오픈AI의 새로운 애플리케이션 보안 에이전트 코덱스 시큐리티(Codex Security)가 연구 테스트 첫 30일 동안 실제 코드베이스에서 1만 1,000건이 넘는 고위험 및 치명적 취약점을 발견했다. 소프트웨어 저장소에서 취약점을 자동으로 탐지·검증·수정하도록 설계된 코덱스 시큐리티는 100만 개 이상 커밋을 분석하는 과정에서 약 800건의 치명적 문제를 확인한 것으로 전해졌다.

오픈AI 블로그에 따르면 코덱스 시큐리티는 단순한 정적 스캐너가 아니라 코드베이스를 분석하고 잠재적 공격 경로를 파악하며 수정 방안을 제시하는 보안 연구자처럼 작동하도록 설계됐다. 오픈AI는 “대규모 환경에서 작동하도록 설계됐으며 신뢰도가 높은 결과와 개발자가 쉽게 적용할 수 있는 패치를 제공하는 데 초점을 맞췄다”고 설명했다.

오픈AI는 해당 도구가 프로젝트 전체에 대한 맥락적 이해를 구축해 실제 악용 가능성이 높은 취약점에 집중할 수 있다고 밝혔다. 이런 접근은 애플리케이션 보안 팀이 오랜 기간 겪어온 경고 피로(alert fatigue) 문제를 줄이는 데 목적이 있다.

독점 코드와 오픈소스 프로젝트에서 취약점 발견

첫 번째 테스트 사이클에서 오픈AI는 외부 저장소의 120만 개 이상 커밋을 분석했으며 792건 치명적 취약점과 1만 561건 고위험 취약점을 확인했다고 밝혔다. 회사 측은 실제 코드베이스 전반에서 취약점을 발견했으며 치명적 문제 비율은 전체 커밋의 0.1% 미만으로 상대적으로 낮은 오탐률을 유지했다고 설명했다.

네트기어 제품 보안 책임자 찬단 난다쿠마라이아는 오픈AI 블로그에 공유된 발언에서 “네트기어는 초기 접근 프로그램에 참여했으며 결과는 기대를 뛰어넘었다”라고 밝혔다. 난다쿠마라이아는 “코덱스 시큐리티는 기존 보안 개발 환경에 자연스럽게 통합됐으며 검토 속도와 분석 깊이를 강화했다”고 설명했다.

독점 저장소뿐 아니라 여러 널리 사용되는 오픈소스 프로젝트에서도 취약점이 발견됐다. 오픈SSH, GnuTLS, GOGS, 토리움, libssh, PHP, 크로미움 등에서 문제가 확인됐으며 현재까지 14건 CVE가 할당됐다.

오픈AI는 이런 활동이 “코덱스 포 오픈소스(Codex for OSS)”라는 더 큰 프로젝트의 일부라고 설명했다. 해당 프로그램은 유지관리자에게 코덱스 도구와 보안 검토 지원을 무료로 제공한다. 오픈AI는 앞으로 몇 주 안에 프로그램을 확대해 더 많은 오픈소스 유지관리자를 생태계에 참여시킬 계획이다.

오픈AI는 코덱스 시큐리티가 발견한 13건의 고영향 오픈소스 취약점도 공개했다. 문제 유형에는 경로 탐색, 서비스 거부(DoS), 인증 우회 취약점이 포함됐다.

‘아드바크’ 실험에서 AI 보안 연구자로 발전

코덱스 시큐리티는 아드바크(Aardvark)라는 내부 프로젝트에서 발전했다. 아드바크는 오픈AI가 일부 사용자와 함께 테스트했던 AI 기반 취약점 연구 에이전트다. 해당 프로젝트의 핵심 개념은 AI가 코드를 읽고 가능한 공격 경로를 테스트하며 공격자가 시스템을 어떻게 침해할 수 있는지 추론하도록 만드는 것이었다.

이런 에이전트 기반 워크플로는 코덱스 시큐리티가 인간 보안 연구자의 작업 방식을 모방하도록 한다. AI는 저장소 이력을 분석하고 진입 지점과 신뢰 경계를 식별하는 위협 모델을 구축한 뒤 민감한 결과로 이어질 수 있는 공격 경로를 탐색한다.

잠재적 취약점이 발견되면 시스템은 샌드박스 환경에서 해당 문제를 재현해 실제 악용 가능성을 검증한다. 취약점이 확인되면 개발자가 검토하고 작업 흐름에 통합할 수 있도록 수정 지침을 생성하며 대부분 패치 형태로 제공된다. 코덱스 시큐리티는 시간이 지남에 따라 사용자 피드백을 학습해 탐지 정확도를 높일 수 있다. 오픈AI는 “취약점 중요도를 조정하면 해당 피드백을 위협 모델 개선에 활용해 이후 실행에서 정확도를 높일 수 있다”고 설명했다. 3월 9일부터 코덱스 시큐리티는 챗GPT 프로, 엔터프라이즈, 비즈니스, 에듀 고객을 대상으로 연구 프리뷰 형태로 제공되며 향후 30일 동안 무료 사용이 가능하다.
dl-itworldkorea@foundryco.com