일주일간의 발표를 미뤄왔던 OpenAI의 중대한 소식이 드디어 공개되었습니다.
어젯밤, 제 친구는 침대에 누워 짧은 동영상을 보다가 크롬 피드를 열었는데, 화면에 '터미네이터의 각성'이나 'AI 메뚜기 떼' 같은 자극적인 제목들이 가득했습니다.
자세히 살펴보니 OpenAI가 조용히 중대한 성과를 이뤄낸 것으로 드러났습니다. OpenAI는 향후 몇 달 안에 더욱 강력한 모델을 출시하기 위해 기존 모델을 사이버 보안 방어 사례를 지원하도록 미세 조정할 계획이며, 이를 위해 GPT-5.4-Cyber 라는 코드명을 가진 사이버 보안 전용 새 모델을 개발할 예정이라고 밝혔습니다.
모두가 가장 기대했던 GPT-6.0은 아니지만... 새로운 정보는 없는 것보다는 언제나 낫습니다.
(이미지 출처: OpenAI)
이 소식이 전해지자마자 레딧 포럼은 들끓었습니다. 일부 사람들은 이것이 클로드 미토스에 대한 오픈AI의 반격이며, 이제부터 웹페이지 코드뿐만 아니라 속옷까지 기계에 노출되어 아무것도 안전하지 않을 것이라고 확신에 차서 선언했습니다!
오랜 기간 IT 업계에 종사해 온 베테랑으로서, 이런 댓글들을 보면 그저 한숨만 나올 뿐입니다.
GPT-5.4-Cyber가 현재 소규모로 배포되고 있으며 승인된 사이버 보안 전문가만 접근할 수 있다는 사실은 차치하더라도, 벌써 2026년인데도 대기업이 새로운 모델을 출시하면 사람들은 여전히 불안감을 조장하는 마케팅에 쉽게 현혹되고 이용당합니다.
이 사태의 전모와 보안 회사들의 생계를 정말로 위협할지 알아보기 위해, 이 거대 기술 기업들이 무엇을 꾸미고 있는지 자세히 살펴보겠습니다.
바이너리 역분석 기능을 추가했지만, 전문가만 사용할 수 있습니다.
오늘의 주요 주제인 GPT-5.4-Cyber에 대해 먼저 이야기해 보겠습니다. GPT-5.4-Cyber는 정확히 무엇일까요?
공식 발표에 따르면 GPT-5.4-Cyber는 GPT-5.4의 최적화 버전입니다 . 이 모델은 기능적 제약이 줄어들고 사이버 보안 기능이 강화되었습니다. 이를 통해 합법적인 사이버 보안 작업에 대한 진입 장벽이 낮아지고 고급 방어 워크플로우를 위한 새로운 기능이 제공됩니다.
과거에 사용했던 범용 모델들은 연애편지를 쓰거나 레시피를 찾아보는 데는 괜찮았지만, 해킹을 시키면 백도어조차 찾아낼 수 없었습니다.
하지만 새로 출시된 GPT-5.4-Cyber는 바이너리 역공학 기능을 추가했습니다. 이 도구는 소프트웨어의 원본 코드를 살펴볼 필요 없이 컴파일된 저수준 파일에서 직접 보안 취약점을 추출할 수 있는데, 마치 숙련된 정육점 주인이 소를 해부하는 것과 같습니다.
(이미지 출처: OpenAI)
또한, 보안 전문가들이 더욱 쉽게 작업할 수 있도록 OpenAI는 의도적으로 모델의 성격을 매우 온순하게 조정했습니다. 이전에는 일반 모델에게 시스템 취약점을 찾는 방법을 물어보면 답변을 거부했지만, 이제 최적화된 버전은 모든 질문에 자유롭게 답변할 수 있으며, 어떤 스트레스 테스트도 문제없이 처리할 수 있습니다.
정말 관심이 있다면, 이 파일을 애플 TV 버전으로 디컴파일한 다음 큰 어려움 없이 오픈소스로 공개할 수 있을 겁니다.
하지만 애플 변호사의 서한은 직접 수락하셔야 합니다.
물론, 이러한 위험물을 사람들이 주워갈 수 있도록 길거리에 방치할 수는 없으므로, OpenAI는 내부 방어 생태계 구축에 초점을 맞춰 인증된 보안 회사와 기업 팀에만 제공했습니다.
