OpenAI, GPT-5.4-Cyber를 일반 공개 대신 검증된 수비자에게 푼다

OpenAI가 frontier model 접근을 한 덩어리로 다루지 않겠다고 선을 그었다. 일반적인 coding이나 security education에는 넓은 접근을 유지하되, 실제 방어 업무를 맡은 사용자에게는 더 강한 검증과 더 실전적인 권한을 붙이겠다는 구상이다. 핵심은 GPT-5.4-Cyber다. OpenAI는 2026년 4월 14일 글에서 이 모델을 defensive cybersecurity workflow에 맞게 fine-tuning한 변형으로 소개했고, 동시에 Trusted Access for Cyber(TAC) 프로그램을 검증된 개인 수비자 수천 명과 critical software를 지키는 팀 수백 곳까지 넓히겠다고 밝혔다.

이번 변화의 포인트는 이름이 아니라 권한 경계다. OpenAI에 따르면 TAC 상위 tier 사용자는 합법적인 cyber 업무에 한해 더 낮은 refusal boundary를 적용받고, binary reverse engineering까지 가능한 GPT-5.4-Cyber에 접근할 수 있다. 이는 source code가 없는 compiled software, 의심스러운 binary, 외부 공급업체 패키지를 다뤄야 하는 defender에게 의미가 크다. OpenAI는 이 모델이 malware 가능성 분석, vulnerability 탐지, security robustness 점검을 더 빠르게 해줄 수 있다고 설명한다. 다만 공개 범위를 한 번에 넓히지는 않고, 우선은 검증된 security vendor, organization, researcher부터 단계적으로 배치한다.

이 접근은 defensive user가 offensive misuse를 막기 위한 동일한 safety 장벽에 계속 걸리는 문제를 줄이려는 시도로 읽힌다. 개인 사용자는 ChatGPT를 통해 신원 검증을 받을 수 있고, enterprise는 OpenAI 담당 채널을 통해 trusted access를 요청할 수 있다. 여기에 더 높은 수준의 인증을 마친 팀은 GPT-5.4-Cyber 같은 추가 tier도 신청할 수 있다. 동시에 OpenAI는 Zero-Data Retention처럼 사용 맥락을 거의 볼 수 없는 경로, 특히 제3자 플랫폼을 통한 접근은 더 제한될 수 있다고 못 박았다.

배경도 분명하다. OpenAI는 cyber safety를 미래 모델의 문제로 미루지 않겠다고 말한다. cyber-specific safeguard는 GPT-5.2부터 시작됐고, GPT-5.3-Codex와 GPT-5.4까지 확장됐으며, GPT-5.4는 Preparedness Framework에서 high cyber capability로 분류됐다. 글에는 몇 가지 숫자도 담겼다. 1,000개가 넘는 open source project가 Codex for Open Source 지원을 받았고, Codex Security는 beta와 research preview, 최근 launch를 거치며 3,000건이 넘는 critical 및 high severity 취약점 수정에 기여했다. 여기에 Cybersecurity Grant Program 규모도 1,000만 달러로 제시됐다.

결국 OpenAI가 시험하는 것은 더 강한 모델과 더 강한 책임 추적을 동시에 붙일 수 있느냐다. TAC가 설명대로 작동하면 defender는 incident response와 vulnerability research에 맞는 도구를 더 빨리 쓸 수 있고, OpenAI는 가장 민감한 dual-use capability에 대해 더 촘촘한 통제와 audit trail을 유지할 수 있다. 다음 관전 포인트는 이런 trust-based gating이 실제 현장 속도에 맞게 충분히 빨리 확장되느냐이다.