OpenAI가 소프트웨어 보안 취약점을 찾아내고 수정하도록 설계된 새로운 인공지능(AI) 모델을 선별된 사용자 그룹에게 공개하기 시작했다. 이번 조치는 경쟁사인 앤트로픽(Anthropic PBC)이 자체 보안 도구인 Mythos의 제한적 공개를 발표한 지 단 1주일 만에 이루어진 것이다.
2026년 4월 14일, 인베스팅닷컴의 보도에 따르면, 샌프란시스코에 기반을 둔 OpenAI는 화요일부터 GPT-5.4-Cyber를 단계적으로 배포해 디지털 결함을 찾아 수정하는 데 활용하고 있다. 회사는 성명을 통해 “
‘We are fine-tuning our models specifically to enable defensive cybersecurity use cases, starting today with a variant of GPT-5.4 trained to be cyber-permissive: GPT-5.4-Cyber.’
“라고 밝혔다.
OpenAI는 이 모델을 현재 Trusted Access for Cyber 프로그램 참가자들에게 제공하고 있다. 이 프로그램은 올해 2월에 시작되었으며, 사이버 보안 전문가들이 취약점을 탐색하는 데 있어 제약을 완화한 상태에서 OpenAI의 가장 역량 있는 모델을 시험해 볼 수 있도록 고안되었다.
한편, 경쟁사인 Anthropic의 Mythos 모델은 최근 금융사와 정부 기관 사이에서 큰 우려를 불러일으켰다. 블룸버그(Bloomberg) 보도에 따르면, 지난주 회의에서 미 재무장관 스콧 베센트(Scott Bessent)와 연준 의장 제롬 파월(Jerome Powell)은 월가 지도자들에게 Mythos와 관련된 위험을 심각하게 받아들일 것을 경고했다.
OpenAI는 발표에서 “
‘Digital infrastructure has already been vulnerable for years, before advanced AI even came along,’
“라며 디지털 인프라는 이미 수년간 취약해 왔고 “
‘threat actors are experimenting with novel AI-driven approaches.’
“라고 덧붙였다.
회사는 향후 수주 내에 초기 수백 명의 테스터에서 수천 명의 검증된 수비자로 프로그램을 확장할 계획이라고 밝혔다. 또한 “democratized access”를 강조하면서도, 이러한 공격 능력을 갖춘 고급 도구를 사용하는 대상에 대해서는 엄격한 신원 확인 절차를 유지하겠다고 명시했다.
용어 설명
사이버 퍼미시브(cyber-permissive)는 이 기사에서 모델이 방어적 사이버 보안 용도로 특화되었음을 뜻하는 기술적 표현이다. 즉, 모델이 보안 취약점을 탐지하고 수정 방안을 제시할 수 있도록 미세 조정되었음을 의미한다. ※여기서 ‘취약점(vulnerability)’은 소프트웨어 또는 시스템에서 악용될 수 있는 결함을 가리킨다.
오프센시브-케이패블(offensive-capable) 도구에 대한 설명도 필요하다. 이는 공격자 관점에서 시스템을 침투하거나 악용하는 시나리오를 재현할 수 있는 기능을 포함할 수 있는 도구를 의미한다. 따라서 방어적 연구자에게는 취약점 발견과 보완을 위한 유용한 도구가 되지만, 동시에 잘못된 손에 들어갈 경우 보안 위협을 증폭시킬 수 있다.
시장 및 산업 영향 분석
이번 공개는 AI 기반 보안 툴 경쟁이 본격화되고 있음을 보여준다. 단기적으로는 보안 솔루션을 제공하는 기업의 기술 채택 논의가 가속화될 수 있다. 투자 관점에서 보면, 대형 소프트웨어 및 사이버보안 업체는 수요 증가 가능성과 함께 기술 통합을 통한 서비스 확장 기회를 맞게 된다. 다만, 공격 가능성이 높아지는 AI 기능의 확산은 규제 부담과 보험료 상승, 기업의 보안 투자 증가로 이어질 수 있으며, 이는 일부 업체의 비용 구조에 단기적 부담으로 작용할 수 있다.
중장기적으로는 모델 검증과 신원 확인 절차가 시장 안정화의 핵심 변수가 될 것이다. OpenAI가 밝힌 것처럼 엄격한 신원 확인과 제한적 접근 정책이 효과적으로 운영된다면, 보안 업계는 AI를 활용한 취약점 진단과 패치 자동화 등 생산성 향상 혜택을 누릴 수 있다. 반면 검증 체계가 허술하거나 악용 사례가 발생하면 규제 강화, 법적 분쟁, 기업 이미지 훼손 등으로 인해 관련 주가와 투자 심리에 부정적 영향을 줄 수 있다.
또한 규제기관과 금융기관의 경고는 기업들의 리스크 관리 체계 재검토를 촉발할 가능성이 크다. 예컨대 보안 툴을 내부 도입할 때 더 엄격한 감사(audit) 기준을 요구하거나, 제3자 검증을 의무화하는 정책이 등장할 수 있다. 이러한 변화는 보안 솔루션 업체에게는 인증·검증 서비스를 제공할 새로운 비즈니스 기회를, 반대로 컴플라이언스 부담 증가는 고객사 비용 증가라는 이중 효과를 가져올 것이다.
실용적 시사점
기업 보안 담당자와 투자자는 다음 사항을 점검해야 한다. 첫째, AI 기반 보안 도구의 도입 시 신원 검증과 접근 통제 정책을 엄격히 수립할 것. 둘째, 내부 테스트와 외부 감사를 병행해 오용 가능성을 사전에 차단할 것. 셋째, 보안 예산 배분 시 AI 활용에 따른 단기 비용과 장기적인 생산성 향상을 균형 있게 고려할 것. 넷째, 규제 리스크에 대비한 법무·컴플라이언스 체계를 강화할 것.
마지막으로, OpenAI와 Anthropic 간 경쟁은 AI 보안 기술의 혁신을 촉진하는 한편, 동시에 새로운 유형의 보안 위협과 규제 이슈를 동반할 가능성이 있다. 기업과 투자자는 기술 도입의 기회와 위험을 모두 평가해 전략적 결정을 내려야 한다.
