오픈AI가 AI를 활용해 전 세계 조직의 사이버 보안 역량을 강화하는 ‘데이브레이크(Daybreak)’를 확대한다고 밝혔다. 데이브레이크는 소프트웨어 취약점 발견에 그치지 않고, 검증과 위험도 평가, 패치 개발·테스트 및 배포까지 이어지는 전체 수정 과정을 가속하는 것을 목표로 하는 사이버 보안 이니셔티브다.

오픈AI는 이번 확대에 맞춰 ‘코덱스 시큐리티(Codex Security)’ 플러그인을 공개했다. 코덱스 시큐리티는 단순히 보안 경고를 생성하는 도구가 아니라, 팀의 코드와 위협 모델을 이해하고 잠재적인 취약점을 식별하는 데 초점을 맞췄다. 위협 모델이 없는 경우에는 새로 생성할 수 있으며, 영향을 받는 코드에 실제 접근할 수 있는지 판단하고 검증 절차에 필요한 근거를 수집한다. 이후 해당 문제에 맞는 패치를 개발하고 결과를 검증하는 과정까지 지원한다.

다만 발견된 취약점에 대한 추가 조사와 실제 패치 적용 여부는 개발자와 보안 담당자가 결정한다. 오픈AI는 이를 통해 AI가 보안 실무자의 판단을 대체하기보다, 취약점 분석과 수정에 필요한 반복적이고 복잡한 절차를 보조하는 방향으로 활용될 수 있다고 설명했다.

GPT-5.5-사이버 제한 공개…보안 취약점 분석·패치 지원

오픈AI는 검증된 방어 전문가들을 대상으로 ‘GPT-5.5-사이버(GPT-5.5-Cyber)’ 정식 버전도 제한적으로 공개했다. GPT-5.5-사이버는 범용 지능과 장기간의 복잡한 작업 수행 능력을 유지하면서, 소프트웨어 취약점 발견과 패치 작업을 지원하도록 설계된 모델이다.

이 모델은 대규모 코드베이스에서 보안 관련 구성요소와 공격 경로를 분석하고, 통제된 환경에서 취약점을 검증하며, 패치를 개발하고 테스트할 수 있도록 돕는다. 알려진 취약점 재현 역량을 평가하는 사이버 보안 벤치마크 ‘사이버짐(CyberGym)’에서는 85.6%를 기록해 GPT-5.5의 81.8%를 넘어섰다.

오픈AI는 선정된 보안 소프트웨어 및 서비스 파트너들이 GPT-5.5와 사이버 보안을 위한 신뢰 기반 접근 방식인 ‘트러스티드 액세스 포 사이버(Trusted Access for Cyber)’를 고객용 제품과 서비스에 활용할 수 있도록 지원하는 ‘데이브레이크 사이버 파트너 프로그램’도 출범한다. 참여 파트너들과 함께 안전장치, 모니터링, 악용 방지 기준을 지속적으로 강화한다는 방침이다.

오픈소스 취약점 수정 지원하는 ‘패치 더 플래닛’ 가동

오픈AI는 오픈소스 프로젝트 유지관리자들이 취약점 발견에서 실제 수정까지 나아갈 수 있도록 지원하는 ‘패치 더 플래닛(Patch the Planet)’ 프로그램도 시작했다.

이 프로그램은 보안 연구기업 트레일 오브 비츠(Trail of Bits)와 함께 마련됐다. 전문 보안 연구자들이 첨단 모델과 코덱스 시큐리티를 활용해 오픈소스 프로젝트의 취약점을 검증하고 패치할 수 있도록 돕는 방식이다. 해커원(HackerOne)과 칼리프(Calif)는 취약점 분류와 조율된 공개, 추가적인 취약점 탐색을 지원한다.

현재 30개가 넘는 오픈소스 프로젝트가 이 프로그램에 참여 의사를 밝혔다. 초기 참여 프로젝트에는 인터넷 데이터 전송 도구 cURL, 오픈소스 프로그래밍 언어 Go와 Python, 소프트웨어의 출처와 무결성을 검증하는 Sigstore, 파이썬용 암호화 라이브러리 pyca/cryptography 등이 포함됐다.

참여 프로젝트에는 챗GPT 프로 이용 권한과 조건부 코덱스 시큐리티 이용 권한, 핵심 개발과 유지관리 업무 자동화 및 배포를 위한 API 크레딧이 제공된다.

정부·기관 협력도 확대…핵심 인프라 보호 초점

오픈AI는 사이버 보안 역량이 더욱 강화된 AI 모델의 등장에 대비해 미국 정부 및 관련 연방기관과 협력해 왔다고 밝혔다. 또 전 세계 정부 및 기관들과 긴밀히 협력해 방어적 사이버 보안 역량을 강화하고 핵심 인프라 보호를 지원하고 있다.

오픈AI에 따르면 지난 한 달 동안 호주, 캐나다, 프랑스, 독일, 한국, 일본을 비롯해 유럽연합 사이버보안청(ENISA) 등 EU 기관들과 ‘트러스티드 액세스 포 사이버’ 파트너십을 구축했다. 영국 정부와도 사이버 보안, 테스트 및 평가를 비롯한 상호 관심 분야에서 신뢰 기반 협력을 확대하고 있다.

데이브레이크는 최첨단 모델과 코덱스 시큐리티, 패치 더 플래닛, 전문 연구자, 오픈소스 유지관리자, 보안 파트너, 핵심 인프라 운영기관, 신뢰 기반 접근 통제를 하나로 연결하는 체계다. 이를 통해 방어자들이 사이버 보안 위협에 보다 신속하게 대응할 수 있도록 지원하는 것이 핵심이다.

공공 및 민간 부문 조직은 데이브레이크와 협력해 자신들이 개발하거나 의존하는 소프트웨어의 취약점을 발견하고 검증하며 수정할 수 있다. 개발자와 유지관리자는 자신이 관리하는 코드에 코덱스 시큐리티를 실행하고, 결과를 검토해 실제 수정 사항이 반영되도록 할 수 있다. 보안 파트너와 실무자는 오픈AI의 첨단 모델을 활용해 방어 도구를 강화하고, 관련 역량을 더 많은 조직에 제공할 수 있다.

오픈AI는 데이브레이크의 궁극적인 목표가 AI 모델을 활용해 더 많은 취약점을 찾는 데 그치지 않는다고 밝혔다. 보다 안전한 소프트웨어와 강력한 사이버 복원력을 갖춘 환경으로 나아가는 것이 이번 이니셔티브의 핵심 방향이다.

이준문 기자/jun@newstap.co.kr

ⓒ 뉴스탭(https://www.newstap.co.kr) 무단전재 및 재배포금지