Codex Security, 무료 1달 끝나면
쓸 수 있는 조건 따로 있습니다
OpenAI가 2026년 3월 6일 Codex Security를 리서치 프리뷰로 공개했습니다. 지금은 무료지만, 이 툴을 계속 쓰려면 요금제와 환경 조건이 동시에 맞아야 합니다. 수치부터 먼저 보겠습니다.
Codex Security가 뭔지 — 30초 요약
OpenAI가 2026년 3월 6일 공개한 Codex Security는 코드베이스의 취약점을 탐지하고 패치까지 제안하는 AI 보안 에이전트입니다. 기존에 “Aardvark”라는 코드명으로 2025년 10월 프라이빗 베타에서 운용하다가 이번에 리서치 프리뷰로 공식 전환됐습니다. (출처: OpenAI 공식 블로그, 2026.03.06)
ChatGPT 웹의 Codex 탭(chatgpt.com/codex/security)에서 GitHub 저장소를 연결하면 바로 쓸 수 있습니다. 지금 당장은 Pro, Enterprise, Business, Edu 요금제 가입자 모두 1개월 무료입니다.
중요한 건 무료 기간이 끝난 뒤입니다. 이후 요금 체계가 아직 공개되지 않았고, 쓸 수 있는 환경 조건도 제한이 있습니다. 그 부분을 아래에서 순서대로 짚어드립니다.
버그를 더 많이 찾는 게 목표가 아닙니다
💡 공식 발표문과 베타 데이터를 같이 놓고 보니, 이 툴의 설계 목표가 기존 보안 스캐너와 정반대였습니다.
보안 툴은 많이 찾을수록 좋다고 생각하기 쉽습니다. 실제로 기존 SAST 도구인 Semgrep이나 Snyk은 “더 많은 탐지”를 강점으로 내세웁니다. 그런데 Codex Security는 정반대 방향을 택했습니다. 공식 발표문에서 OpenAI가 명시한 목표는 “의미 없는 버그 알림에서 팀을 해방시키는 것”입니다. (출처: OpenAI 공식 블로그, 2026.03.06)
베타 기간 수치를 보면 방향이 더 선명합니다. 초기 대비 노이즈(저품질 알림)가 84% 감소했고, 심각도가 과장된 결과는 90% 줄었습니다. 오탐율(false positive)은 50% 감소했습니다. (출처: OpenAI 공식 블로그, 2026.03.06) 보안팀이 하루 종일 “이게 진짜 위협인가” 판단하는 시간이 절반 이하로 줄어드는 겁니다.
더 적은 알림, 더 높은 신뢰도 — 이게 Codex Security가 내세우는 핵심입니다. 단순히 탐지 성능이 아니라, 보안팀의 판단 피로도를 줄이는 게 설계 목표였습니다.
실제로 어떻게 작동하는가 — 3단계 흐름
Codex Security는 공식 문서 기준으로 탐지 → 검증 → 패치 제안 세 단계로 움직입니다. (출처: OpenAI Help Center, 2026.03.06) 단계별로 뭘 하는지 짚으면 기존 툴과 어디서 달라지는지 보입니다.
위협 모델을 먼저 만들고 취약점을 찾습니다
저장소를 연결하면 Codex Security가 코드베이스를 분석해 공격 진입점, 신뢰 경계, 민감 데이터 흐름을 담은 “위협 모델”을 자동으로 생성합니다. 이 모델은 편집 가능해서 팀 환경에 맞게 수정할 수 있습니다. 전통적인 스캐너가 코드를 라인별로 훑는 것과 달리, 시스템 전체 맥락에서 취약점 후보를 좁힙니다.
격리 환경에서 실제로 재현해보고 나서 보고합니다
취약점 후보를 샌드박스 환경에서 직접 재현 시도합니다. 재현이 성공해야만 결과를 팀에 보고하고, 재현 불가 시엔 필터링합니다. 공식 문서에 따르면 이 단계에서 개념증명(PoC) 아티팩트도 함께 생성됩니다. (출처: OpenAI Help Center, 2026.03.06) 오탐율이 낮은 이유가 여기에 있습니다.
