앤트로픽 이어 오픈AI도 코드 보안 기능 공개…보안업계 ‘촉각’

Source: Byline Network

코드 저장소 분석부터 패치 제안

코덱스 시큐리티는 코드 저장소를 분석해 시스템별 위협 모델(threat model)을 생성하고, 이를 기반으로 취약점을 탐지한 뒤 실제 위험도를 검증하고 패치까지 제안하는 애플리케이션 보안 에이전트다.

1. 위협 모델 생성 – 코드 저장소를 분석해 시스템 구조·신뢰 관계·공격 노출 지점을 파악하고 프로젝트별 위협 모델을 만든다.
2. 취약점 탐지·검증 – 위협 모델을 바탕으로 취약점을 탐지하고, 샌드박스 혹은 실제 실행 환경에 가까운 조건에서 검증한다.
3. 패치 제안 – 시스템 맥락을 고려해 취약점을 수정하는 패치를 제안한다.

오픈AI는 기존 AI 보안 도구가 낮은 위험 경고와 오탐지를 많이 생성하는 문제를 줄이는 데 초점을 맞췄다고 설명했다.

코덱스 시큐리티는 오픈AI가 지난해 일부 기업을 대상으로 비공개 베타 형태로 운영했던 보안 연구 에이전트 아드바크(Aardvark) 에서 발전한 서비스다. 아드바크는 실제 서버사이드 요청 위조(SSRF)와 멀티테넌트 인증 취약점 등을 찾아냈으며, 이 기술을 코덱스 플랫폼에 통합해 공개했다.

오픈AI가 공개한 코덱스 시큐리티 소개 영상 (사진=오픈AI 홈페이지 캡처)

오픈AI에 따르면, 비공개 베타 기간 동안 동일 저장소를 반복 분석한 결과 노이즈(중요도 낮은 신호)가 최대 84% 감소했고, 위험도를 과도하게 높게 표시하는 비율이 90% 이상 감소했다. 전체 저장소 기준 오탐지율도 50% 이상 낮아졌다.

최근 30일 동안 외부 저장소 120만 개 이상을 분석해 치명적 취약점 792건과 고위험 취약점 15,610건을 발견했다고 밝혔다. 오픈소스 프로젝트에서는 OpenSSH, GnuTLS, GOGS, libssh, PHP, Chromium 등에서 총 14건의 공통 취약점 및 CVE가 배정됐다.

클로드 코드 시큐리티와 경쟁…해외선 엇갈린 반응

앤트로픽은 2월 20일(현지시각) 클로드 코드 시큐리티를 연구 프리뷰 형태로 공개했다. 이 기능은 클로드 코드 웹에 통합돼 코드 저장소를 분석하고 취약점을 찾은 뒤 수정 방안을 제시한다. 구조적으로 오픈AI의 코덱스 시큐리티와 유사하며, 앤트로픽은 이를 통해 운영 중인 오픈소스 코드베이스에서 500개 이상의 취약점을 발견했다고 발표했다.

AI 기업이 코드 보안 영역에 직접 진입하면서 기존 애플리케이션 보안 시장에도 영향을 미칠 수 있다는 전망이 나오고 있다.

• 주가 반응: 로이터에 따르면, 앤트로픽이 클로드 코드 시큐리티를 공개한 2월 23일(현지시각) 크라우드스트라이크, 데이터독, 지스케일러 등 주요 사이버보안 기업들의 주가는 약 11% 하락했고, 포티넷과 옥타는 약 6% 떨어졌다. 3월 9일 현재는 일부 회복된 상태다.
• 전문가 의견: 영국 매체 사이버매거진은 크라우드스트라이크 CEO 조지 커츠가 “AI 기반 코드 스캔 기능이 ‘팔콘 플랫폼’이나 전체 보안 프로그램을 대체하지는 못한다”고 언급한 점을 인용했다. 미국 매체 액시오스는 “많은 보안 책임자들은 기업이 개발 플랫폼과 보안 플랫폼을 한 업체에 모두 맡기기보다 여러 보안 도구를 병행 사용할 가능성이 높다”고 전했다.

국내 보안업계 “대체보다 보완, 초기 스캐닝과 출시 전 점검에 효과”

국내 보안업계도 AI 기반 코드 보안 도구의 흐름을 주시하고 있다. 현재는 보완재 수준으로 평가되는 경우가 많으며, 특히 개발 초기 취약점 탐지·출시 전 1차 점검·오픈소스 코드 검토에 활용도가 높다고 본다. 그러나 비즈니스 로직 취약점 분석이나 고도화된 공격 시나리오 검증까지 맡기기에는 아직 이르다는 의견이 지배적이다.

• 티오리 관계자: “AI 기반 코드 취약점 탐지는 결과가 가능성 있는 이슈 목록에 가깝다. 실제 보안 현장에서 중요한 것은 공격으로 재현 가능한 취약점”이라며, AI 해커 ‘진트(Xint)’와 AI 기반 코드 분석 도구 ‘진트 코드(Xint Code)’를 통해 웹 보안 점검과 코드 분석을 함께 공략하고 있다고 설명했다.
• 엔키화이트햇 관계자: “클로드 코드 시큐리티와 코덱스 시큐리티는 AI 기반 정적 애플리케이션 보안 테스트(SAST) 솔루션으로 볼 수 있다. 기존 상용 SAST 도구에 영향을 줄 수 있다”면서도, “AI가 제안한 보안 패치가 실제 운영 환경에서 부작용을 일으키지 않는지, 서비스 품질에 어떤 영향을 주는지 더 지켜봐야 한다”고 강조했다.
• 다른 보안업계 관계자: “AI 기반 코드 보안 도구가 사람이 찾는 취약점과 상당 부분 겹치고, 코드상의 실수나 비교적 단순한 취약점을 빠르게 찾는 데는 효과적이다. 하지만 코드 규모가 커질수록 전체 맥락을 놓칠 수 있고, 비즈니스 로직이나 논리적 결함처럼 흐름을 함께 봐야 하는 취약점은 여전히 한계가 있다”며, “제품을 내기 전에 한 번 정도 검사하는 용도로는 적합해 보인다”고 평가했다.
• AI스페라 강병탁 대표: “AI 기반 코드 보안 도구가 반복적인 탐지와 1차 분석 업무를 줄이면서 취약점 점검의 속도와 효율을 높일 수 있다. 자동화 스캐닝 뒤 수동 검토와 반복 학습을 결합하면 오탐을 줄이고 일부 레드팀 업무를 보조하는 역할은 가능해 보인다”고 말했다.

글. 바이라인네트워크
곽중희 기자 – god8889@byline.network