Codex Security, 무료라고 했는데
이건 확인이 필요합니다
OpenAI 공식 문서 직접 확인 — 1개월 무료 이후 과금 구조와 120만 커밋 수치의 실제 의미
결론부터 말씀드리면, Codex Security는 2026년 3월 6일부터 “무료로 한 달 동안 사용 가능”하다고 발표됐습니다. 그런데 이게 진짜 무료인지 따져보면 이야기가 달라집니다. ChatGPT Pro, Enterprise, Business, Edu 구독자에게만 제공되는 기능이고, 무료 계정 사용자는 처음부터 해당 사항이 없습니다. (출처: OpenAI 공식 릴리스 노트, 2026.03.06)
그리고 한 달이 지나면 어떻게 되는지, OpenAI는 공식적으로 가격을 밝히지 않았습니다. TechRadar는 이를 두고 “추가 비용이 발생할 것”이라고 명시했고, 현재로서는 별도 과금 구조가 생길 것이 거의 확실합니다. 이 포스팅은 공식 문서와 외부 검증 자료를 직접 확인해서 정리한 내용입니다.
Codex Security가 뭐고, 왜 갑자기 이름이 바뀌었나요?
Codex Security는 OpenAI가 2026년 3월 6일 공개한 애플리케이션 보안 에이전트입니다. 코드 저장소를 스캔해서 취약점을 찾아내고, 샌드박스 환경에서 직접 검증한 다음, 수정 패치까지 제안하는 3단계 흐름으로 작동합니다. (출처: OpenAI 공식 릴리스 노트, 2026.03.06)
이름이 낯선 이유가 있는데, 원래 이 도구는 “Aardvark”라는 이름으로 2025년 10월 비공개 베타로 먼저 시작했습니다. 이번에 리서치 프리뷰로 공개되면서 Codex 브랜드 아래로 편입된 것입니다. OpenAI 공식 발표에 Aardvark 언급이 명시돼 있습니다. (출처: OpenAI 공식 릴리스 노트, 2026.03.06)
💡 공식 발표문과 제품 이력을 같이 놓고 보면 이런 맥락이 보입니다. Codex Security는 완전히 새로운 제품이 아니라, 비공개 베타에서 약 5개월간 다듬어진 결과물입니다. 그 기간 동안 오탐률을 84% 이상 줄였다는 수치도 이 맥락에서 나왔습니다. (출처: OpenAI 공식 릴리스 노트, 2026.03.06)
3단계 작동 방식을 구체적으로 보면: 첫째 저장소를 분석해 시스템 구조와 위협 모델을 생성하고, 둘째 그 맥락 위에서 취약점을 탐지해 실제 영향도 기준으로 분류합니다. 셋째 샌드박스 환경에서 압박 테스트(pressure-testing)를 거쳐 검증된 것만 올라오고, 거기에 수정 패치를 제안합니다. (출처: OpenAI Codex Security 공식 문서, developers.openai.com/codex/security)
“무료”라는 말, 실제로는 이 조건이 붙어 있습니다
솔직히 말하면, 이 부분이 가장 걸립니다. “무료 1개월”이라는 문구는 정확하지 않습니다. 공식 발표에 따르면 Codex Security는 “ChatGPT Pro, Enterprise, Business, Edu 고객에게 다음 한 달간 무료 사용”이 제공됩니다. (출처: OpenAI 공식 릴리스 노트, 2026.03.06)
즉, ChatGPT Plus($20/월) 이하 플랜 사용자는 처음부터 접근이 안 됩니다. 현재 접근 가능한 최소 구독 조건은 ChatGPT Pro($200/월)입니다. Enterprise(최소 2인 이상, $30/인/월 연간)나 Business($25/인/월 연간)도 가능하지만, 어느 쪽이든 현행 구독료 위에 올라타야 합니다. (출처: OpenAI Codex Pricing, developers.openai.com/codex/pricing, 2026.03 기준)
| 플랜 | 월 요금 | Codex Security 접근 | 한 달 무료 해당 |
|---|---|---|---|
| Free / Go | $0 / 미정 | ❌ 불가 | — |
| Plus | $20 | ❌ 불가 | — |
| Pro | $200 | ✅ 가능 | ✅ |
| Business | $25/인(연간) | ✅ 가능 | ✅ |
| Enterprise / Edu | 협의 | ✅ 가능 | ✅ |
※ 출처: OpenAI Codex Pricing (developers.openai.com/codex/pricing), 2026.03 기준 / 가격 변경 가능성 있음