코드를 자동으로 바꾸진 않고, PR로 올려줍니다
검증된 취약점에는 최소한의 패치 제안이 붙습니다. 중요한 건 Codex Security가 코드를 자동으로 수정하지 않는다는 점입니다. 패치는 리뷰를 위해 제시되고, 팀이 승인하면 PR로 전환할 수 있습니다. 패치 적용 후 재검증도 가능합니다. (출처: OpenAI Help Center, 2026.03.06)
베타 30일에서 나온 수치, 직접 계산해봤습니다
💡 1.2M 커밋 중 Critical이 792개라는 수치, 비율로 계산하면 생각보다 낮습니다. 그게 오히려 강점입니다.
OpenAI 공식 발표에 따르면 30일 베타 기간 동안 외부 저장소에서 1,200,000개 커밋을 스캔했습니다. 이 중 Critical 등급 취약점은 792개, High 등급은 10,561개가 나왔습니다. (출처: The Hacker News, 2026.03.07 / OpenAI 공식 블로그, 2026.03.06)
792 ÷ 1,200,000 = 약 0.066%
→ 커밋 1,500개당 1개꼴로 Critical 취약점 발견
커밋 1,500개 중 단 1개만 Critical로 분류됩니다. 기존 스캐너가 수백 개 알림을 쏟아내는 것과 비교하면, 신호 대비 잡음 비율이 완전히 다른 수준입니다.
특히 GnuPG(CVE-2026-24881, CVE-2026-24882), GnuTLS(CVE-2025-32988, CVE-2025-32989), GOGS(CVE-2025-64175, CVE-2026-25242) 등 실제 오픈소스 프로젝트에서 14개의 CVE가 공식 등록됐습니다. (출처: OpenAI 공식 블로그, 2026.03.06) AI가 이론적 취약점이 아니라, 실제로 악용 가능한 취약점을 발견했다는 증거입니다.
| 구분 | 탐지 건수 | 전체 대비 비율 | 비고 |
|---|---|---|---|
| Critical | 792개 | 약 0.07% | CVE 등록 다수 포함 |
| High | 10,561개 | 약 0.88% | 샌드박스 검증 완료 |
| 전체 스캔 | 1,200,000개 | — | 30일 베타 기준 |
출처: OpenAI 공식 블로그, 2026.03.06 / The Hacker News, 2026.03.07
무료 1달 이후 — 쓰기 위한 조건 3가지
1개월 무료가 끝난 뒤 Codex Security를 계속 사용하려면 아래 세 가지 조건이 모두 맞아야 합니다.
ChatGPT Pro·Enterprise·Business·Edu 요금제
Free, Plus 요금제에서는 접근 자체가 안 됩니다. 가장 저렴한 Pro도 월 $200(약 28만 원)입니다. 리서치 프리뷰 종료 후엔 추가 요금이 붙을 가능성도 있습니다 — OpenAI가 아직 가격을 공개하지 않은 부분입니다. (출처: TechRadar, 2026.03.09)
GitHub Cloud 저장소 사용 환경
현재 Codex Security는 GitHub 저장소에만 연결됩니다. GitLab, Bitbucket, Azure DevOps를 사용하는 팀은 이 기능을 쓸 수 없습니다. 공식 문서도 “현재 GitHub Cloud를 사용하지 않는다면 낮은 위험도의 저장소부터 시범 운용을 권장한다”고 명시합니다. (출처: OpenAI Help Center, 2026.03.06)
Enterprise·Edu는 워크스페이스 관리자 권한 설정 필요
Enterprise, Edu 워크스페이스에서는 관리자가 별도로 Codex Security 사용 권한을 켜야 합니다. ChatGPT 관리자 콘솔 → Workspace Settings → Permissions → Codex Cloud 항목에서 “Allow members to use Codex Security”를 활성화해야 합니다. RBAC(역할 기반 접근 제어) 및 SCIM 그룹 단위로도 제어 가능합니다. (출처: OpenAI Help Center, 2026.03.06)
GitHub 없으면 시작도 못 합니다
💡 공식 문서와 실제 저장소 이슈를 같이 보니, “GitHub 전용”이라는 제약이 국내 기업 환경에서 생각보다 높은 장벽입니다.