이를 경험하려면 개인 사용자는 chatgpt.com/cyber를 통해 신원을 인증할 수 있으며 , 기업 사용자는 OpenAI 담당자를 통해 팀의 접근 권한을 신청할 수 있습니다. 이 검토 과정을 통과한 모든 고객에게는 기존 모델의 개선된 버전이 제공됩니다.
(이미지 출처: OpenAI)
흥미롭게도 GPT-5.4-Cyber 출시 불과 일주일 전에 Anthropic은 자체 개발한 Claude Mythos의 프리뷰 버전을 공개했습니다.
그러나 그들은 극단적인 조치를 취하여 해당 모델이 "너무 위험하다"고 즉시 주장하며 대중에게 공개하는 것을 거부했습니다.
테스트 보고서에 따르면, Mythos는 내부 테스트 도중 엄청난 성능을 보여주었습니다. 이 모델은 자체적으로 주요 운영 체제와 브라우저에서 알려지지 않은 취약점을 낱낱이 발견했으며, 심지어 20년 넘게 오픈 소스 시스템에 숨겨져 있던 오래된 취약점까지 찾아냈습니다.
(이미지 출처: Anthropic)
이 도구가 너무 공격적이었기 때문에 앤트로픽의 최고 경영진은 겁에 질려 마이크로소프트와 구글의 도움을 받아 자체 폐쇄 네트워크 내에서만 비밀리에 사용하려고 했습니다.
과거에는 최고의 해커들이 커피잔을 들고 눈이 충혈된 채로 수만 줄에 달하는 코드를 한 줄 한 줄 샅샅이 뒤지며 취약점을 찾아내는 것이 그들의 일이었다.
이제 AI는 24시간 내내 작동하며, 당신이 밈을 찾는 것보다 더 빠르게 취약점을 찾아냅니다. 공격자의 진입 장벽은 완전히 무너졌고, 방어자가 살아남을 수 있는 유일한 방법은 AI를 고용하여 취약점을 패치하는 것뿐입니다.
공개적인 모델과 은밀한 모델, 이 두 가지 모델은 기계 대 기계의 싸움이 벌어지는 새로운 사이버 보안 시대를 직접적으로 열었습니다.
기업 보안은 재앙인가, 아니면 기회인가?
산업혁명에 비견될 만한 이러한 급격한 변화 대면 각 인물들이 보인 반응은 매우 흥미로웠다.
레딧의 악플러들은 자신들이 전략에 당할까 봐 두려움에 떨면서도, 동시에 이 AI 거물들이 고등학생 숙제를 대신 해줘서는 돈을 벌 수 없다는 걸 깨닫고 이제 수익성 높은 기업 보안 시장을 노리고 있다는 농담을 던졌다.
(이미지 출처: 레딧)
하지만 정부 부처와 금융 대기업들은 실제로 큰 공포에 휩싸여 있습니다. 가디언지에 따르면, 영국 인공지능부 장관 카니슈카 나라얀은 주요 영국 은행, 보험 회사, 거래소 대표들을 적극적으로 소집하고 있으며, 미국 재무장관 스콧 베산트 역시 월가 주요 은행들과 회의를 열어 이러한 모델의 잠재적인 사이버 리스크 대해 논의하고 있습니다.
그들의 신중함은 충분히 이해할 만합니다. 지난달, 이스라엘 스타트업 텐자이(Tenzai)의 인공지능 도구들이 여러 엘리트 해킹 대회에 참가하여 99% 이상의 인간 참가자보다 뛰어난 성능을 보였습니다. 또한 구글은 작년에 런타임에 대규모 모델에 직접 연결되어 악성 스크립트를 생성하는 여러 샘플을 발견했습니다.
(이미지 출처: 포브스)
사람들이 권한을 얻었는지 여부와 관계없이 사이버 공격은 분명히 그로 인해 이득을 보았습니다.
새로운 기술이 필연적으로 파괴적인 보안 리스크 초래할 것이라는 믿음으로 대규모 모델의 적용을 불필요하게 걱정하거나 적극적으로 거부해야 하는지에 대한 질문에 대해서는 다음과 같습니다.
저는 그럴 필요가 없다고 생각합니다.
