---
title: "취약점 찾는 AI에서 고치는 AI로, 기업 보안의 ‘수정 공백’을 줄이려는 시도"
published: 2026-07-03T23:05:02.731Z
canonical: https://jeff.news/article/4617
---
# 취약점 찾는 AI에서 고치는 AI로, 기업 보안의 ‘수정 공백’을 줄이려는 시도

코그니전트와 오픈AI가 GPT-5.5와 사이버용 신뢰 액세스를 활용한 프런티어 AI 사이버 디펜스 서비스를 발표했다. 취약점 발견에 그치지 않고 검증, 영향 분석, 수정 검토, 보안 운영 절차 반영까지 이어지는 ‘수정 공백’을 줄이는 게 핵심이다.

- 코그니전트와 오픈AI가 기업용 ‘프런티어 AI 사이버 디펜스’ 서비스를 발표함
  - GPT-5.5와 사이버용 신뢰 액세스(Trusted Access for Cyber)를 활용함
  - 목표는 취약점을 많이 찾는 데서 끝나는 게 아니라, 검증하고 고치고 운영 절차에 반영하는 것임

- 이 기사에서 제일 중요한 키워드는 ‘수정 공백(Remediation Gap)’임
  - 기업 보안에서는 취약점을 발견하는 것보다 “이게 진짜 위험한가?”, “어디에 영향이 있나?”, “어떻게 고치고 배포할 건가?”가 더 오래 걸림
  - 금융, 공공, 제조처럼 규제와 감사가 빡센 산업에서는 AI가 바로 수정안을 밀어 넣는 방식이 현실적이지 않음
  - 그래서 AI가 제안하고, 사람이 검증하고, 기존 보안 통제 안에서 반영하는 구조를 강조함

> [!IMPORTANT]
> 이 서비스는 기존 보안 통제와 모니터링을 대체하는 게 아니라 같이 돌리는 모델임. AI 결과도 모든 단계에서 보안 전문가가 검증한 뒤 다음 단계로 넘어감.

- 적용 범위는 꽤 넓음. 단순 코드 스캐너보다는 보안 운영 워크플로우 전체를 노림
  - 안전한 코드 리뷰
  - 위협 모델링(Threat Modeling)
  - 취약점 발견과 검증
  - 탐지 엔지니어링(Detection Engineering)
  - 위협 헌팅(Threat Hunting)
  - 보안 사고 조사와 대응

- 코그니전트가 강조하는 건 “AI만 믿어라”가 아니라 “보안 전문가와 같이 굴려라”에 가까움
  - 코그니전트는 10년 이상 운영한 사이버보안 조직과 5000명 이상의 보안 전문 인력을 언급함
  - AI 분석 결과는 사람이 확인하고, 승인 절차를 거쳐 다음 단계로 진행함
  - 제한된 접근 권한, 모니터링, 사람의 감독을 포함한 거버넌스도 전제로 깔림

- 고객에게 팔기 전에 자기 환경에서 먼저 쓰는 ‘클라이언트 제로’ 전략도 진행 중임
  - 내부 제품, 플랫폼, 소스코드 저장소를 대상으로 GPT-5.5 기반 코드 리뷰를 수행함
  - 취약점 분류와 검증, 풀리퀘스트 보안 검토, 지속적 통합·지속적 배포(CI/CD) 보안 검토도 돌리고 있음
  - 발견, 검증, 수정까지 이어지는 경험을 확보한 뒤 고객 프로젝트에 적용하겠다는 흐름임

- 한국 기업 입장에서는 꽤 현실적인 AI 보안 도입 방향임
  - 생성AI 코딩이 늘수록 취약점도 늘고, 오탐과 실제 위험을 가르는 비용도 커짐
  - 특히 금융, 공공, 통신, 제조는 사람이 검증했다는 흔적과 절차가 중요함
  - “AI가 알아서 고쳤다”보다 “AI가 후보를 만들고 사람이 승인했다”가 감사와 책임 구조에 더 잘 맞음

- 개발팀이 봐야 할 포인트는 보안 AI가 개발 파이프라인 안으로 들어온다는 점임
  - 풀리퀘스트 단계에서 보안 검토가 더 강해질 수 있음
  - CI/CD에서 취약점 검증과 수정 확인이 자동화될 수 있음
  - 보안팀과 개발팀의 경계가 더 흐려지고, 수정 책임과 승인 흐름을 명확히 설계해야 함

---
## 기술 맥락
- 이 서비스가 겨냥하는 문제는 취약점 탐지 자체가 아니에요. 요즘 도구들은 취약점을 많이 찾아내지만, 기업에서는 그중 진짜 위험한 걸 골라 수정하고 배포하는 과정이 병목이거든요.

- GPT-5.5를 보안 운영 절차 안에 넣는 이유는 코드, 위협 모델, 로그, 풀리퀘스트처럼 서로 다른 맥락을 이어서 볼 수 있기 때문이에요. 단일 스캐너보다 넓은 흐름을 이해해야 수정 우선순위를 잡을 수 있어요.

- 사람 검증을 강조하는 것도 규제 산업에서는 필수에 가까워요. AI가 제안한 수정이 맞더라도 누가 승인했고 어떤 근거로 반영했는지 남아야 감사와 책임 구조가 성립하거든요.

- CI/CD 보안 검토까지 포함된 점도 중요해요. 취약점 대응은 보고서에서 끝나면 의미가 없고, 실제 배포 파이프라인에서 수정 여부를 확인해야 공격 전에 막을 수 있어요.

## 핵심 포인트

- 서비스는 코드 리뷰, 위협 모델링, 취약점 검증, 탐지 엔지니어링, 사고 대응에 AI를 적용한다
- AI 결과는 모든 단계에서 보안 전문가가 검증하며 기존 보안 통제를 대체하지 않는다
- 코그니전트는 자사 환경에서 먼저 코드 리뷰, 취약점 분류, 풀리퀘스트 보안 검토, CI/CD 보안 검토를 수행 중이다

## 인사이트

보안 AI의 진짜 병목은 ‘얼마나 많이 찾느냐’가 아니라 ‘진짜 위험을 골라 고치고 배포할 수 있느냐’임. 규제 산업이 많은 한국 기업에는 이 방향이 훨씬 현실적인 도입 모델이다.