국내 금융권, 공공기관, 중견 이상 기업 상당수는 보안 정책상 GitLab 자체 호스팅이나 Bitbucket을 사용합니다. Codex Security는 현재 이 환경을 지원하지 않습니다. GitHub 저장소 이슈에도 GitLab, Bitbucket 지원 요청이 올라와 있지만 OpenAI가 공식 답변을 내놓지 않은 상태입니다. (출처: GitHub openai/codex Issues #15618, 2026.03.24)
솔직히 말하면, 지금 당장 GitHub Cloud를 메인으로 쓰는 팀이 아니라면 무료 기간에 “맛보기” 정도 수준에서 머무를 가능성이 높습니다. 반대로 GitHub를 이미 쓰고 있고 보안팀의 triage 부담이 큰 팀이라면, 1개월 무료 기간 동안 실제 저장소를 연결해서 오탐율 변화를 직접 측정해볼 가치는 있습니다.
비교 관점에서 보면 Anthropic이 2026년 2월 공개한 Claude Code Security도 비슷한 컨셉이지만, Codex Security는 OpenAI 자체 frontier 모델과의 통합, 샌드박스 검증, 위협 모델 편집 기능에서 차별화를 시도하고 있습니다. (출처: The Hacker News, 2026.03.07)
자주 묻는 질문
Q1. Codex Security가 코드를 자동으로 수정하나요?
아닙니다. 패치를 제안하고 PR로 올려주는 것까지만 합니다. 코드에 직접 손을 대지 않습니다. 최종 머지는 반드시 사람이 결정합니다. (출처: OpenAI Help Center, 2026.03.06)
Q2. ChatGPT Plus 요금제로 쓸 수 있나요?
Plus는 안 됩니다. Pro($200/월 이상), Business, Enterprise, Edu 요금제만 접근 가능합니다. 무료 기간에도 동일한 조건이 적용됩니다. (출처: The Hacker News, 2026.03.07)
Q3. GitLab이나 Bitbucket 저장소도 연결되나요?
현재는 GitHub Cloud만 지원합니다. GitLab, Bitbucket 지원 계획은 공식적으로 밝혀진 바가 없습니다.
Q4. 1개월 무료 이후 가격이 얼마인가요?
OpenAI가 아직 구체적인 가격을 발표하지 않았습니다. TechRadar가 “무료 기간 이후 추가 비용이 붙을 것임을 시사한다”고 보도했지만 공식 수치는 없습니다. (출처: TechRadar, 2026.03.09)
Q5. 기존 Semgrep, Snyk와 함께 써야 하나요, 대체되나요?
OpenAI는 “대체”를 말하지 않습니다. Codex Security는 탐지 건수보다 고신뢰도 결과에 집중하는 설계입니다. 당장 기존 툴을 끊기보다, 병행 운용하면서 오탐율 차이를 직접 비교해보는 접근이 현실적입니다.
마치며
Codex Security는 “보안 알림을 줄이는 보안 툴”이라는, 처음엔 어색하게 느껴지는 방향을 택했습니다. 그런데 베타 수치를 보면 이게 꽤 설득력 있습니다. 노이즈 84% 감소, 오탐율 50% 감소 — 보안팀이 실제로 소진하는 에너지가 어디서 나오는지를 정확히 짚었습니다.
다만 지금 당장 모든 팀에게 권하긴 이릅니다. GitHub 전용이라는 제약은 생각보다 큰 장벽이고, 1개월 무료 이후 가격이 공개되지 않은 상태입니다. ChatGPT Pro 이상 요금제도 기본으로 깔려 있어야 합니다.
결론부터 말씀드리면 — GitHub를 이미 메인으로 쓰고 있고, 보안팀의 triage 부담이 실제로 크다면 1개월 무료 기간에 한번 써볼 이유는 충분합니다. 그게 아니라면, 가격 공개 이후에 판단해도 늦지 않습니다.
본 포스팅 작성 이후 서비스 정책·UI·기능이 변경될 수 있습니다. OpenAI Codex Security는 현재 리서치 프리뷰 단계로, 기능·요금·지원 환경이 정식 출시 시 달라질 수 있습니다. 주요 결정은 반드시 공식 문서를 직접 확인 후 진행하시기 바랍니다.
댓글 남기기