앤트로픽 이어 오픈AI도 코드 보안 기능 공개…보안업계 ‘촉각’

오픈AI가 지난 6일 코드 저장소를 분석해 취약점을 찾고 실제 위험도를 검증한 뒤 패치까지 제안하는 ‘코덱스 시큐리티(Codex Security)’를 연구 프리뷰로 공개했다. 지난달 앤트로픽이 ‘클로드 코드 시큐리티(Claude Code Security)’를 내놓은 데 이어 오픈AI까지 가세하면서, 글로벌 인공지능(AI) 기업이 코드 보안 검토 시장에 본격 진입했다는 평가가 나온다.

코드 저장소 분석부터 패치 제안

코덱스 시큐리티는 코드 저장소를 분석해 시스템별 위협 모델(threat model)을 생성하고, 이를 기반으로 취약점을 탐지한 뒤 실제 위험도를 검증하고 패치까지 제안하는 ‘애플리케이션 보안 에이전트’다.

먼저 코드 저장소를 분석해 시스템 구조와 신뢰 관계, 공격에 노출될 가능성이 있는 지점을 파악하고 프로젝트별 위협 모델을 생성한다. 이후 이 위협 모델을 바탕으로 취약점을 탐지하고 샌드박스 환경이나 실제 실행 환경에 가까운 조건에서 이를 검증한다. 마지막 단계에서는 시스템 맥락을 고려해 취약점을 수정하는 패치를 제안한다.

오픈AI는 기존 AI 보안 도구들이 낮은 위험의 경고나 오탐지 이벤트를 많이 생성하는 문제를 줄이는 데 초점을 맞췄다고 설명했다.

코덱스 시큐리티는 오픈AI가 지난해 일부 기업을 대상으로 비공개 베타 형태로 운영했던 보안 연구 에이전트 ‘아드바크(Aardvark)’에서 발전한 서비스다. 당시 아드바크는 실제 서버사이드 요청 위조(SSRF)와 멀티테넌트 인증 취약점 등을 찾아냈다. 오픈AI는 이 기술을 코덱스 플랫폼 안에 통합해 애플리케이션 보안 에이전트 형태로 공개했다.

오픈AI가 공개한 코덱스 시큐리티 소개 영상. (사진=오픈AI 홈페이지 캡처)

오픈AI에 따르면, 비공개 베타 기간 같은 저장소를 반복해서 분석한 결과 노이즈(실제로는 중요하지 않거나 검토 가치가 낮은 신호)는 최대 84% 줄었고, 실제보다 위험도를 과하게 높게 표시하는 비율은 90% 이상 감소했다. 전체 저장소 기준 오탐지율도 50% 이상 낮아졌다.

오픈AI는 최근 30일 동안 외부 저장소 120만개 이상 커밋을 분석해 치명적 취약점 792건과 고위험 취약점 1만561건을 발견했다고 밝혔다. 오픈소스 프로젝트에서는 오픈SSH(OpenSSH), 그누TLS(GnuTLS), 고그스(GOGS), 리브SSH(libssh), PHP, 크로미엄(Chromium) 등에서 총 14건의 공통 취약점 및 식별(CVE)이 배정됐다.

클로드 코드 시큐리티와 경쟁…해외선 엇갈린 반응

앞서 앤트로픽은 지난 2월 20일(현지시각) 취약점 탐지와 패치 제안을 지원하는 ‘클로드 코드 시큐리티’를 연구 프리뷰 형태로 공개한 바 있다. 이 기능은 클로드 코드 웹에 통합돼 코드 저장소를 분석하고 취약점을 찾은 뒤 수정 방안을 제시하는 방식으로, 오픈AI의 코덱스 시큐리티와 큰 틀에서 유사한 구조다. 앤트로픽은 이 도구를 통해 운영 중인 오픈소스 코드베이스에서 500개 이상의 취약점을 발견했다고 밝힌 바 있다.

AI 기업이 코드 보안 영역에 직접 진입하면서 기존 애플리케이션 보안 시장에도 영향을 미칠 수 있다는 전망도 나온다.

로이터에 따르면, 앤트로픽이 클로드 코드 시큐리티를 공개한 지난 2월 23일(현지시각) 크라우드스트라이크, 데이터독, 지스케일러 등 주요 사이버보안 기업들의 주가는 약 11% 하락했고, 포티넷과 옥타도 약 6% 떨어졌다. 3월 9일 현재는 급락하던 당일보다 상당 부분 반등한 상태다.

