리서치 프리뷰
IT/AI
Codex Security, 무료 1개월이라고요?
이 조건 먼저 보세요
결론부터 말씀드리면, Codex Security는 지금 당장 무료로 쓸 수 있습니다. 그런데 TechRadar 보도에 따르면 1개월 후 유료 전환 예정이고, 현재 OpenAI가 가격을 공개하지 않고 있습니다. 무료라는 말에 넘어가기 전에 실제 스펙과 조건을 먼저 확인해야 합니다.
Aardvark에서 Codex Security로 — 뭐가 달라졌나요?
Codex Security는 갑자기 튀어나온 게 아닙니다. OpenAI가 2025년 10월 30일 Aardvark라는 이름으로 비공개 베타를 시작했고, 그게 약 4개월의 내부 테스트를 거쳐 2026년 3월 6일 리서치 프리뷰로 전환된 겁니다. (출처: OpenAI 공식 Aardvark 소개 페이지, 2025.10.30)
Aardvark는 원래 OpenAI 자체 코드베이스를 지키기 위해 만든 사내 도구였습니다. 자기네 인프라를 먼저 긁어보고 성능이 검증되자 외부에 공개한 것이죠. 이 맥락이 중요합니다. 즉, 이 도구는 처음부터 “OpenAI 수준의 코드 복잡도”를 견디도록 설계됐습니다.
베타 기간 동안 OpenAI는 동일한 저장소를 반복 스캔해 시간이 지날수록 정확도가 올라가는 것을 확인했다고 공식 블로그에서 밝혔습니다. 처음 스캔 때보다 재스캔 시 더 정밀한 결과가 나오는 구조입니다. 이 점은 뒤에서 더 중요해집니다. (출처: OpenAI 공식 Codex Security 출시 발표, 2026.03.06)
수치가 말하는 것, 그리고 말하지 않는 것
OpenAI가 발표한 숫자들은 꽤 인상적입니다. 30일 베타 기간 동안 120만 개 이상의 커밋을 스캔해서 취약점 후보 792개를 추출했고, 그 중 561개가 실제로 재현 가능한 것으로 검증됐습니다. 노이즈는 84% 줄었고, 과장된 심각도로 보고되는 케이스는 90% 이상 감소, 오탐(False Positive)은 50% 줄었다고 합니다. (출처: OpenAI 공식 Codex Security 출시 발표, 2026.03.06)
💡 공식 발표 수치와 실제 작동 흐름을 함께 놓고 보니 이런 차이가 보였습니다
792개 후보 중 561개가 검증됐다는 건 약 70.8%의 재현율을 의미합니다. 뒤집어 보면 나머지 약 29%는 “후보로 뽑혔지만 실제로 재현하지 못한” 케이스입니다. OpenAI는 FP를 50% 줄였다고 했지만, 절대적 FP가 0이 아니라는 사실은 공식 FAQ에서도 명시하고 있습니다. 즉, 아직 사람이 검토해야 하는 구간이 남아 있습니다.
또 하나 확인해야 할 수치가 있습니다. Beeble의 분석에 따르면 같은 스캔에서 10,561개의 high-severity 이슈가 발견됐습니다. (출처: Beeble, 2026.03.08) 792개의 critical과 10,561개의 high-severity를 합치면 1만 개가 넘는 이슈 목록이 나온다는 뜻입니다. 이게 의미하는 건 도구가 강력하다는 것이기도 하지만, 팀이 이 결과를 소화할 역량이 준비됐는지도 같이 고민해야 한다는 겁니다.
또한 Codex Security가 발견한 CVE 중 여럿이 GnuTLS, GOGS, gpg-agent 같은 오픈소스 프로젝트에서 나왔습니다. 이는 OpenAI 코드베이스만이 아니라 오픈소스 생태계 전반에 적용되고 있다는 신호이기도 합니다.
무료인데 왜 조건이 있나요?
TechRadar는 3월 9일 기사에서 중요한 문장 하나를 적었습니다. “무료로 한 달 사용할 수 있으며, 이는 이후 추가 비용이 발생할 것을 시사한다.” (출처: TechRadar, 2026.03.09) OpenAI는 1개월 후의 가격을 현재 공개하지 않고 있습니다.
