Codex Security 완전정복: 120만 커밋 스캔한 AI 보안 에이전트, 지금 무료다
2026년 3월 6일, OpenAI가 조용히 꺼낸 무기. 개발자·보안팀 모두가 알아야 할 진짜 이유가 있습니다.
📊 792건 심각 취약점 발견
💰 1개월 무료
⚡ Research Preview 공개
Codex Security란 무엇인가 — 3줄 핵심 요약
Codex Security는 OpenAI가 2026년 3월 6일 공개한 AI 기반 애플리케이션 보안 에이전트입니다. 쉽게 말하면, “코드 저장소를 스스로 읽고, 취약점을 찾고, 수정 방법까지 제안해 주는 AI”입니다. 기존 SAST(정적 분석) 도구들이 수천 개의 가짜 경보를 쏟아내며 개발자를 지치게 했던 것과 달리, Codex Security는 프로젝트 전체 문맥을 이해한 뒤 실제로 위험한 버그에만 집중합니다.
OpenAI의 프런티어 추론 모델과 Codex 에이전트를 결합한 이 도구는, 단순히 패턴 매칭으로 취약점을 검색하는 것이 아니라 “내 시스템이 무엇을 하는가”를 먼저 파악한 뒤 위협 모델을 직접 생성합니다. 현재는 ChatGPT Pro·Enterprise·Business·Edu 구독자라면 Codex 웹을 통해 1개월 무료로 쓸 수 있습니다.
탄생 배경: Aardvark에서 Codex Security로
Codex Security의 전신은 2025년 10월 비공개 베타로 공개된 “Aardvark”라는 프로젝트입니다. 당시 OpenAI는 GPT-5 계열 추론 모델의 코드 분석 능력이 기존 보안 도구를 아득히 뛰어넘는다는 내부 실험 결과를 얻었고, 이를 별도의 보안 전용 에이전트로 분리하는 전략을 택했습니다. Aardvark는 SSRF(서버 사이드 요청 위조)나 교차 테넌트 인증 취약점처럼 기존 도구가 놓치기 쉬운 복잡한 보안 결함을 실제로 잡아내면서 보안 커뮤니티의 주목을 받았습니다.
약 5개월간의 비공개 테스트를 거쳐 Codex Security라는 이름으로 정식 출범한 이 제품은, 타이밍도 흥미롭습니다. 한 달 전인 2026년 2월, Anthropic이 Claude Code Security를 발표하며 AI 보안 에이전트 경쟁에 불을 붙인 직후입니다. OpenAI 입장에서는 Anthropic에 이 분야 선점을 내줄 수 없었을 것이고, 그 결과 실전 데이터를 충분히 쌓은 뒤 단숨에 공개 프리뷰로 전환한 것으로 보입니다.
3단계 작동 원리 — 위협 모델부터 패치까지
Codex Security는 단순히 “코드를 읽고 버그를 찾는” 것이 아닙니다. 세 단계로 구성된 파이프라인이 서로 맞물려 작동하며, 각 단계가 다음 단계의 정확도를 높이는 구조입니다.
-
1
시스템 컨텍스트 구축 및 위협 모델 생성: 저장소 전체 구조를 분석해 “이 프로젝트가 무엇을 하는지”, “어디가 보안상 가장 민감한지”를 자동으로 파악합니다. 생성된 위협 모델은 편집이 가능해서 팀의 보안 정책에 맞게 조정할 수 있습니다. 이 단계에서 AI는 단순 스캐너가 아닌 “보안 설계자”처럼 작동합니다. -
2
이슈 우선순위화 및 샌드박스 검증: 위협 모델을 기반으로 취약점을 실제 영향도 중심으로 분류합니다. 발견된 이슈는 격리된 샌드박스 환경에서 직접 실행해 보며 “진짜 위험한가”를 검증합니다. 이 과정에서 작동하는 PoC(개념증명)를 생성하기도 하며, 오탐을 대폭 줄이는 핵심 메커니즘입니다. -
3
시스템 맥락 기반 패치 제안: 단순히 “이렇게 고치세요”가 아니라, 기존 코드 스타일과 주변 로직을 고려한 수정안을 제시합니다. 회귀(다른 기능을 망가뜨리는 버그)를 최소화하도록 설계되어 있으며, 사용자가 심각도를 직접 조정하면 피드백이 위협 모델에 반영되어 다음 스캔이 더 정교해집니다.