다만 일각에서는 AI 코드 보안 도구가 기존 보안 체계를 한 번에 대체하긴 어렵다는 시각도 나온다. 영국 매체 사이버매거진에 따르면, 조지 커츠 크라우드스트라이크 최고경영자(CEO)는 “코드를 스캔하는 AI 기능이 ‘팔콘 플랫폼(크라우드스크라이크의 AI 네이티브 통합 보안 플랫폼)’이나 전체 보안 프로그램을 대체하지는 못한다”는 취지로 말했다.

미국 매체 액시오스는 “많은 보안 책임자들은 기업이 개발 플랫폼과 보안 플랫폼을 한 업체에 모두 맡기기보다 여러 보안 도구를 병행 사용할 가능성이 높다고 보고 있다”고 전했다.

국내 보안업계 대체보다 보완, 초기 스캐닝과 출시 전 점검에 효과

국내 보안업계도 이번 흐름을 지켜보고 있다. 다만 아직까지 국내에서는 AI 기반의 취약점 탐지 도구를 보안 전문가를 돕는 보완재 정도로 보는 시각이 강하다. 개발 단계의 초기 취약점 탐지와 출시 전 1차 점검, 오픈소스 코드 점검에는 활용도가 높을 수 있지만, 비즈니스 로직 취약점 분석이나 고도화된 공격 시나리오 검증까지 맡기기에는 아직 이르다는 평가다.

오펜시브 보안 전문기업 티오리 관계자는 “최근 클로드와 같은 파운데이션 모델 기반 AI가 취약점 탐지 영역으로 확장되는 흐름은 산업적으로 의미 있는 진전”이라며 “다만 기술 접근 방식에 따라 결과의 성격이 크게 달라질 수 있다”고 설명했다.

그는 “겉으로 보면 AI로 코드 취약점을 찾는다는 점에서 비슷해 보이지만 실제 결과물은 상당히 다를 수 있다”며 “AI 분석 결과는 가능성이 있는 이슈 목록에 가까운 경우가 많지만, 실제 보안 현장에서 중요한 것은 공격으로 재현 가능한 취약점”이라고 말했다. 티오리는 AI 해커 ‘진트(Xint)’와 AI 기반 코드 분석 도구 ‘진트 코드(Xint Code)’를 통해 웹 보안 점검과 코드 분석 영역을 함께 공략하고 있다.

오펜시브 보안 전문기업 엔키화이트햇도 비슷한 시각을 내놨다. 회사 관계자는 “클로드 코드 시큐리티와 코덱스 시큐리티는 사실상 AI 기반 ’정적 애플리케이션 보안 테스트(SAST, 소스코드를 실행하지 않고 분석해 취약점을 찾는 방식)‘ 솔루션으로 볼 수 있다”며 “기존 상용 SAST 도구에는 영향을 줄 수 있어 보인다”고 말했다. 다만 그는 “AI가 제안한 보안 패치가 실제 운영 환경에서 부작용을 일으키지 않는지, 서비스 품질에 어떤 영향을 주는지 더 지켜봐야 한다”고 덧붙였다.

한 보안업계 관계자는 “AI 기반 코드 보안 도구가 사람이 찾는 취약점과 상당 부분 겹치고, 코드상의 실수나 비교적 단순한 취약점을 빠르게 찾는 데는 효과적일 수 있다”면서도 “코드 규모가 커질수록 전체 맥락을 놓칠 수 있고, 비즈니스 로직이나 논리적 결함처럼 흐름을 함께 봐야 하는 취약점은 여전히 한계가 있다”고 진단했다. 또 “제품을 내기 전에 한 번 정도 검사하는 용도로는 상당히 적합해 보인다”고 덧붙였다.

AI스페라 강병탁 대표는 코드 보안의 자동화 효과에 주목했다. 강 대표는 “AI 기반 코드 보안 도구가 반복적인 탐지와 1차 분석 업무를 줄이면서 취약점 점검의 속도와 효율을 높일 수 있을 것”이라며 “자동화 스캐닝 뒤 수동 검토와 반복 학습을 결합하면 오탐을 줄이고 일부 레드팀 업무를 보조하는 역할은 가능해 보인다”고 말했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.