오픈AI는 AI를 활용해 전 세계 조직의 사이버 보안 역량을 강화하는 '데이브레이크'를 확대한다고 23일 밝혔다. 데이브레이크는 소프트웨어 취약점 발견을 넘어, 검증과 위험도 평가, 패치 개발·테스트 및 배포까지 이어지는 전체 수정 과정을 가속하는 것을 목표로 하는 오픈AI의 사이버 보안 이니셔티브다.
오픈AI는 데이브레이크 확대를 통해 코덱스 시큐리티 플러그인을 공개했다. 코덱스 시큐리티는 경고 생성을 넘어 팀의 코드와 위협 모델을 이해하고, 위협 모델이 없다면 새로 생성하며, 잠재적인 취약점을 식별한다. 또한 영향을 받는 코드에 실제로 접근할 수 있는지 판단하고, 검증 절차에 필요한 근거를 수집하며, 해당 문제에 맞는 패치를 개발하고 그 결과를 검증한다. 발견된 취약점의 추가 조사와 패치 적용 여부는 개발자와 보안 담당자가 결정한다.
검증된 방어 전문가들을 위한 GPT-5.5-사이버 정식 버전도 제한적으로 공개했다. 범용 지능과 장기간의 복잡한 작업을 수행하는 능력을 유지하면서도, 소프트웨어 취약점을 발견하고 패치하는 데 도움을 주는 오픈AI의 가장 강력한 모델이다. 이 모델은 대규모 코드베이스에서 보안 관련 구성 요소와 공격 경로를 분석하고, 통제된 환경에서 취약점을 검증하며, 패치를 개발·테스트할 수 있도록 지원한다. 알려진 취약점 재현 역량을 평가하는 사이버 보안 벤치마크인 사이버짐(CyberGym)에서 85.6%를 기록해 GPT-5.5의 81.8%를 넘어섰다.
오픈AI는 선정된 보안 소프트웨어 및 서비스 파트너들이 GPT-5.5와 사이버 보안을 위한 신뢰 기반 접근을 고객용 제품과 서비스에 활용할 수 있도록 지원하는 데이브레이크 사이버 파트너 프로그램도 출범한다.
아울러 오픈소스 프로젝트 유지 관리자들이 취약점 발견에서 실제 수정까지 나아가도록 지원하는 '패치 더 플래닛' 프로그램을 시작했다. 오픈AI는 보안 연구 기업 트레일 오브 비츠(Trail of Bits)와 함께 보안 연구자들이 첨단 모델과 코덱스 시큐리티를 활용해 오픈소스 프로젝트의 취약점을 검증하고 패치할 수 있도록 돕고 있다. 해커원과 칼리프는 취약점 분류와 조율된 공개, 추가적인 취약점 탐색을 지원하고 있다.
현재 30개가 넘는 오픈소스 프로젝트가 프로그램 참여 의사를 밝혔다. 초기 참여 프로젝트에는 인터넷 데이터 전송 도구 cURL, 오픈소스 프로그래밍 언어 고(Go)와 파이썬(Python), 소프트웨어 출처와 무결성을 검증하는 시그스토어(Sigstore), 파이썬용 암호화 라이브러리 pyca/cryptography 등이 포함됐다. 참여 프로젝트에는 챗GPT 프로 이용 권한과 조건부 코덱스 시큐리티 이용 권한, 핵심 개발·유지 관리 업무 자동화와 배포를 위한 API 크레딧이 제공된다.
오픈AI는 사이버 보안 역량이 더욱 강화된 AI 모델의 등장에 대비해 미국 정부와 연방기관은 물론 각국 정부·기관과도 협력하고 있다. 지난 한 달 동안 한국, 호주, 캐나다, 프랑스, 독일, 일본을 비롯해 유럽연합 사이버보안청(ENISA) 등 EU 기관들과 '트러스티드 액세스 포 사이버(Trusted Access for Cyber)' 파트너십을 구축했다.
오픈AI는 데이브레이크를 통해 최첨단 모델과 코덱스 시큐리티, 패치 더 플래닛, 전문 연구자, 오픈소스 유지 관리자, 보안 파트너, 핵심 인프라 운영 기관 및 신뢰 기반 접근 통제를 하나로 연결해 방어자들이 사이버 보안 위협에 대응할 수 있도록 지원한다는 방침이다.
오픈AI는 "궁극적인 목표는 AI 모델을 활용해 더 많은 취약점을 찾는 데 그치지 않고, 더 안전한 소프트웨어와 강력한 사이버 복원력을 갖춘 환경으로 나아가는 것"이라고 밝혔다.