OpenAI, FedRAMP Moderate 통과… 美 공공기관에 GPT-5.5 문 열려

미국 공공기관의 생성형 AI 도입은 모델 성능보다 보안 승인에서 더 자주 멈췄다. OpenAI가 4월 27일 올린 글의 핵심은 바로 그 병목을 줄였다는 데 있다. ChatGPT Enterprise와 API Platform이 FedRAMP 20x Moderate를 통과하면서, 연방기관은 익숙한 조달·보안 틀 안에서 OpenAI 서비스를 실제 업무에 붙일 수 있는 명분을 얻었다. 상징적 승인 하나가 늘어난 정도가 아니다. 시험용 데모에서 머물던 AI가 문서 작성, 분석, 시민 서비스, 소프트웨어 개발 같은 운영 업무로 넘어갈 수 있는 문이 열린 것이다. 원문은 OpenAI available at FedRAMP Moderate다.

숫자로 보면 더 분명하다. OpenAI는 이 환경에서 GPT-5.5를 쓸 수 있다고 적었고, Codex Cloud도 FedRAMP ChatGPT Enterprise 워크스페이스를 통해 곧 연결하겠다고 밝혔다. 이 조합은 정부 AI 도입의 무게중심을 바꾼다. 단순 챗봇 테스트가 아니라, 승인된 환경 안에서 코딩 보조와 업무 자동화까지 묶어 보겠다는 뜻이기 때문이다. 공공기관 입장에서는 "최신 모델을 쓰고 싶다"보다 "감사와 보안 검토를 통과한 채 쓸 수 있느냐"가 더 중요하다. 이번 글은 그 질문에 처음으로 꽤 구체적인 답을 내놨다.

FedRAMP 20x라는 경로도 중요하다. OpenAI 설명대로 이 절차는 클라우드 네이티브 보안 증빙, Key Security Indicators, 자동 검증 같은 방식으로 속도와 엄격함을 함께 잡으려는 모델이다. 전통적인 긴 서류 절차만으로는 빠르게 바뀌는 AI 서비스의 현실을 따라가기 어렵다. 공공기관 보안팀과 조달팀은 새 기능이 생길 때마다 처음부터 다시 검토하는 악순환을 싫어한다. OpenAI가 Trust Portal과 재사용 가능한 승인 데이터를 전면에 내세운 이유도 그 지점에 있다. 실제 배포를 늦추는 사람은 현업 사용자가 아니라 보안·개인정보·조달 담당자이기 때문이다.

경쟁 구도에서도 의미가 크다. 공공 부문은 장기 계약, 민감 데이터, 높은 레퍼런스 가치를 한꺼번에 안겨주는 시장이다. FedRAMP Moderate가 곧바로 대규모 수주를 보장하지는 않는다. 기관별 승인 판단은 여전히 남아 있다. 다만 가장 큰 질문 하나는 사라졌다. 이제 논점은 "이걸 써도 되나"가 아니라 "어떤 업무부터 옮길까"로 바뀐다. 생성형 AI의 공공시장 경쟁은 성능표보다 통과 가능한 인프라에서 갈릴 가능성이 더 커졌다.