오픈AI(OpenAI)가 GPT-5를 기반으로 한 자율형 보안 에이전트 ‘아드바크’를 공개했다. 이는 취약점 전문 분석가 수준의 추론 능력을 바탕으로 코드를 스캔하고 이해하며 수정할 수 있도록 설계됐다.
아드바크는 지난달 30일 공식 발표돼 현재 비공개 베타로 서비스되고 있다. 일부 전문가는 이번 아드바크 공개에 대해, 업계가 AI 중심 소프트웨어 보안으로 전환하는 계기가 될 수 있다고 평가했다.
오픈AI에 따르면 기존의 보안 스캐너가 의심스러운 코드를 기계적으로 표시하는 것과 달리, 아드바크는 코드가 특정 방식으로 동작하는 ‘이유’와 ‘과정’을 함께 분석한다. EIIR트렌드(EIIRTrend)의 CEO 파리크 자인은 “오픈AI의 아드바크는 사람 보안 연구자를 모방한다는 점에서 다르다. 대규모 언어 모델(LLM)의 추론 능력을 활용해 코드의 의미와 동작을 이해하고, 실제 연구자처럼 코드를 읽고 분석한다”라고 설명했다.
자인은 이어 “아드바크가 개발 파이프라인에 직접 통합되면, 보안은 개발 이후 확인하는 절차가 아니라 소프트웨어와 함께 진화하는 지속적 보호 체계로 전환될 것”이라고 평가했다.
의미 기반 코드 분석부터 검증된 패치까지
오픈AI는 아드바크의 차별점으로 추론, 자동화, 검증의 결합을 꼽았다. 아드바크는 단순히 잠재적 취약점을 표시하는 수준을 넘어, 저장소 전체를 매핑하고 그 위에 상황별 위협 모델을 구축하는 다단계 분석을 수행한다. 분석 이후에도 신규 커밋을 지속적으로 모니터링하며 각 변경이 위험을 초래하는지 또는 기존 보안 패턴을 위반하는지를 점검한다.
또한 잠재적 문제가 발견되면 이를 보고하기 전에 샌드박스 환경에서 해당 취약점의 악용 가능성을 검증하는 작업을 수행한다.
이 검증 단계는 특히 중요하다. 기존 정적 분석 도구는 개발자에게 실제로는 악용이 불가능한 문제까지 위험으로 보이게 해 오탐을 일으키는 경우가 많다. 자인은 “아드바크의 가장 큰 장점은 오탐을 크게 줄일 수 있다는 점”이라며 “오픈소스 코드와 개발 파이프라인에서 특히 유용할 것”이라고 언급했다.
취약점이 확인되면 아드바크는 코덱스(Codex)와 연동해 패치를 제안하고, 수정된 코드가 새로운 문제를 유발하지 않는지 재분석한다. 오픈AI는 벤치마크 테스트에서 이 시스템이 테스트 저장소에 존재하는 알려진 취약점과 인위적으로 삽입한 취약점의 92%를 식별했다고 밝혔다. 이는 AI가 곧 현대 코드 감사의 일부 부담을 떠맡을 가능성이 있다는 긍정적 신호일 수 있다.
오픈소스 보안 강화와 ‘시프트 레프트’ 전략
아드바크는 기업 환경을 넘어 오픈소스 생태계에서도 활용되고 있다. 오픈AI는 이미 여러 오픈소스 저장소에 아드바크를 적용해 실제 취약점을 다수 발견했으며, 이 중 10건이 공식 CVE(공통 취약점 및 노출) 식별 코드를 부여받았다고 밝혔다. 아울러 오픈AI는 비영리 오픈소스 프로젝트를 대상으로, 일정 기준을 충족하는 경우 무료로 보안 스캐닝 서비스를 제공할 계획이다. 이는 취약점이 공개되기 전에 프로젝트 관리자가 문제를 해결할 수 있도록 시간을 확보해 주는 ‘CVD(coordinated vulnerability disclosure)’ 원칙을 따른다.
이런 접근은 소프트웨어 보안이 더 이상 특정 과제가 아니라, 생태계 전체가 공동으로 책임져야 할 문제라는 인식이 확산되고 있는 흐름과도 맞닿아 있다. 자인은 “보안의 중요성과 복잡성이 커지는 만큼, 이런 자율형 보안 에이전트는 대기업뿐 아니라 중소기업에도 도움이 될 것”이라고 진단했다.
오픈AI의 이번 발표는 보안 업계 전반에서 확산되고 있는 ‘시프트 레프트(Shift Left)’ 개념을 반영하고 있다. 이는 보안을 개발 주기의 마지막 단계에서 점검하는 것이 아니라, 개발 과정 초기에 직접 통합해 지속적으로 관리하는 접근 방식이다. 매년 4만 건이 넘는 CVE 등록 취약점이 보고되고, 글로벌 소프트웨어 공급망이 끊임없는 공격에 노출된 상황에서, 오픈AI는 “AI를 개발자 워크플로우에 통합하면 개발 속도와 보안 유지 간의 균형을 맞출 수 있을 것”이라고 설명했다.
dl-ciokorea@foundryco.com
Read More from This Article: “코드 내 숨은 취약점 탐지·수정” 오픈AI, 보안 에이전트 ‘아드바크’ 공개
Source: News