💡 “무료”라는 표현의 전제 조건이 있습니다
현재 Codex Security를 사용하려면 ChatGPT Pro($200/월), Enterprise, Business, Edu 플랜 중 하나여야 합니다. 즉, 무료 사용의 전제 조건 자체가 이미 월 최소 수십만 원의 구독료를 내는 사람입니다. 진짜 무료는 아니고, 플랜 내 무료 추가 기능 형태입니다.
더불어 접근 방식도 단순하지 않습니다. GitHub 저장소를 Codex Web에 연결해야 하고, 저장소가 보이지 않거나 접근 문제가 생기면 OpenAI 계정 팀에 직접 연락해야 합니다. 개인 개발자 혼자서 뚝딱 연결되는 구조가 아닌 거죠. (출처: OpenAI 공식 Codex Security 개발자 문서, 2026)
솔직히 말하면, 지금 Codex Security는 엔터프라이즈 팀을 위한 도구입니다. 개인 개발자나 소규모 스타트업이 “한번 써볼까”라고 접근하기엔 진입 문턱이 생각보다 높습니다.
막상 써보면 이 단계에서 멈춥니다
공식 FAQ에는 눈에 잘 안 띄지만 중요한 내용이 있습니다. “초기 스캔 시간은 저장소 크기, 빌드 시간, 검증 단계로 넘어가는 취약점 수에 따라 달라진다. 일부 저장소는 몇 시간이 걸리고, 대형 저장소는 며칠이 걸릴 수 있다.” (출처: OpenAI Codex Security FAQ 공식 문서, 2026)
💡 “빠른 자동화”라고 기대했다면 실제 흐름이 다릅니다
Codex Security의 분석 파이프라인은 4단계로 구성됩니다: 위협 모델 생성 → 커밋 스캔 → 샌드박스 검증 → 패치 제안. 전통적인 SAST 툴이 수 분 안에 결과를 내주는 것과 달리, 이 도구는 “깊이 생각하는” 에이전트이기 때문에 시간이 훨씬 더 걸립니다. CI/CD 파이프라인에 넣으려면 이 대기 시간을 감안해야 합니다.
또 한 가지, 저장소에 연결 후 Codex Security는 커밋 단위로 스캔합니다. 초기 스캔이 오래 걸리더라도 이후 증분 스캔은 신규 커밋 중심으로 돌아서 훨씬 빠릅니다. 즉, 처음 한 번을 버티면 이후엔 훨씬 효율적으로 돌아가는 구조입니다.
위협 모델(Threat Model)을 수동으로 편집할 수 있다는 점도 기억해야 합니다. 기본 설정으로만 두면 일반적인 보안 가정이 적용되는데, 저장소의 아키텍처나 비즈니스 맥락에 맞게 직접 수정할수록 결과 품질이 올라간다고 OpenAI는 명시하고 있습니다.
기존 SAST 툴과 뭐가 다른 건데요?
많은 블로그 포스팅이 “Codex Security가 기존 SAST보다 훨씬 뛰어나다”는 식으로 쓰는데, OpenAI 공식 FAQ는 다르게 말합니다. “Codex Security는 SAST를 대체하지 않습니다. 시맨틱 추론과 자동 검증을 추가하는 보완재이며, 기존 SAST 툴은 여전히 광범위한 결정론적 커버리지를 제공합니다.” (출처: OpenAI Codex Security FAQ 공식 문서, 2026)
| 항목 | 전통적 SAST (Snyk, Semgrep 등) | Codex Security |
|---|---|---|
| 분석 방식 | 패턴 매칭·휴리스틱 | 에이전틱 추론 + 맥락 이해 |
| 오탐(FP) 수준 | 높음 (수동 트리아지 필요) | 50% 감소 (단, 0은 아님) |
| 스캔 속도 | 수 분 이내 빠름 | 몇 시간~며칠 (초기) |
| 패치 제안 | 일반적 권고 링크 | 맥락 반영 코드 패치 (자동 적용 아님) |
| 접근 요건 | 무료 ~ 유료 다양 | ChatGPT Pro 이상 필수 |
표에서 보이듯이 Codex Security는 “복잡한 취약점을 맥락 포함해 검증”하는 데 강점이 있고, 기존 SAST는 “빠르고 넓게 훑는” 데 강합니다. 실무에서는 기존 SAST를 CI 파이프라인에 빠른 게이트로 유지하면서, Codex Security를 심층 감사나 레거시 코드 점검에 투입하는 방식이 현실적입니다.
