코덱스 시큐리티: AI가 코드 취약점을 스스로 찾고 고치는 시대
2026년 3월 6일, 오픈AI가 코덱스 시큐리티(Codex Security)를 전격 공개했습니다.
AI가 직접 코드 저장소를 분석하고, 취약점을 검증하며, 수정 패치까지 제안하는 ‘보안 에이전트’의 시대가 열렸습니다.
CrowdStrike·Datadog 등 전통 보안주가 하루 만에 최대 13% 급락할 만큼, 업계 판도를 바꿀 충격파가 터진 이유를 지금 바로 확인하세요.
🆓 첫 달 무료
📌 Enterprise·Business·Edu
⚡ 오탐률 50% 이상 감소
코덱스 시큐리티란 무엇인가? — 역대 최초 ‘AI 보안 에이전트’
코덱스 시큐리티(Codex Security)는 오픈AI가 2026년 3월 6일 공개한 AI 기반 애플리케이션 보안 에이전트입니다.
단순히 코드를 스캔하는 기존 보안 도구와는 근본적으로 다릅니다. 코덱스 시큐리티는 프로젝트의 전체 맥락을 파악하고, 공격자의 시각에서 취약점을 직접 추론한 뒤, 샌드박스 환경에서 검증까지 완료한 고신뢰도 결과만을 개발팀에 전달합니다.
기존 정적 분석 도구(SAST)나 서명 기반 스캐너는 수백~수천 개의 경보를 쏟아내는 반면, 실제 위협 가치가 있는 취약점은 극히 일부에 불과했습니다. 보안팀은 진짜 위협을 찾기 위해 쓸모없는 경보를 처리하는 데 대부분의 시간을 낭비해야 했습니다. 코덱스 시큐리티는 이 문제를 정면으로 겨냥합니다. 오픈AI가 공개한 데이터에 따르면, 베타 기간 동안 오탐률(false positive)이 50% 이상 감소했고, 과도 심각도 보고 건수는 90% 이상 줄었습니다.
아드바크(Aardvark)에서 코덱스 시큐리티로 — 1년의 비공개 베타
코덱스 시큐리티는 하루아침에 탄생한 제품이 아닙니다. 오픈AI는 이미 2025년부터 ‘아드바크(Aardvark)’라는 코드네임으로 소수 기업 고객을 대상으로 비공개 베타 테스트를 진행해왔습니다. 약 1년간의 내부 검증 과정을 거쳐 이번에 공식 명칭인 ‘코덱스 시큐리티’로 일반에 공개된 것입니다.
비공개 베타 초기에도 인상적인 성과가 있었습니다. 실제 내부 배포 환경에서 SSRF(Server-Side Request Forgery) 취약점과 치명적인 크로스 테넌트 인증 우회 취약점을 발견했고, 보안팀은 이를 수 시간 내에 패치했습니다. 단순한 데모 환경이 아닌, 오픈AI 자사 시스템에서 실전 검증을 거쳤다는 점이 다른 AI 보안 도구와 구별되는 지점입니다.
베타 기간 동안 성능 개선의 속도 역시 눈에 띕니다. 동일 저장소에 대한 반복 스캔 결과를 비교했을 때, 초기 배포 대비 노이즈가 한 사례에서 84% 감소했습니다. 이는 모델이 각 프로젝트의 특성을 학습하고, 팀의 피드백을 반영하면서 지속적으로 정밀도를 높여간다는 것을 의미합니다.
핵심 3단계 워크플로: 탐지 → 검증 → 패치
코덱스 시큐리티의 작동 방식은 크게 세 단계로 나뉩니다. 단순한 코드 검색이 아닌, 실제 보안 연구자처럼 공격 경로를 추론하고 현실 영향도를 검증하는 폐쇄 루프(Closed-Loop) 방식입니다.
-
1
시스템 컨텍스트 구축 및 위협 모델 생성:
GitHub 저장소에 연결하면 코덱스가 커밋 이력 전체를 분석하고, 공격자 진입점·신뢰 경계·민감 데이터·고영향도 코드 경로를 정의한 프로젝트 전용 위
댓글 남기기