OpenAI, Codex Security 연구 프리뷰 공개... 저장소 보안 점검 자동화

OpenAI는 March 6, 2026 Codex Security를 research preview로 공개했다. 이 제품은 Codex의 coding agent 흐름을 application security 영역으로 확장해, 팀이 repository를 스캔하고 코드 변경을 검토하며 위협 모델을 해석하고 버그를 재현하고 수정 방안을 제시받을 수 있도록 설계됐다.

OpenAI는 Codex Security가 단순 alert 생성기가 아니라는 점을 강조했다. 기존 static finding 중심 도구와 달리, repository context를 끌어오고 취약한 코드 경로를 읽고 실제로 버그를 재현해 보고 수정안을 제시한 뒤 개발자가 다시 검증할 수 있는 흐름을 만들겠다는 설명이다. 회사는 private GitHub repository뿐 아니라 open source project도 지원한다고 밝혔다.

OpenAI가 제시한 수치

• 내부 benchmark 기준 전체 security review noise를 84% 줄였다고 OpenAI는 밝혔다.
• severity를 과대 분류한 비율은 90% 이상 감소했다고 설명했다.
• false positives는 50% 이상 줄었다고 한다.
• 최근 30일 동안 1.2 million commits를 스캔해 792건의 critical, 10,561건의 high-severity finding을 찾아냈다고 공개했다.

발표에는 실제 disclosure 사례도 포함됐다. OpenAI는 OpenSSH와 Linux kernel 유지관리자에게 보고된 critical vulnerability 식별에 Codex Security가 도움을 줬다고 밝혔다. 이는 단순히 issue를 많이 뽑아내는 도구가 아니라, 발견에서 검증, 보고, 수정 제안까지 이어지는 end-to-end utility를 보여주려는 시도로 읽힌다.

현재 이용 범위는 제한적이다. OpenAI는 ChatGPT Pro, Enterprise, Business, Edu 사용자가 Codex web surface를 통해 research preview를 사용할 수 있고, 첫 1개월은 free usage를 제공한다고 설명했다. 개발 조직 입장에서는 model vendor가 code generation을 넘어 software assurance와 triage 품질 경쟁으로 이동하고 있다는 점이 더 큰 신호다.