AI가 패치를 자동으로 적용해준다고요? 이건 아닙니다
Codex Security 소개 영상을 보면 “AI가 취약점을 찾고 패치까지”라는 인상을 받기 쉽습니다. 그런데 공식 FAQ는 단호하게 못을 박습니다. “Codex Security는 패치를 자동 적용하지 않습니다. 제안된 패치는 권장 수정 사항이며, 사용자가 GitHub PR로 검토한 후 직접 적용합니다.” (출처: OpenAI Codex Security FAQ 공식 문서, 2026)
⚠️ 자동 패치 기대는 확인 필요
Beeble의 분석에 따르면 LLM 기반 도구는 “환각(hallucination)” 가능성이 있어, AI가 제안한 패치가 다른 로직 오류를 만들어낼 수 있습니다. 패치를 검토 없이 병합하는 건 취약점을 고치다 다른 문제를 만드는 리스크입니다. 반드시 스테이징 환경에서 검증하고 PR을 리뷰해야 합니다.
반대로, 검증(Auto-Validation) 단계는 실제로 격리 컨테이너에서 취약점 재현을 시도하고 성공·실패 여부와 로그를 함께 제공합니다. 이 부분은 기존 SAST가 제공하지 못하는 진짜 강점입니다. 재현 증거가 붙어 있으니 개발자가 우선순위를 정하기 훨씬 쉬워집니다.
이 도구를 제대로 쓰려면 결국 “AI가 해줬으니 됐다”가 아니라 AI가 제출한 결과를 전문가가 최종 확인하는 협업 구조가 갖춰져야 합니다. 인력을 줄여주는 도구라기보다, 전문가의 집중 지점을 바꿔주는 도구에 가깝습니다.
Q&A
마치며 — 써볼 만한데, 이렇게 접근하면 좋습니다
Codex Security는 분명히 기존 AI 보안 도구들이 하지 못했던 것을 합니다. 단순 패턴 탐지가 아니라 코드 맥락을 이해하고 샌드박스에서 직접 재현을 시도하는 접근 방식은 진짜 다릅니다. 노이즈 84% 감소, FP 50% 감소, 과장 심각도 90% 이상 감소라는 공식 수치는 보안팀의 트리아지 부담을 실질적으로 줄여줄 수 있습니다.
그런데 기대했던 것과 달랐던 부분도 있습니다. SAST를 대체하지 않고, 패치를 자동 적용하지 않으며, 대형 저장소는 며칠이 걸릴 수 있고, 유료 가격은 아직 미공개입니다. 지금 이 순간 “무료라니 써보자”라는 마음이라면 한 달 안에 실제로 연결해서 결과를 검토해보는 게 좋습니다. 가격이 공개되기 전에 본인 팀에 필요한 도구인지 직접 판단할 수 있는 유일한 창입니다.
개인적인 관점에서는, 레거시 코드베이스가 쌓인 팀이라면 지금 이 한 달 무료 기간이 꽤 값집니다. 오래된 코드를 다시 보안 관점에서 훑어줄 전문 리소스가 없는 팀에게 Codex Security는 꽤 현실적인 대안이 될 수 있습니다.
📎 본 포스팅 참고 자료
본 포스팅은 2026년 3월 18일 기준으로 작성되었습니다. 본 포스팅 작성 이후 서비스 정책·UI·기능이 변경될 수 있습니다. 특히 Codex Security는 현재 리서치 프리뷰 단계로, 가격·기능·접근 조건이 향후 업데이트로 달라질 수 있습니다.
댓글 남기기