OpenAI의 코덱스 시큐리티가 출시되며 Anthropic과의 AI 사이버보안 경쟁이 가열된다

OpenAI, Anthropic의 Claude Code Security에 맞서 Codex Security 출시

이번 출시는 인간 보안 팀이 도저히 따라갈 수 없는 속도로 방대한 소프트웨어 프로젝트를 샅샅이 훑을 수 있는 AI 도구에 대한 관심이 커지는 가운데 이뤄졌다. Codex Security는 저장소를 분석하고, 취약점을 식별하며, 격리된 테스트 환경에서 이를 검증하고, 개발자가 적용 전에 검토할 수 있도록 수정안을 제안하도록 설계됐다. 이 시스템은 커밋 단위로 맥락을 축적해, 고립된 코드 조각을 단순히 표시하는 것이 아니라 코드가 어떻게 진화하는지 AI가 이해할 수 있게 한다.

OpenAI는 다음과 같이 밝혔다:

“Codex Security를 소개합니다. 취약점을 찾아내고, 이를 검증하며, 여러분이 검토하고 패치할 수 있는 수정안을 제안함으로써 코드베이스를 안전하게 지킬 수 있도록 돕는 애플리케이션 보안 에이전트입니다. 이제 팀은 중요한 취약점에 집중하고 더 빠르게 코드를 출시할 수 있습니다.”

OpenAI는 이 도구가 2025년 5월에 도입된 클라우드 기반 AI 엔지니어링 어시스턴트인 자사의 Codex 생태계를 기반으로 한다고 밝혔다. Codex는 개발자가 코드를 작성하고, 버그를 수정하며, 풀 리퀘스트를 제안하는 데 도움을 준다. 회사에 따르면 2026년 3월 기준 Codex 사용자는 주간 약 160만 명까지 증가했다. Codex Security는 이러한 역량을 애플리케이션 보안으로 확장하며, 연간 약 200억 달러 규모로 추정되는 산업 세그먼트를 겨냥한다.

OpenAI의 발표는 GPT-5.3 Instant와 GPT-5.4도 함께 출시한 가운데 나왔다. 이번 움직임은 또한 앤트로픽이 2월 20일 Claude Code Security를 데뷔시킨 뒤를 잇는다. Claude Code Security는 전체 코드베이스를 스캔하고 감지된 취약점에 대한 패치를 제안한다. Claude Opus 4.6 모델을 기반으로 구축된 이 도구는 정적 스캐닝 규칙에만 의존하기보다 비즈니스 로직, 데이터 흐름, 시스템 상호작용을 분석하는 방식으로 인간 보안 연구자처럼 소프트웨어를 추론하려 한다.

앤트로픽은 Claude Code Security가 오픈소스 소프트웨어 프로젝트 전반에서 이미 500개가 넘는 취약점을 식별했으며, 그중에는 수년간 눈에 띄지 않았던 문제도 포함됐다고 밝혔다. 회사는 현재 기업 및 팀 고객을 대상으로 연구 프리뷰 형태로 해당 기능을 제공하고 있으며, 오픈소스 유지관리자는 무료로 신속한 액세스를 요청할 수 있다.

양사는 코드 맥락을 추론할 수 있는 AI 시스템이 대량의 오탐(false positive)을 만들어내곤 하는 기존 취약점 스캐너보다 더 뛰어날 것이라는 데 베팅하고 있다. 이 문제를 해결하기 위해 Claude Code Security는 발견 결과를 재검증하고 심각도와 신뢰도 점수를 부여하는 다단계 검증 시스템을 사용한다.

Codex Security는 약간 다른 접근을 취한다. 모델 추론에만 순수하게 의존하기보다, 에이전트가 샌드박스 환경 안에서 의심되는 취약점을 검증한 뒤 결과를 노출한다. OpenAI는 이 과정이 잡음을 줄이고 테스트 중 수집된 증거에 기반해 AI가 결과를 우선순위화할 수 있게 한다고 밝혔다.

OpenAI는 X에 “Codex Security는 작년에 비공개 베타로 출시된 Aardvark로 시작했다”고 썼다. 회사는 또한 다음과 같이 덧붙였다:

“그 이후로 우리는 신호 품질을 크게 개선해 잡음을 줄이고, 심각도 정확도를 높이며, 오탐을 낮춰 발견 결과가 현실 세계의 위험과 더 잘 부합하도록 했습니다.”