실제 성과: 120만 커밋 스캔 결과가 말해주는 것
말보다 숫자가 설득력 있습니다. Codex Security가 30일간 외부 저장소를 대상으로 수행한 베타 스캔 결과를 정리하면 다음과 같습니다.
| 지표 | 수치 |
|---|---|
| 총 스캔 커밋 수 | 약 120만 건 |
| 심각(Critical) 취약점 발견 | 792건 |
| 고심각도(High) 취약점 발견 | 10,561건 |
| 심각 취약점 비율 | 전체 커밋의 0.1% 미만 |
| 노이즈 감소율 (베타 대비) | 84% ↓ |
| 심각도 과대보고 감소율 | 90% 이상 ↓ |
| 오탐률 감소율 | 50% 이상 ↓ |
※ 출처: OpenAI 공식 블로그 (2026.03.06) / The Hacker News (2026.03.07)
특히 주목할 부분은 실제 CVE 등록 취약점들입니다. GnuTLS, GnuPG, GOGS, Thorium, libssh, PHP, OpenSSH, Chromium 등 세계적으로 수억 명이 사용하는 오픈소스 프로젝트에서 직접 취약점을 찾아내고, CVE 번호까지 발급받았습니다. GnuPG의 스택 버퍼 오버플로우(CVE-2026-24881), GnuTLS의 힙 버퍼 오버리드(CVE-2025-32989) 같은 결함은 패치 없이 방치될 경우 실제 해킹에 악용될 수 있는 수준의 취약점입니다.
지금 당장 사용하는 법 — 요금제·접근 경로 완전 정리
어떤 요금제에서 쓸 수 있나요?
Codex Security는 ChatGPT Pro(월 $200), Enterprise, Business, Edu 요금제 구독자에게 Codex 웹 인터페이스를 통해 제공됩니다. 연구 프리뷰 기간 동안은 1개월 무료로 사용할 수 있습니다. ChatGPT Plus(월 $20)나 무료 계정에서는 현재 지원되지 않습니다.
실제 사용 절차
- 1Codex 웹(codex.openai.com)에 접속합니다. ChatGPT Pro 이상 계정으로 로그인하면 Codex Security 탭이 보입니다.
- 2분석할 GitHub 저장소를 연결합니다. 공개·비공개 저장소 모두 가능하며, 저장소 접근 권한을 OAuth로 부여합니다.
- 3스캔을 시작하면 Codex Security가 먼저 위협 모델을 생성합니다. 이 모델을 검토하고 필요시 수정한 뒤 전체 분석을 실행합니다.
- 4결과 리포트에서 심각도별로 정렬된 취약점 목록을 확인하고, 각 이슈에 딸린 수정 제안 코드를 검토합니다.
오픈소스 무료 지원 프로그램: 나한테도 해당될까?
2026년 3월 7일, OpenAI는 Codex Security 출시와 함께 “Codex for OSS” 프로그램을 동시에 발표했습니다. 공개 오픈소스 프로젝트의 핵심 유지보수자(core maintainer)라면 아래 혜택을 신청할 수 있습니다.
| 혜택 항목 | 내용 |
|---|---|
| ChatGPT Pro + Codex 접근 | 6개월 무료 제공 |
| API 크레딧 | 개발·테스트용 크레딧 지원 |
| Codex Security 접근 | 포함 (유지보수 대상 프로젝트 스캔 가능) |
| OpenAI 코드 리뷰·보안 분석 지원 | 선택적 지원 |
| 첫 번째 참여 프로젝트 | vLLM (초기 파트너) |
신청은 OpenAI 공식 사이트의 “Codex for OSS” 신청 폼을 통해 가능합니다. 단, 오픈소스 기여도와 프로젝트 공개 여부를 심사하므로 아무나 받을 수 있는 것은 아닙니다. 기존에 보안 취약점 보고서 품질이 낮아 오픈소스 유지보수자들이 고통받았다는 피드백을 반영해 설계된 프로그램인 만큼, 신뢰도 높은 CVE 발굴 보고를 받을 수 있다는 것이 가장 큰 장점입니다.
