“스스로 취약점 찾고 해결책까지 제안한다” 오픈AI, AI 보안 요원 ‘코덱스 시큐리티’ 출시

코드 취약점 자동 탐지 AI 보안 요원 ‘코덱스 시큐리티’
오픈소스 120만 저장소 분석·취약점 자동 검증 시스템

[보안뉴스 김형근 기자] 오픈AI가 코드의 취약점을 스스로 찾아 검증하고 해결책까지 제안하는 AI 보안 요원 ‘코덱스 시큐리티’(Codex Security)를 전격 출시했다. 이 기능은 챗GPT 유료 고객(프로, 엔터프라이즈 등)을 대상으로 연구 목적의 프리뷰 형태로 한 달간 무료로 제공한다.

▲코덱스 화면 캡쳐 [출처: 보안뉴스]

지난 30일간 이 AI 요원은 120만개 이상의 외부 저장소 코드를 샅샅이 스캔하며 그 능력을 증명했다. 그 결과, OpenSSH나 크로미움(Chromium)과 같은 주요 오픈소스 프로젝트에서 792개의 결함과 1만561개의 취약점을 꼬집어냈다.

코덱스 시큐리티는 지난해 10월 비공개로 테스트하던 ‘아드바크’(Aardvark) 모델을 한층 더 업그레이드한 결과물이다.

오픈AI는 최신 추론 모델과 자동 검증 시스템을 결합해 불필요한 허위 경고를 50% 이상 줄였다. 이는 AI가 논리적 단계를 거쳐 스스로의 판단을 검증함으로써 시스템의 신뢰도를 획기적으로 높였음을 의미한다.

이 AI 요원은 총 3단계로 작동한다.

첫 번째로 프로젝트의 전체 구조를 분석해 맞춤형 위협 모델을 스스로 생성한다.

두 번째 단계에서는 시스템 맥락을 바탕으로 취약점을 식별하고, 샌드박스 환경에서 직접 압박 테스트를 가해 실제 위험성을 찾아낸다. 사용자가 실제 실행 환경을 맞춤형으로 설정해 주면, AI가 작동 중인 시스템에서 직접 문제를 테스트해 보고 보안팀에 확실한 증거를 제공한다.

마지막으로, AI는 기존 시스템의 동작 방식을 해치지 않는 가장 안전하고 최적화된 코드 수정안을 보안팀에 직접 제안한다. 이로써 방어자들은 쏟아지는 의미 없는 버그 알림에서 벗어나 실제 치명적인 위협에만 집중해 시스템을 방어할 수 있다.

오픈AI의 이번 행보는 최근 ‘클로드 코드 시큐리티’를 내놓은 앤트로픽(Anthropic)에 맞서 AI 보안 시장의 주도권을 거머쥐려는 적극적인 전략을 보여준다.