개발자는 Codex Security 결과를 검토하면서 근거 데이터(지원 데이터)를 확인하고, 제안된 패치에 대한 코드 diff를 살펴보며, Github 워크플로를 통해 수정 사항을 통합할 수 있다. 또한 이 시스템은 공격 표면, 저장소 범위, 위험 허용도 같은 파라미터를 조정해 팀이 위협 모델을 맞춤 설정할 수 있도록 한다.

앤트로픽의 출시는 사이버보안 섹터 일부를 흔들었지만, OpenAI의 진입은 현재까지 시장 패닉보다는 더 많은 화제를 낳는 수준에 그치고 있다. 2월 Claude Code Security가 데뷔했을 때 Crowdstrike와 Palo Alto Networks 같은 기업을 포함해 여러 사이버보안 종목이 한때 5%에서 10% 사이 하락했다가, 이후 거래 세션에서 대체로 회복했다.

당시 분석가들은 그 매도세가 AI 도구가 애플리케이션 보안 시장의 일부를 대체할 수 있는지에 대한 불안감을 반영한 것일 가능성이 크다고 말했다. 다만 많은 연구자들은 AI 도구가 완전히 대체하기보다는 기존 보안 플랫폼을 보완할 가능성이 더 크다고 주장한다.

AI 보조 취약점 탐지는 지난 2년 동안 빠르게 발전해 왔으며, 거대 언어 모델(LLM)은 CTF(Capture-the-Flag) 대회와 자동화된 취약점 발견 같은 사이버보안 연구 과제에 점점 더 참여하고 있다. 이러한 역량은 방어자가 소프트웨어 약점을 더 빠르게 식별하는 데 도움을 줄 수 있지만, 공격자도 유사한 시스템을 악용할 수 있다는 우려를 동시에 낳는다.

이러한 위험에 대응하기 위해 OpenAI는 2월 5일, 검증된 보안 연구자에게 방어적 연구를 위한 고급 모델의 통제된 접근을 제공하는 “Trusted Access for Cyber” 이니셔티브를 출시했다. 앤트로픽도 Pacific Northwest National Laboratory 같은 기관과의 파트너십 및 내부 레드팀 프로그램을 통해 유사한 접근을 취해 왔다.

AI 보안 에이전트의 등장은 많은 연구자가 “에이전틱 사이버보안(agentic cybersecurity)”이라고 부르는 방향으로의 전환을 의미한다. 여기서 자율 시스템은 소프트웨어 취약점을 지속적으로 분석하고, 테스트하며, 개선(리미디에이션)한다. 성공한다면 이러한 도구는 취약점 발견과 패치 배포 사이의 시간을 단축할 수 있는데, 이는 현대 소프트웨어 보안에서 가장 큰 약점 중 하나다.

개발자와 보안 팀에게 이 타이밍은 무시하기 어렵다. AI는 더 이상 코드만 작성하는 것이 아니라, 이제 코드를 감사(audit)하고, 깨뜨리고, 고치며—종종 동일한 워크플로 안에서 이를 수행한다.

그리고 이제 OpenAI와 Anthropic이 정면 승부를 벌이면서, 차세대 사이버보안 도구의 물결은 전통적인 스캐너가 아니라 잠도 자지 않고, 불평도 하지 않으며, 이상적으로는 해커보다 먼저 버그를 잡아내는 AI 에이전트 형태로 다가올 수 있다.

FAQ 🤖

• OpenAI의 Codex Security란 무엇인가요?
  Codex Security는 GitHub 저장소를 스캔하고, 취약점을 검증하며, 코드 수정안을 제안하는 AI 기반 애플리케이션 보안 에이전트입니다.
• Codex Security는 기존 취약점 스캐너와 어떻게 다른가요?
  이 시스템은 AI 추론과 샌드박스 검증을 활용해 코드 맥락을 분석하고 오탐을 줄입니다.
• Anthropic의 Claude Code Security란 무엇인가요?
  Claude Code Security는 Anthropic의 Claude 모델을 사용해 코드베이스에서 취약점을 스캔하고 패치를 제안하는 경쟁 AI 도구입니다.
• 왜 AI 기업들이 사이버보안 에이전트를 만들고 있나요?
  AI 에이전트는 기존 도구보다 더 빠르게 소프트웨어 취약점을 탐지하고 수정할 수 있어, 개발자가 대규모로 코드 보안을 강화하는 데 도움을 줍니다.