솔직한 한계와 내 주관적 평가
좋은 것만 말하면 광고입니다. Codex Security가 인상적인 성과를 보이는 건 사실이지만, 몇 가지 현실적인 한계를 짚고 넘어가야 합니다.
현재 한계
한계 1 요금 장벽이 높습니다. ChatGPT Pro는 월 $200(약 29만 원)입니다. 개인 개발자나 소규모 스타트업이 보안 전용으로 이 금액을 지출하기는 쉽지 않습니다. “연구 프리뷰 1개월 무료” 이후 가격 정책이 어떻게 바뀔지가 실용성을 가르는 관건입니다.
한계 2 아직 Research Preview 단계입니다. 프로덕션 환경에서 검증된 도구가 아닙니다. 결과를 맹신하지 말고, 중요 패치 전에는 반드시 인간 리뷰어의 검토를 거쳐야 합니다. OpenAI 스스로도 “실행 가능한 PoC를 생성해 팀에 강력한 근거를 제공한다”고 표현했지, “자동으로 배포하라”고는 말하지 않았습니다.
한계 3 저장소 접근 권한을 요구합니다. 비공개 코드베이스를 외부 서버에 올리는 데 거부감이 있는 기업·개인은 도입 전에 데이터 처리 방침을 꼼꼼히 확인해야 합니다. 특히 금융, 의료, 방산 코드는 사용 전 법무·보안팀 검토가 필수입니다.
그래도 지금 써야 하는 이유
한계가 있어도 이 도구가 중요한 이유는 하나입니다. 보안의 민주화입니다. 전통적으로 대기업만 누리던 심층 보안 감사를 개인 개발자·소규모 팀도 접근할 수 있는 시대가 열리고 있습니다. Anthropic의 Claude Code Security, OpenAI의 Codex Security가 경쟁하는 이 구도에서 가격은 내려가고 품질은 올라갈 수밖에 없습니다. 지금 무료 기간에 충분히 익혀두는 것이 장기적으로 유리합니다.
자주 묻는 질문 (Q&A)
Codex Security와 기존 SAST 도구(SonarQube 등)의 결정적 차이는 무엇인가요?
ChatGPT Plus(월 $20) 사용자도 쓸 수 있나요?
비공개(private) 저장소도 스캔 가능한가요? 코드 보안이 걱정됩니다.
Codex Security가 발견한 취약점은 자동으로 수정해 주나요?
Anthropic의 Claude Code Security와 어느 것이 더 낫나요?
마치며 — “코드 쓰는 AI”에서 “코드 지키는 AI”로
Codex Security는 단순히 보안 자동화 도구 하나가 나온 사건이 아닙니다. AI 코딩 어시스턴트가 코드를 “생성”하는 시대에서, AI 보안 에이전트가 코드를 “검증”하는 시대로 전환되는 신호탄입니다. GPT-5.4가 컴퓨터를 조작하고, Codex가 코드를 쓰고, Codex Security가 그 코드의 구멍을 메우는 구조가 이미 현실이 되고 있습니다.
개인적으로 이 도구에서 가장 인상 깊은 부분은 “오탐률 감소”에 집착했다는 점입니다. 보안 업계의 가장 고질적인 문제는 경보 피로(alert fatigue)입니다. 숫자만 많은 결과 리포트 앞에서 보안팀이 무감각해지면, 진짜 위험도 놓치게 됩니다. Codex Security는 그 문제를 정면으로 공략했고, 그 접근 방식이 옳습니다.
지금 ChatGPT Pro 사용자라면, 망설이지 말고 Codex 웹에 접속해서 본인 프로젝트 하나를 스캔해 보세요. 1개월 무료 기간 안에 충분히 그 실력을 확인할 수 있습니다. 오픈소스 유지보수자라면 Codex for OSS 신청도 적극적으로 고려해 보시기 바랍니다.
※ 본 콘텐츠는 공개된 공식 자료(OpenAI 공식 블로그, The Hacker News, GeekNews 등)를 바탕으로 작성된 정보 제공 목적의 글입니다. 보안 도구 선택 및 도입은 반드시 조직의 법무·보안 정책을 검토한 뒤 결정하시기 바랍니다. 모든 가격 및 요금제 정보는 2026년 3월 기준이며, 추후 변경될 수 있습니다.
댓글 남기기