오픈AI가 코드의 보안 리뷰를 자동화하는 AI 에이전트 코덱스 시큐리티(Codex Security)를 발표했다. 다른 에이전트 툴에서는 놓칠 수 있는 복잡한 취약점도 특정하고 수정안을 제시할 수 있으며 시스템 보안을 대폭 향상시킬 수 있다고 밝혔다.
오픈AI에 따르면 실제 보안 리스크를 평가하려면 컨텍스트가 불가결하지만 AI 보안 툴 대부분은 영향도가 낮은 검출 결과나 오탐에만 플래그를 달기 때문에 플래그를 검증하기 위해 인간 보안팀이 막대한 시간을 소비해야 했다. 동시에 AI로 소프트웨어 개발이 가속화되는 가운데 보안 리뷰는 가속화가 어려운 중요한 과제가 되고 있었다. 이 같은 문제에 대처하기 위해 오픈AI는 2025년 10월 인간처럼 코드를 읽고 보안 조치를 수행하는 AI 에이전트 아드바크(Aardvark)를 발표했다.
아드바크는 오픈AI 사내에서 운영됐을 뿐 아니라 프라이빗 베타 버전으로 소수 사용자를 대상으로 시작됐다. 베타 기간 중 노이즈를 줄이고 중요도 정확도를 개선하며 오탐을 줄여 검출 결과 품질도 대폭 향상됐다. 코덱스 시큐리티는 바로 이런 아드바크 진화판으로 등장했다.
코덱스 시큐리티는 오픈AI 최첨단 AI 모델을 통한 추론과 코덱스 에이전트 자동 검증을 결합해 신뢰성 높은 검출 결과와 실용적인 수정안을 제공한다.
코덱스 시큐리티 특징을 살펴보면 먼저 시스템 구조를 이해하고 위협 모델을 자동 생성. 스캔을 설정하면 리포지터리를 분석해 시스템 구조와 보안상 중요한 포인트를 파악한다. 그 위에 시스템이 무엇을 하는지, 어디를 신뢰하는지, 어디가 공격받기 쉬운지를 정리한 프로젝트 전용 위협 모델을 자동 생성한다. 이 위협 모델은 사용자가 편집할 수 있어 에이전트와 팀을 연계하면서 조정이 가능하다.
다음은 취약점을 우선순위에 따라 검출하고 실제 문제인지 검증. 작성된 위협 모델을 바탕으로 코드를 조사하고 취약점을 검출한다. 검출된 문제가 실제 시스템에서 어느 정도 영향을 미치는지를 기준으로 우선순위를 매기고, 가능한 경우 샌드박스 환경에서 검증을 수행해 실제로 문제인지를 확인한다. 이 상세한 검증을 통해 오탐을 줄이고 실용적인 개념증명(PoC)도 생성할 수 있어 보안팀은 보다 강력한 근거와 명확한 수정 절차를 확보할 수 있다.
다음은 시스템 전체 맥락을 고려한 수정안 제시. 발견된 취약점에 대해 코덱스 시큐리티는 시스템 설계 의도와 주변 코드와의 관계를 고려한 수정안을 제시한다. 이를 통해 보안을 강화하면서도 기존 기능을 망가뜨리는 회귀 버그를 최소화한 수정이 가능해진다. 또 사용자는 결과를 필터링해 중요도가 높은 문제에 집중할 수 있다.
We’re introducing Codex Security.
An application security agent that helps you secure your codebase by finding vulnerabilities, validating them, and proposing fixes you can review and patch.
Now, teams can focus on the vulnerabilities that matter and ship code faster.… pic.twitter.com/t45Wkm7Rda
— OpenAI Developers (@OpenAIDevs) March 6, 2026
오픈AI에 따르면 코덱스 시큐리티는 베타 코호트에서 외부 리포지터리 전체에 걸쳐 120만 건 이상을 스캔해 중대한 발견 사항 792건과 비교적 중요도가 높은 발견 사항 1만 561건을 특정했다. 중대한 문제로 분류된 건 전체 0.1% 미만으로 대량 문제를 검출해 리뷰 담당자 부담이 늘어난다는 문제를 최소화할 수 있다는 걸 보여준다고 밝혔다. 오픈AI는 개발팀은 중요한 취약점에 집중하고 안전한 코드를 더 신속하게 릴리스할 수 있게 된다고 말했다.
실제로 코덱스 시큐리티를 사용한 개발자 숀 모리아티(Sean Moriarty)는 자사 코드베이스에서 실행한 결과 24시간 만에 5,000개 커밋을 스캔해 275개 문제를 발견했다며 이미 코덱스 시큐리티가 제안한 수정안 15개를 코드에 채택했는데 거의 수정 없이 그대로 사용할 수 있었다고 밝혔다. 이어 코덱스 시큐리티가 생성한 위협 모델은 정확하고 상세하며 검출 정확도도 높다고 느끼고 있다면서 모든 결과 검증이 끝나면 정확한 통계도 공유할 예정이라고 높이 평가했다.
코덱스 시큐리티는 챗GPT 엔터프라이즈, 비즈니스, 에듀, 챗GPT 프로 사용자를 대상으로 연구 프리뷰로 제공되기 시작했으며 4월에는 무료로 이용 가능해질 예정이다. 관련 내용은 이곳에서 확인할 수 있다.
![[AI서머리] D2SF, 피지컬 AI 로봇 스타트업에 신규 투자‧’2026 미디어 스타트업 지원사업’ 공모](https://startuprecipe.co.kr/wp-content/uploads/2026/03/260310_k-mga.or_.kr_503205035-75x75.jpg)
