오픈AI, 사이버보안 특화 새 AI 공개..."몇 달 내 등장 강력한 AI 대비"
미국 오픈AI가 소수의 고객을 대상으로 새로운 사이버 보안 특화 모델인 'GPT-5.4-Cyber'를 공개했다. 이 회사는 GPT-5.2부터 사이버보안 특화 안전 학습을 시작했다. 14일 파이낸셜타임즈(FT) 등 외신에 따르면 이번에 공개한 'GPT-5.4-Cyber'는 경쟁사인 앤트로픽이 유사한 기능을 가진 '미토스(Mythos)' 모델을 제한적으로 지난 7일 공개한 지 약 2주만에 선보였다. 최근 인공지능(AI)이 소프트웨어 취약점을 발견하고 악용할 수 있는 능력이 빠르게 향상되면서 이에 대한 우려가 커지는 상황 속에서 나온 조치다. 'GPT-5.4-Cyber'는 오픈AI가 올 2월 만든 '보안을 위힌 신뢰 기반 접근 프로그램(TAC, Trusted Access for Cyber)' 참여자 중 최고 등급 사용자에게만 우선 제공됐는데, 이들 명단은 공개하지 않았다. 한 외신은 최고 등급 고객 수는 수백 명이고, 오픈AI는 몇 주 안에 이를 수천 명 규모로 확대할 계획이라고 밝혔다. 오픈AI는 자사 블로그(https://openai.com/index/scaling-trusted-access-for-cyber-defense)에서 "앞으로 몇 달 내 등장할 더욱 강력한 AI 모델에 대비, 방어 목적의 사이버 보안 활용에 최적화한 모델을 단계적으로 제공하는 전략을 추진하고 있으며, 그 첫 단계로 GPT-5.4-Cyber라는 사이버 보안 특화 모델을 공개했다"고 설명했다. 'GPT-5.4-Cyber'는 소프트웨어 내 결함이나 취약점을 자동으로 찾아내고 이를 보안 전문가에게 알려, 악의적인 공격자가 해당 취약점을 악용하기 전에 대응할 수 있도록 설계됐다. 오픈AI는 이 모델을 통해 보안 전문가들이 보다 선제적으로 취약점을 수정할 수 있을 것으로 기대했다. 오픈AI는 지난 2023년부터 사이버보안 보조금 프로그램을 통해 방어자들을 지원해 왔으며, 같은 해 모델의 사이버 보안 역량 평가를 시작했고, 2025년부터는 모델 배포 과정에 사이버 보안 특화 안전장치를 포함하기 시작했다. 또 올해 초에는 대규모 취약점 탐지 및 수정 지원을 위해 '코덱스 시큐리티(Codex Security)'를 출시했다. 블로그에서 오픈AI는 "사이버 보안 위험은 모델 자체 뿐 아니라 누가 어떻게 사용하는지에 따라 달라진다. 따라서 일반 모델은 폭넓게 제공하면서도, 고위험 기능에 대해서는 보다 강한 인증과 신뢰 신호 기반 접근 통제를 적용하는 방식이 필요하다"면서 "오픈AI는 중앙에서 누가 스스로를 방어할 수 있는지를 일방적으로 결정하기보다, 신뢰 기반 검증 체계를 통해 가능한 한 많은 합법적인 방어자에게 접근 권한을 제공하는 방향을 지향한다"고 짚었다. 이어 모델 성능이 향상될수록 방어 체계 역시 함께 강화되어야 한다는 점도 중요한 원칙이라면서 "GPT-5.2부터 사이버보안 특화 안전 학습을 시작했고, GPT-5.3-Codex와 GPT-5.4에서는 이를 더욱 확대했다. 동시에 Codex Security를 통해 1000개 이상의 오픈소스 프로젝트에 무료 보안 점검을 제공했으며, 현재까지 3000건 이상의 심각하거나 높은 수준의 취약점 수정에 기여했다"고 밝혔다. 오픈AI는 TAC 프로그램도 확대하고 있다. 이 프로그램은 신원 확인 절차를 통해 사이버 보안 담당자에게 보다 유연한 모델 접근을 제공하는 제도다. 이번 확장을 통해 추가 인증을 완료한 사용자에게 더 높은 수준의 접근 권한을 제공하며, 최상위 등급 사용자에게는 사이버보안 작업에 특화한 GPT-5.4-Cyber 모델 접근이 가능하다. 'GPT-5.4-Cyber'은 합법적인 보안 연구 및 방어 활동에 대해 기존보다 완화된 제한 정책을 적용한다. 특히 소스코드 없이도 실행 파일을 분석해 악성코드 가능성이나 취약점을 평가할 수 있는 '바이너리 역공학 분석(binary reverse engineering)' 기능 같은 고급 보안 기능을 지원한다. 다만 이러한 강력한 기능은 오용 가능성도 존재하기 때문에, 현재는 검증된 보안 기업과 연구자 중심으로 제한적이고 단계적으로 배포하고 있다. 이번 발표는 앤트로픽이 '미토스' 모델을 12개 미국 기업 및 기관에 제한적으로 공개한 지 약 이주일 만에 이뤄졌다. 앤트로픽은 12개 기업 및 기관 외 40곳에게도 관련 정보를 제공했다. 오픈AI와 앤트로픽 모두 AI모델이 해커들에게 악용될 수 있는 잠재력을 갖고 있다는 점을 인식하고 있으며, 동시에 기존의 사이버 보안 방어 체계를 무력화할 수 있다는 우려도 커지고 있다고 FT는 보도했다. 실제 미토스 공개 이후 관련 소프트웨어 기업 주가가 하락하기도 했다. 오픈AI는 블로그에서 “사이버 위험은 이미 현실로 존재하며 빠르게 증가하고 있지만 대응할 수 있다”며 “디지털 인프라는 첨단 인공지능이 등장하기 전부터 오랫동안 취약한 상태였다”고 밝혔다. 앤트로픽 측은 미토스 모델이 이미 수천 건의 심각한 취약점을 발견했으며, 그중에는 모든 주요 운영체제와 웹 브라우저에서 발견된 취약점도 포함돼 있다고 밝힌 바 있다. 일부 취약점은 27년간 사람이 발견하지 못한 것이다. AI 기반 사이버 보안 경쟁이 심화하면서 정부와 금융기관의 우려도 커지고 있다. 실제 지난주 미국 밴스 부통령은 구글, 애플 등 빅테크들과 긴급 대응책을 논의했고, 또 미 재무장관 스콧 베센트와 연방준비제도 의장 제롬 파월도 미토스 모델이 가져올 수 있는 사이버 위험을 논의하기 위해 주요 대형 은행 관계자들을 소집, 대응책을 모색했다.
