오픈AI, 취약점 발견 넘어 패치까지…‘데이브레이크’ 확대

오픈AI는 인공지능(AI)을 활용해 소프트웨어 취약점 발견부터 검증과 패치 개발·테스트까지 지원하는 사이버보안 이니셔티브 ‘데이브레이크(Daybreak)’를 확대한다고 23일 밝혔다.

데이브레이크는 AI가 찾아낸 취약점을 실제 수정으로 연결하는 데 초점을 둔다. 취약점의 위험도를 평가하고 영향을 받는 코드를 확인한 뒤 패치를 개발·검증하는 과정을 지원한다.

오픈AI는 이번 확대에 맞춰 ‘코덱스 시큐리티(Codex Security)’ 플러그인 업데이트와 ‘GPT-5.5-사이버(GPT-5.5-Cyber)’ 정식 버전을 공개했다. 오픈소스 프로젝트의 취약점 수정을 지원하는 ‘패치 더 플래닛(Patch the Planet)’ 프로그램과 보안 기업 대상 파트너 프로그램도 시작한다.

코드 분석부터 패치 검증까지 지원

코덱스 시큐리티는 개발팀의 코드와 위협 모델을 분석해 잠재적 취약점을 찾는 도구다. 위협 모델이 없으면 코드 구조를 바탕으로 새로 생성한다. 위협 모델은 공격자가 시스템을 어떤 경로로 침해할 수 있는지 분석한 자료다.

코덱스 시큐리티는 취약한 코드가 실제 실행 경로에 포함되는지 확인하고 검증에 필요한 근거를 수집한다. 이후 해당 코드에 맞는 패치를 개발하고 수정 결과를 검증한다.

다만 취약점을 추가로 조사할지, AI가 만든 패치를 실제 코드에 반영할지는 개발자와 보안 담당자가 결정한다. AI가 패치 적용까지 독자적으로 수행하는 구조는 아니다.

오픈AI는 검증된 사이버보안 방어 전문가를 대상으로 GPT-5.5-사이버 정식 버전을 제한 공개한다. 이 모델은 대규모 코드에서 보안 관련 구성요소와 공격 경로를 분석하고 통제된 환경에서 취약점을 검증한다. 패치 개발과 테스트도 지원한다.

GPT-5.5-사이버는 알려진 취약점을 소프트웨어 환경에서 재현하는 능력을 평가하는 ‘사이버짐(CyberGym)’에서 85.6%를 기록했다. 범용 모델인 GPT-5.5의 점수는 81.8%였다.

오픈AI는 GPT-5.5-사이버를 승인된 레드팀 활동과 침투 테스트, 취약점 악용 가능성 검증처럼 전문적인 보안 작업에 제공한다. 이용자는 별도의 검증과 접근 통제를 거쳐야 한다.

오픈소스 취약점 수정 지원

패치 더 플래닛은 오픈소스 프로젝트가 취약점 발견 이후 실제 패치를 적용하도록 지원하는 프로그램이다. 오픈AI는 보안 연구기업 트레일 오브 비츠(Trail of Bits)와 프로그램을 마련했다.

전문 보안 연구자는 오픈AI 모델과 코덱스 시큐리티를 이용해 취약점을 검증하고 패치를 개발한다. 해커원(HackerOne)과 칼리프(Calif)는 취약점 분류와 공개 절차 조율, 추가 취약점 탐색을 지원한다.

현재 30개가 넘는 오픈소스 프로젝트가 참여 의사를 밝혔다. 초기 참여 대상에는 인터넷 데이터 전송 도구 컬(cURL), 프로그래밍 언어 고(Go)와 파이썬(Python), 소프트웨어 출처와 무결성을 검증하는 시그스토어(Sigstore), 파이썬용 암호화 라이브러리 파이카 크립토그래피(pyca/cryptography)가 포함됐다.

참여 프로젝트에는 챗GPT 프로(ChatGPT Pro) 이용 권한과 조건부 코덱스 시큐리티 접근 권한이 제공된다. 핵심 개발과 유지관리 업무 자동화에 사용할 수 있는 응용 프로그램 인터페이스(API) 크레딧도 지원한다.

오픈AI는 보안 소프트웨어·서비스 기업이 GPT-5.5와 ‘사이버 보안을 위한 신뢰 기반 접근(Trusted Access for Cyber)’을 자사 제품에 적용할 수 있도록 데이브레이크 사이버 파트너 프로그램도 운영한다. 참여 기업과 함께 모델 악용을 막기 위한 접근 통제와 모니터링 기준을 마련할 계획이다.

오픈AI는 최근 한 달간 한국을 비롯해 호주, 캐나다, 프랑스, 독일, 일본과 유럽연합 사이버보안청(ENISA) 등 유럽연합 기관을 대상으로 신뢰 기반 접근 파트너십을 구축했다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network