그리고 한 달 무료 기간 이후 가격은 TechRadar가 명시했듯 “별도 추가 요금이 생길 것”이라고 보도했지만, OpenAI는 아직 구체적인 금액을 공개하지 않았습니다. 이 점은 현재 확인 필요 상태입니다. (출처: TechRadar, 2026.03.09)
120만 커밋 스캔, 그 수치가 의미하는 게 뭔지 계산해봤습니다
공식 발표에서 OpenAI는 “베타 기간 30일 동안 120만 개 이상의 커밋을 외부 저장소에서 스캔했고, 그 중 Critical 취약점 792건, High 취약점 10,561건을 발견했다”고 밝혔습니다. (출처: OpenAI 공식 릴리스 노트, 2026.03.06)
이 수치를 계산해보면 이렇습니다. Critical 792건을 전체 120만 커밋으로 나누면 약 0.066%, 즉 1,500개 커밋 중 1개 꼴로 Critical 취약점이 나온다는 의미입니다. OpenAI는 이를 두고 “Critical 이슈는 전체 커밋의 0.1% 미만에서 발생한다”고 요약했습니다. 이게 실제로 어떤 의미냐면, 엄청 많은 코드가 돌아가는 오픈소스 생태계에서도 진짜 위험한 취약점은 매우 드물고, 그 드문 것을 잡아내는 게 핵심이라는 뜻입니다. (출처: OpenAI 공식 릴리스 노트, 2026.03.06)
📐 수치 직접 계산
• Critical 발생률: 792 ÷ 1,200,000 = 약 0.066%
• High 발생률: 10,561 ÷ 1,200,000 = 약 0.88%
• Critical + High 합산: 11,353건 → 커밋 약 106개당 1건 꼴
※ OpenAI 공식 수치 기준 직접 역산 (출처: openai.com/index/codex-security-now-in-research-preview)
추가로 확인된 실제 CVE 번호들도 이 계산에 힘을 실어줍니다. GnuPG(CVE-2026-24881, CVE-2026-24882), GnuTLS(CVE-2025-32988~32990), GOGS(CVE-2025-64175, CVE-2026-25242) 등 실제 CVE가 부여된 취약점들이 이 스캔에서 나왔다는 점은, 단순 경고 알림이 아니라 실제로 등록될 만한 이슈를 잡아냈다는 증거입니다. (출처: OpenAI 공식 릴리스 노트 부록, 2026.03.06)
오탐률 50% 감소라는 숫자, 기준이 뭔지 공식 문서에 있습니다
이게 사실 가장 조심해서 읽어야 하는 부분입니다. OpenAI는 “오탐률(False Positive Rate)이 50% 이상 감소했다”고 발표했는데, 이 숫자의 기준이 뭔지 공식 문서에 명확히 나와 있습니다. “베타 전체 저장소 기준으로, 초기 릴리스 이후 시간이 지나면서 오탐률이 50% 이상 줄었다”는 의미입니다. (출처: OpenAI 공식 릴리스 노트, 2026.03.06)
즉, 지금 현재의 오탐률 절댓값이 아닙니다. Aardvark였던 시절의 초기 수치 대비로 50%가 줄었다는 상대적 개선 수치입니다. 한 사례에서는 “초기 대비 노이즈가 84% 감소”했다고도 밝혔지만, 그것도 특정 저장소 1개 기준입니다. 실제로 쓸 새 저장소에 처음 적용했을 때 오탐률이 얼마나 될지는 현재로선 공개된 절댓값이 없습니다. (출처: OpenAI 공식 릴리스 노트, 2026.03.06)
💡 공식 발표 수치와 실제로 쓰는 환경을 같이 놓고 보니 이런 차이가 보였습니다. “50% 감소”는 베타 참여 팀들이 피드백을 반복적으로 준 저장소에서 나온 수치입니다. 위협 모델(Threat Model)을 커스터마이즈하지 않고 처음 스캔하면 노이즈가 높을 수 있고, OpenAI 공식 문서도 이를 위해 “위협 모델을 편집하라”고 명시합니다. (출처: developers.openai.com/codex/security/threat-model)
또한 “Severity 과다 보고율(over-reported severity)도 90% 이상 줄었다”는 수치도 같은 맥락입니다. 베타 초반에는 낮은 위험도를 Critical로 잘못 올리는 경우가 90% 이상 감소했다는 뜻입니다. 이건 오히려 초기 Aardvark 시절이 그만큼 부정확했다는 역설적인 고백이기도 합니다. (출처: OpenAI 공식 릴리스 노트, 2026.03.06)
Claude Code Security와 어떻게 다른지, 실사용 기준으로 나눠봤습니다
