겨 안전장치를 둠 - 오픈AI는 한국 정부를 포함한 여러 국가·기관과 사이버보안 협력을 확대 중임 ## 인사이트 보안 AI의 무게중심이 ‘취약점 발견’에서 ‘패치 운영 속도’로 이동하고 있음. 한국 개발팀도 오픈소스 의존도가 큰 만큼, 이런 도구가 보안팀 전용 장난감이 아니라 개발 워크플로 안으로 들어올 가능성이 큼.