AI가 코드를 작성하는 속도가 빨라질수록, 보안 검토는 더 큰 병목이 됩니다. 기존 AI 보안 도구들은 쉴 새 없이 경고를 쏟아내지만, 대부분은 실제 위험과 관계없는 노이즈입니다. 보안 팀은 진짜 문제를 찾느라 하루 종일 분류 작업에 시달립니다.
OpenAI가 3월 7일 출시한 Codex Security는 이 문제를 해결하기 위해 설계된 애플리케이션 보안 에이전트입니다. 단순히 패턴을 매칭하는 게 아니라, 프로젝트 전체를 이해하고 진짜 위험을 식별합니다.
기존 도구와 뭐가 다른가?
대부분의 AI 보안 도구는 **저임팩트 발견과 오탐(False Positive)**의 홍수를 만듭니다. 문맥 없이 규칙만 적용하니 당연한 결과입니다.
Codex Security의 접근은 다릅니다:
- 시스템 전체 컨텍스트 구축 — 코드베이스를 분석해 보안 관련 구조를 파악
- 위협 모델 자동 생성 — 시스템이 무엇을 신뢰하고 어디에 노출되어 있는지 문서화
- 샌드박스 검증 — 발견된 취약점을 실제 환경에서 테스트
- 컨텍스트 기반 패치 제안 — 주변 코드와 의도를 고려한 수정안
결과? 노이즈 84% 감소, 과대 평가된 심각도 90% 이상 감소, 오탐률 50% 이상 감소 (베타 기간 개선).
핵심 기능 딥다이브
1. 위협 모델링 자동화
Codex Security는 스캔 설정 후 코드베이스를 분석해 프로젝트별 위협 모델을 생성합니다:
- 시스템이 하는 일
- 신뢰하는 대상
- 가장 노출된 영역
이 모델은 편집 가능합니다. 팀이 아키텍처를 변경하면 위협 모델도 함께 업데이트됩니다.
2. 검증된 발견
위협 모델을 컨텍스트로 사용해 취약점을 탐색하고, 시스템에서의 실제 영향을 기준으로 분류합니다.
샌드박스 환경이 구성되면:
- 잠재적 문제를 실행 중인 시스템에서 직접 검증
- 작동하는 PoC(개념 증명) 생성
- 오탐 추가 감소
3. 시스템 컨텍스트 기반 패치
단순히 “이 줄 고치세요”가 아닙니다. 발견된 문제를 시스템 의도와 주변 동작에 맞춰 수정하는 패치를 제안합니다.
회귀를 최소화하면서 보안을 개선하는 패치 — 검토 후 바로 적용하기 더 안전합니다.
4. 피드백 학습
발견의 중요도를 조정하면, Codex Security는 그 피드백을 위협 모델에 반영합니다. 후속 스캔에서 정확도가 계속 개선됩니다.
실제 성과: 30일간 120만 커밋 스캔
지난 30일간 베타 코호트의 외부 저장소에서:
- 스캔한 커밋: 1,200,000개 이상
- Critical 발견: 792개
- High-severity 발견: 10,561개
- Critical 비율: 스캔된 커밋의 0.1% 미만
대량의 코드에서 보안에 영향을 미치는 문제를 식별하면서도, 검토자에게 노이즈를 최소화합니다.
오픈소스 생태계 지원
OpenAI는 자신들이 의존하는 오픈소스 저장소를 Codex Security로 스캔하고, 영향력 있는 보안 발견을 메인테이너와 공유하고 있습니다.
메인테이너들의 공통된 피드백: “취약점 리포트가 부족한 게 아니라, 저품질 리포트가 너무 많다는 거예요.”
이에 따라 OpenAI는 Codex for OSS 프로그램을 시작했습니다:
- 무료 ChatGPT Pro/Plus 계정
- 코드 리뷰
- Codex Security 접근
vLLM 같은 프로젝트는 이미 Codex Security를 정상 워크플로우의 일부로 사용하고 있습니다.
발견한 CVE 예시
OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP, Chromium 등에서 14개의 CVE가 할당되었습니다:
| 프로젝트 | CVE | 유형 |
|---|---|---|
| GnuTLS | CVE-2025-32990 | Heap-Buffer Overflow (Off-by-One) |
| GnuTLS | CVE-2025-32989 | Heap Buffer Overread in SCT Extension |
| GnuTLS | CVE-2025-32988 | Double-Free in otherName SAN Export |
| GOGS | CVE-2025-64175 | 2FA Bypass |
| GOGS | CVE-2026-25242 | 인증 우회 |
| Thorium | CVE-2025-35430 | Path Traversal |
| Thorium | CVE-2025-35431 | LDAP Injection |
| Thorium | CVE-2025-35432 | Unauthenticated DoS |
| gpg-agent | CVE-2026-24881 | Stack Buffer Overflow via PKDECRYPT |
한국 개발자/기업을 위한 시사점
1. 보안 팀 병목 해소
한국 스타트업과 기업도 AI 코딩 도구 도입이 가속화되고 있습니다. 개발 속도는 빨라지는데 보안 검토는 여전히 수동이라 병목이 심합니다.
Codex Security는 보안 팀이 진짜 문제에 집중할 수 있게 합니다.
2. 오픈소스 공급망 보안
한국 기업도 오픈소스에 깊이 의존합니다. Codex for OSS 프로그램에 참여하면:
- 의존하는 라이브러리의 보안 강화
- 메인테이너와 협력 기회
3. 접근 방법
현재 ChatGPT Pro, Enterprise, Business, Edu 고객에게 순차적으로 롤아웃 중입니다. 첫 한 달 무료 사용 가능.
오픈소스 메인테이너라면 Codex for OSS 신청을 고려해보세요.
마치며: 보안의 패러다임 시프트
Codex Security는 “더 많은 경고”가 아니라 **“더 정확한 발견”**을 추구합니다.
- 컨텍스트 기반 분석
- 자동화된 검증
- 시스템 의도를 이해하는 패치
AI가 코드를 작성하는 시대에, 보안 검토도 AI가 이해할 수 있어야 합니다. Codex Security는 그 방향으로 가는 중요한 한 걸음입니다.
🔗 관련 정보
- 공식 발표: https://openai.com/index/codex-security-now-in-research-preview/
- 문서: https://developers.openai.com/codex/security
- Codex for OSS 신청: https://openai.com/form/codex-for-oss
- 이전 이름 Aardvark 발표: https://openai.com/index/introducing-aardvark/