Codex Security가 나오기 2주 전, Anthropic도 Claude Code Security를 공개했습니다. 이 둘을 직접 비교한 Bugcrowd 제출 데이터를 보면 차이가 명확합니다. Reddit에 올라온 벤치마크(2026.02)에 따르면 Claude Code는 웹앱/API 테스트에서 강점을 보이고, Codex는 오픈소스 코드베이스를 통째로 읽는 상황에서 두드러집니다. (출처: Reddit /r/codex, 2026.02.03)
CometAPI 비교 분석에서는 보안 특화 관점에서 Claude Code가 BountyBench 익스플로잇 탐지율 57.5%인 반면 Codex는 32.5%를 기록했다는 수치도 있습니다. 단, 이 수치는 GPT-5.3 Codex 기반 비교이며, Codex Security 전용 모델 기준 수치는 아직 공개되지 않았습니다. (출처: CometAPI, cometapi.com/claude-code-vs-openai-codex, 2025.06 기준 / 현행 모델과 차이 있을 수 있음)
| 항목 | Codex Security | Claude Code Security |
|---|---|---|
| 출시 시점 | 2026.03.06 리서치 프리뷰 | 2026.02 출시 |
| 강점 영역 | 오픈소스 코드베이스 스캔 | 웹앱 / API 취약점 탐지 |
| GitHub 연동 | GitHub 저장소 직접 연결 | Claude Code CLI 통해 연동 |
| 샌드박스 검증 | ✅ 격리 환경 PoC 생성 | ✅ 지원 |
| 최소 비용 | Pro $200/월 이상 | API 종량제 또는 Max $200 |
| 무료 사용 | 1개월 (구독자 한정) | 확인 필요 |
※ 출처: OpenAI 공식 문서, CometAPI 비교 자료, Reddit 실사용 벤치마크 종합 / 일부 수치는 이전 모델 기준
실제로 쓰려면 이 단계에서 막힙니다
공식 문서(developers.openai.com/codex/security)에 따르면, Codex Security는 GitHub 저장소 연결을 통해서만 작동합니다. Codex Web 인터페이스에서 GitHub 저장소를 연결해야 하고, 저장소가 Codex Web 워크스페이스에 표시되지 않으면 OpenAI 계정 팀에 직접 문의해야 한다고 명시돼 있습니다. (출처: OpenAI Codex Security 공식 문서, 2026.03 기준)
이게 실제로 막히는 지점입니다. Enterprise 계정이 아니면 “계정 팀”이 없습니다. Pro($200/월) 구독자는 지원 채널이 다르고, 저장소 가시성 문제는 계정 설정이나 GitHub 조직 권한 문제일 수 있어서 혼자 해결하기 어려울 수 있습니다. 또한 오픈소스 유지관리자 프로그램(Codex for OSS)으로도 접근 가능하지만, 이 채널은 별도 신청이 필요하고 현재 초기 코호트를 점진적으로 늘려가는 중입니다. (출처: OpenAI 공식 릴리스 노트, 2026.03.06)
⚠️ 현재 시점에서 주의할 점
리서치 프리뷰 단계이므로 기능·가격·접근 조건은 정식 출시 시점에 변경될 수 있습니다. 특히 무료 1개월이 끝나는 시점(약 2026년 4월 6일 전후)에 과금 구조가 공개될 예정입니다. 현재로서는 정확한 금액이 공개되지 않았으므로, 업무 예산에 반영할 때는 OpenAI 공식 발표를 직접 확인하는 것이 맞습니다.
써봤다는 후기 입장에서 생각해보면, 초기 설정의 핵심은 위협 모델(Threat Model)을 얼마나 잘 다듬느냐입니다. OpenAI 문서도 “위협 모델을 편집하면 에이전트가 팀의 우선순위에 맞게 정렬된다”고 명시했습니다. 처음 자동 생성된 위협 모델을 그대로 쓰면 노이즈가 많이 나올 수 있고, 피드백을 반복해서 줄수록 정확도가 올라가는 구조입니다. (출처: OpenAI Codex Security 공식 문서, developers.openai.com/codex/security/threat-model)
Q&A — 많이 헷갈리는 것들
Q1. ChatGPT Plus $20 플랜이면 Codex Security 쓸 수 있나요?
쓸 수 없습니다. 현재 리서치 프리뷰는 ChatGPT Pro($200/월), Business($25~30/인/월), Enterprise, Edu 구독자에게만 제공됩니다. Plus 플랜은 해당 없습니다. (출처: OpenAI 공식 릴리스 노트, 2026.03.06)
Q2. 오픈소스 프로젝트 유지관리자인데 무료로 쓸 방법이 있나요?
