OpenAI, GPT-5 기반 보안 에이전트 '아드바크' 공개...자율적 취약점 탐지·패치 제공

OpenAI가 소프트웨어 보안 취약점을 자동으로 발견하고 수정하는 AI 에이전트 아드바크를 발표했다. 현재 비공개 베타로 제공되고 있다.

[한국정보기술신문] OpenAI가 10월 30일 GPT-5 기반의 자율 보안 연구 에이전트 아드바크를 공개했다. 아드바크는 소프트웨어 코드베이스의 보안 취약점을 자동으로 식별하고 수정 방안을 제시하는 AI 도구로, 현재 선별된 파트너들을 대상으로 비공개 베타 테스트를 진행 중이다.

OpenAI는 공식 발표를 통해 아드바크가 AI와 보안 연구 분야의 획기적인 진전을 나타낸다고 밝혔다. 이 시스템은 소스코드 저장소를 지속적으로 분석하여 취약점을 발견하고, 악용 가능성을 평가하며, 심각도에 따라 우선순위를 매긴 후 맞춤형 패치를 제안한다.

전통적 방식 대신 LLM 기반 추론 활용

아드바크는 퍼징이나 소프트웨어 구성 분석과 같은 전통적인 프로그램 분석 기법에 의존하지 않는다. 대신 대규모 언어모델 기반의 추론과 도구 사용을 통해 코드 동작을 이해하고 취약점을 식별한다.

OpenAI는 아드바크가 인간 보안 연구원처럼 코드를 읽고 분석하며, 테스트를 작성하고 실행하는 방식으로 버그를 찾는다고 설명했다. 시스템은 다단계 파이프라인을 통해 작동한다. 먼저 전체 저장소를 분석하여 프로젝트의 보안 목표와 설계를 반영한 위협 모델을 생성한다. 그 다음 새로운 코드가 커밋될 때 전체 저장소와 위협 모델을 대조하며 커밋 수준의 변경사항을 검사하여 취약점을 찾아낸다.

92퍼센트 취약점 탐지율 기록

벤치마크 테스트에서 아드바크는 알려진 취약점과 인위적으로 도입된 취약점의 92퍼센트를 식별하여 높은 재현율과 실제 효과성을 입증했다. 또한 오픈소스 프로젝트에 적용되어 다수의 취약점을 발견했으며, 그 중 10건은 공통 취약점 및 노출 식별자를 부여받았다.

아드바크는 수개월간 OpenAI의 내부 코드베이스와 외부 알파 파트너들의 코드베이스에서 운영되어 왔다. OpenAI 내부에서는 의미 있는 취약점들을 발견했으며, 파트너들은 복잡한 조건에서만 발생하는 문제들을 찾아내는 아드바크의 심층 분석 능력을 높이 평가했다.

시스템은 보안 취약점뿐만 아니라 논리 결함, 불완전한 수정사항, 개인정보 보호 문제와 같은 버그도 발견할 수 있는 것으로 나타났다.

오픈소스 생태계 지원 계획

OpenAI는 수십 년간 오픈 연구와 책임 있는 공개의 수혜자로서, 디지털 생태계를 모두에게 더 안전하게 만드는 도구와 연구 결과를 제공하는 데 전념한다고 밝혔다. 선별된 비상업적 오픈소스 저장소에 무료 스캐닝을 제공하여 오픈소스 소프트웨어 생태계와 공급망의 보안에 기여할 계획이다.

회사는 아드바크 같은 도구들이 점점 더 많은 버그를 발견하게 될 것으로 예상하며, 장기적인 복원력을 달성하기 위해 지속 가능한 협력을 원한다고 밝혔다. 이에 따라 엄격한 공개 일정 대신 협력과 확장 가능한 영향에 초점을 맞춘 개발자 친화적인 태도를 취하는 아웃바운드 조정 공개 정책을 업데이트했다.

아드바크는 GitHub 및 Codex와 통합되어 기존 워크플로우와 함께 작동하며, 개발 속도를 늦추지 않고 명확하고 실행 가능한 통찰력을 제공한다. OpenAI는 시간이 지남에 따라 탐지, 검증 및 보고 기능을 개선하면서 도구의 사용을 확대할 계획이다.

한국정보기술신문 정보보안분과 이승기 기자 news@kitpa.org