본문 바로가기

뉴스

최근 검색어 내역이 없습니다

오픈AI, 에이전트 보안 도구 '코덱스 시큐리티' 출시

AI타임스
입력
2026-03-07 11:45
댓글0
[박찬 기자]
AI타임스

오픈AI가 대규모 코드베이스에서 보안 취약점을 찾아 수정까지 제안하는 AI 보안 에이전트 '코덱스 시큐리티(Codex Security)'를 공개했다.

오픈AI는 6일(현지시간) 코덱스 웹을 통해 '코덱스 시큐리티' 연구 프리뷰를 공개하고, 챗GPT 프로·엔터프라이즈·비즈니스·에듀 고객을 대상으로 제공한다고 밝혔다. 초기 한달 동안은 무료로 사용할 수 있다.

코덱스 시큐리티는 코드 저장소를 분석해 취약점을 찾아내고 실제 위험도를 검증한 뒤 수정 방법까지 제안하는 애플리케이션 보안 에이전트다. 기존 보안 도구가 단순 패턴 탐지에 의존해 낮은 위험의 경고나 오탐(false positive)을 많이 생성하는 문제를 해결하는 것이 목표다.

이 시스템은 오픈AI의 최신 AI 모델과 코덱스 에이전트를 기반으로 작동하며, 프로젝트의 구조와 보안 맥락을 이해한 뒤 취약점을 평가한다. 이를 통해 보안팀이 실제로 중요한 문제에 집중할 수 있도록 한다.

코덱스 시큐리티의 작업 과정은 크게 세단계로 이루어진다.

먼저 시스템의 보안 구조를 이해하기 위해 코드 저장소를 분석하고 프로젝트별 위협 모델(threat model)을 생성한다. 이 과정에서 애플리케이션이 어떤 방식으로 동작하는지, 어떤 시스템이나 데이터에 신뢰를 두고 있는지, 그리고 공격에 노출될 가능성이 있는 영역이 어디인지 등을 파악한다. 생성된 위협 모델은 자동으로 만들어지지만, 사용자가 직접 수정할 수 있도록 설계돼 있어 실제 조직의 시스템 구조나 보안 정책에 맞게 조정할 수 있다.

다음 단계에서는 이 위협 모델을 기반으로 코드 내 취약점을 탐지하고 실제 시스템에서 발생할 가능성을 평가한다. 코덱스 시큐리티는 발견된 문제를 단순 경고로 남기지 않고, 가능하면 샌드박스 환경에서 공격 시나리오를 시험해 실제 취약점인지 검증한다. 또 프로젝트에 맞게 구성된 실행 환경이 연결돼 있으면 실제 애플리케이션 맥락에서 취약점을 테스트할 수 있어, 오탐을 줄이고 신뢰도 높은 결과를 제공한다는 설명이다.

마지막 단계에서는 발견된 취약점을 해결하기 위한 패치를 제안한다. 이때 시스템 전체 맥락과 코드 주변 구조를 고려해 수정안을 생성하기 때문에 보안성을 높이면서도 기존 기능에 미치는 영향을 최소화하도록 설계됐다. 사용자는 발견된 취약점을 중요도에 따라 필터링해 우선순위를 정할 수 있으며, 코덱스 시큐리티는 사용자의 피드백을 학습해 위협 모델과 분석 정확도를 지속적으로 개선한다.

AI타임스

코덱스 시큐리티는 원래 '아드바크(Aardvark)'라는 이름의 보안 연구 에이전트로 시작했으며, 지난해 일부 기업을 대상으로 비공개 베타 테스트가 진행됐다.

초기 내부 테스트에서는 서버사이드 요청 위조(SSRF)와 멀티테넌트 인증 취약점 등 실제 보안 문제를 발견했고, 보안팀이 수시간 내 패치하기도 했다.

베타 테스트를 거치며 코덱스 시큐리티의 탐지 정확도도 크게 향상된 것으로 나타났다. 동일한 코드 저장소를 반복적으로 스캔한 결과 분석 과정에서 발생하는 노이즈는 초기 도입 시점 대비 약 84% 감소했으며, 실제 위험도보다 과도하게 높게 표시되는 문제도 90% 이상 줄었다. 또 전체 저장소를 기준으로 한 오탐률 역시 50% 이상 감소했다.

최근 30일 동안 코덱스 시큐리티는 외부 저장소에서 120만 개 이상의 커밋을 분석해 총 792건의 치명적 취약점과 1만561건의 고위험 취약점을 발견했다. 다만 치명적 취약점이 발견된 사례는 전체 커밋의 0.1% 미만으로, 대규모 코드 환경에서도 실제 보안에 영향을 줄 수 있는 문제를 선별적으로 찾아내는 데 초점을 맞추고 있음을 보여준다.

오픈AI는 자체 오픈소스 프로젝트에도 코덱스 시큐리티를 적용해 보안 취약점을 탐지하고, 발견된 문제를 프로젝트의 관리자에게 공유하고 있다고 밝혔다. 이를 통해 오픈소스 생태계 전반의 보안을 강화하는 데 기여한다는 설명이다.

실제로 코덱스 시큐리티를 통해 취약점이 보고된 프로젝트에는 OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP, Chromium 등이 포함된다. 현재까지 총 14개의 CVE 취약점이 할당됐으며, 일부 취약점은 두 기관이 동시에 보고하는 이중 보고 방식으로 처리됐다.

이와 함께 오픈AI는 오픈소스 프로젝트를 지원하기 위한 'OSS용 코덱스(Codex for OSS)' 프로그램도 시작했다. 이 프로그램을 통해 오픈소스 유지관리자들에게 무료 챗GPT 계정과 코드 리뷰 지원, 코덱스 시큐리티 접근 권한 등을 제공해 보다 안전하고 효율적인 개발 환경을 지원할 계획이다.

이번 제품은 AI 기업들이 개발 보안 영역으로 확장하고 있음을 보여준다. 앤트로픽도 최근 취약점 탐지와 패치를 지원하는 '클로드 코드 시큐리티(Claude Code Security)'를 발표한 바 있다.

박찬 기자 cpark@aitimes.com

<저작권자 copyright ⓒ ai타임스 무단전재 및 재배포 금지>

이 기사의 카테고리는 언론사의 분류를 따릅니다.

기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.

지금 봐야할 뉴스

  • 쿠키뉴스‘1억 공천헌금 의혹’ 강선우, 구속 후 나흘 만에 첫 경찰 조사 
  • 연합뉴스TV中 연구진, 이란전쟁 와중 "美방공망, 극초음속 미사일에 열세"
  • YTN'영화 짜깁기' 백악관 전쟁 홍보 영상 논란..."온라인서 조롱 잇따라"
  • 세계비즈티웨이항공, 유럽 노선 인기…장거리 수요 확대

쇼핑 핫아이템

AD