있습니다. “Codex for OSS” 프로그램을 통해 신청할 수 있습니다. vLLM 같은 프로젝트가 이미 이 경로를 통해 사용 중이며, OpenAI는 점진적으로 코호트를 확대하는 중입니다. 신청 링크: openai.com/form/codex-for-oss (출처: OpenAI 공식 릴리스 노트, 2026.03.06)
Q3. 오탐률 50% 감소라는 수치, 믿어도 되나요?
맥락을 파악하고 판단해야 합니다. 이 수치는 Aardvark 베타 초기 대비 개선 수치이지, 현재 절대적 오탐률이 아닙니다. 새 저장소에 처음 적용하면 위협 모델이 미정제 상태이므로 노이즈가 많을 수 있습니다. 위협 모델 커스터마이즈가 핵심입니다. (출처: OpenAI 공식 릴리스 노트, 2026.03.06)
Q4. Codex Security와 기존 Codex(코딩 에이전트)는 같은 도구인가요?
다릅니다. 기존 Codex는 코드 작성을 자동화하는 코딩 에이전트이고, Codex Security는 보안 취약점 탐지·검증·패치 제안에 특화된 별개 에이전트입니다. 같은 Codex 브랜드 아래에 있지만 목적과 사용 방식이 다릅니다. (출처: OpenAI Codex Security 공식 문서)
Q5. 무료 1개월 이후 가격이 얼마나 나올까요?
현재로서는 확인 필요입니다. OpenAI는 구체적인 가격을 공개하지 않았습니다. TechRadar는 “별도 추가 비용이 생길 것”이라고 보도했고, 약 $20B 규모의 앱 보안 시장을 겨냥한 제품이라는 AInvest 분석을 참고하면 기업 대상 별도 과금 가능성이 높습니다. 무료 종료 시점(약 2026.04.06 전후) 이후 OpenAI 공식 발표를 확인하는 것이 필요합니다. (출처: TechRadar 2026.03.09, AInvest 2026.03.06)
마치며
Codex Security는 분명히 실용적인 도구입니다. 120만 커밋에서 실제 CVE 번호가 붙은 취약점을 찾아냈고, 그 데이터는 공식 문서에 구체적으로 명시돼 있습니다. Aardvark에서 5개월을 다듬어온 결과물이기도 하고, 오픈소스 생태계에 기여하려는 방향성도 나쁘지 않습니다.
다만, 개인적으로 아쉬운 건 접근 조건입니다. “무료 1개월”이라는 표현 뒤에 “$200 Pro 구독” 조건이 붙는 구조는 솔직한 커뮤니케이션이 아닙니다. 한 달 무료 이후의 가격을 동시에 공개했어야 했습니다. 그 부분은 기대했던 것과 달랐습니다.
보안팀을 갖춘 Enterprise 환경이라면 써볼 가치가 충분합니다. 위협 모델을 직접 다듬으면서 피드백을 주면 반복 스캔에서 정확도가 올라가는 구조이고, CVE 등록 실적도 증명됐습니다. 개인 개발자나 소규모 팀이라면 무료 1개월 동안 Pro 플랜을 쓰는 게 아니라면, Codex for OSS 신청이나 Claude Code Security의 API 종량제 쪽이 더 현실적인 선택일 수 있습니다.
본 포스팅 참고 자료
- ① OpenAI 공식 릴리스 노트 — Codex Security Research Preview (2026.03.06)
https://openai.com/ko-KR/index/codex-security-now-in-research-preview/ - ② OpenAI Codex Security 공식 개발자 문서 (2026.03 기준)
https://developers.openai.com/codex/security - ③ The Hacker News — OpenAI Codex Security Scanned 1.2 Million Commits (2026.03.07)
https://thehackernews.com/2026/03/openai-codex-security-scanned-12.html - ④ TechRadar — OpenAI releases Codex Security (2026.03.09)
https://www.techradar.com/pro/security/openai-releases-codex-security-… - ⑤ OpenAI Codex Pricing 공식 문서
https://developers.openai.com/codex/pricing/
본 포스팅은 2026년 3월 18일 기준으로 작성되었습니다. 본 포스팅 작성 이후 서비스 정책·UI·기능이 변경될 수 있습니다. Codex Security는 현재 리서치 프리뷰 단계이며, 정식 출시 시 가격·기능·접근 조건이 달라질 수 있습니다. 모든 수치는 OpenAI 공식 발표 기준이며, 공식 출처를 직접 확인하는 것을 권장합니다.
댓글 남기기