포브스에 따르면 사이버 보안 회사 루트 에비던스의 CEO인 제레미아 그로스만은 현재 업계에서 발생하는 실제 사이버 공격 중 소프트웨어 취약점을 악용하는 공격은 10~20%에 불과하며, 대다수의 공격은 피싱이나 소셜 미디어를 통해 침투한다고 밝혔습니다.
즉, 나머지 80~90%의 공격은 수천만 개의 해시레이트 필요로 하는 초대형 모델을 필요로 하지 않습니다.
Sophos의 "2025년 랜섬웨어 현황 보고서"에 따르면, 공격의 상당 점유비율 운영상의 요인으로 인해 발생하며, 전문성 부족이 40.2%, 인력/역량 부족이 39.4%를 차지하는 것으로 나타났습니다.
(이미지 출처: Sophos)
가장 흔한 해킹 방법은 해커들이 직원들의 계정 비밀번호를 유출받는 것입니다.
그 다음에는 무슨 일이 벌어질까요? 당신의 상사를 사칭하는 사람이 보낸 피싱 이메일이 등장하여, 당신이 링크를 클릭하도록 유도합니다.
맞습니다, 그게 바로 이 업계의 현실입니다.
신화화할 필요 없어요. 그저 평정심을 갖고 대면.
제 생각에는 GPT-5.4-Cyber와 Claude Mythos 프리뷰 버전 출시로 인해 모두에게 어렵지만 현실적인 문제가 제기되었습니다.
인공지능을 이용한 사이버 공격이 급증할 조짐을 보이고 있다.
기계가 공격과 방어 효율성 및 속도 면에서 인간을 능가한다는 것은 부인할 수 없는 사실입니다. 그러나 기계가 완전히 새로운 위협을 만들어낸 것은 아닙니다. 기존 공격 방식을 더 빠르고 저렴하게 만들어, 마치 사이버 범죄 조직을 위해 잡일을 처리하는 무자비한 자동화 도구처럼 활용하고 있을 뿐입니다.
그러므로 우리는 이러한 AI 기업들의 공헌을 과대평가해서는 안 됩니다.
제레미아 그로스만은 클로드 미토스가 발견한 대량 취약점 때문에 보안 회사들이 취약점 해결의 우선순위를 정하기 어려워졌고, 그 결과 해결해야 할 취약점이 대량 으로 쌓이고 있다고 밝혔습니다.
무엇이 그들을 그토록 강력하게 만드는 걸까요? 무엇이 그들을 인류에게 위협이 되는 걸까요? 무엇이 그들을 인공지능 메뚜기 떼처럼 재앙으로 만드는 걸까요? 이 거대 기술 기업들은 소셜 미디어와 기자 회견에서 자신들의 차세대 모델이 얼마나 놀랍고, 얼마나 깊은 취약점을 찾아낼 수 있는지 끊임없이 자랑합니다. 사실, 그들은 매우 교활합니다.
그들의 목표는 인공지능을 전지전능한 신처럼 포장하는 동시에 업계 진입 장벽을 높여, 그들과 협력하면 안심할 수 있고, 협력하지 않으면 회사가 내일 당장 파산할 것이라는 느낌을 주는 것입니다.
꽤 웃기네요.
물론 기업들은 여전히 이러한 흐름 대면 주의를 기울여야 합니다. 두 주요 기업 모두 공격 능력이 현재의 방어 시스템을 훨씬 능가할 때 대형 모델을 본격적으로 사용하지 않겠다고 밝혔지만, 적어도 이전처럼 엣지 애플리케이션 패치에 평균 200일 이상을 허비해서는 안 됩니다.
이처럼 느리고 수동적인 수리 과정은 기관총 사격에는 전혀 효과가 없습니다.
우리 같은 평범한 사람들에게는 경계심을 갖는 것이 최고의 안전장치입니다.
궁극적으로 온라인 세계에서 가장 취약한 연결 고리는 코드가 아니라 화면 앞에 앉아 있는 사람입니다. 대기업의 파워포인트 프레젠테이션을 보고 매일 불안해하기보다는 먼저 비밀번호를 더 복잡하게 만들어야 합니다.
결국, 아무리 똑똑한 인공지능이라도 사기꾼에게 돈을 보내겠다고 고집하는 바보를 깨울 수는 없다.
이 기사는 "Lei Technology"에서 발췌한 것으로, 36Kr의 허가를 받아 게재되었습니다.
