GPT‑5.5와 GPT‑5.5‑Cyber로 Trusted Access for Cyber 확장
최신 모델이 방어 생태계의 각 계층을 어떻게 지원하고 보안 선순환 구조를 강화하는지 살펴봅니다.
수년간 OpenAI는 AI의 핵심 인프라를 구축하기 위한 광범위한 노력의 일환으로, 사이버 보안 방어 담당자가 더 빠르게 대응할 수 있도록 지원하기 위한 활동을 꾸준히 소개해 왔습니다. 지난주에는 AI 기반 방어의 접근성을 확대하기 위한 비전을 담은 실행 계획인 인텔리전스 시대의 사이버 보안을 발표했습니다. 2주 전에는 지금까지 가장 뛰어나고 가장 직관적인 모델인 GPT‑5.5를 출시했습니다. GPT‑5.5는 이미 Trusted Access for Cyber(TAC)를 통해 개발자와 보안팀에 강력한 사이버 보안 기능을 제공하고 있습니다.
오늘 OpenAI는 더 넓은 생태계를 보호하는 데 도움이 되는 전문적인 사이버 보안 워크플로를 지원하기 위해, 중요 인프라 보안을 담당하는 방어 담당자를 대상으로 GPT‑5.5‑Cyber의 제한적 프리뷰를 순차적으로 제공하기 시작합니다.
OpenAI는 사이버 보안 방어 담당자가 사회를 보호할 수 있도록 적절한 수준의 보호 장치와 접근 권한을 제공하는 데 중점을 두고 있으며, 이러한 접근 방식은 연방 및 주 정부와 주요 민간 조직의 사이버 보안 및 국가 안보 분야 리더들과의 논의를 바탕으로 마련되었습니다.
사이버 방어 생태계는 광범위하며, GPT‑5.5와 GPT‑5.5‑Cyber는 작업 유형, 사용 환경, 그리고 모델 사용 시 적용되는 안전장치에 따라 생태계 전반의 조직과 연구자의 다양한 요구를 충족하는 서로 다른 역할을 수행합니다. 대부분의 팀에게 TAC가 적용된 GPT‑5.5는 오용 방지를 위한 강력한 안전장치를 갖춘, 정당한 방어 활동에 폭넓게 활용할 수 있는 가장 강력한 모델입니다.
이번 글에서는 Trusted Access for Cyber의 작동 방식, GPT‑5.5와 GPT‑5.5‑Cyber가 생태계 전반의 방어 담당자의 다양한 요구를 어떻게 충족하는지, 그리고 서로 다른 접근 권한 수준이 모델 출력에 어떤 영향을 미치는지에 대해 자세히 설명합니다.
Trusted Access for Cyber는 향상된 사이버 보안 기능이 적절한 사용자에게 제공되도록 지원하기 위해 설계된 신원 및 신뢰 기반 프레임워크입니다. 이 프레임워크는 방어 업무를 수행하는 검증된 방어 담당자가 GPT‑5.5의 사이버 보안 기능을 더욱 효과적으로 활용할 수 있도록 하는 동시에, 실제 피해를 초래할 수 있는 요청은 계속 제한하도록 설계되었습니다.
방어 담당자가 심사를 거쳐 Trusted Access for Cyber 승인을 받으면 취약점 식별 및 분류, 악성코드 분석, 바이너리 리버스 엔지니어링, 탐지 엔지니어링, 패치 검증 등 승인된 사이버 보안 워크플로를 수행할 수 있도록 분류기 기반 거부 응답이 감소합니다. 다만 자격 증명 탈취, 은폐, 지속성 확보, 악성코드 배포, 제3자 시스템 악용과 같은 악의적 활동은 계속 보호 장치에 의해 차단됩니다.
지난주 발표한 바와 같이, 확대된 접근 권한을 사용하는 방어 담당자는 피싱 방지 기능을 갖춘 계정 보안 보호 조치를 적용해야 합니다. OpenAI의 가장 강력한 사이버 보안 기능과 가장 높은 허용 수준을 갖춘 모델에 접근하는 Trusted Access for Cyber 개별 사용자는 2026년 6월 1일부터 고급 계정 보안을 활성화해야 합니다. Trusted Access 권한을 보유한 조직은 대안으로, 싱글사인온(SSO) 워크플로의 일부로 피싱 방지 인증을 사용하고 있음을 확인할 수 있습니다.
현재 Trusted Access 접근 수준은 다음과 같이 이해할 수 있습니다.
액세스 | 변경 사항 | 의도된 사용 사례 |
GPT‑5.5(기본값) | 범용 사용을 위한 표준 보호 장치 | 범용 작업, 개발자 작업, 지식 업무 |
Trusted Access for Cyber가 적용된 GPT‑5.5 | 검증된 방어 작업을 위해 승인된 환경에서 보다 정교하게 적용되는 보호 장치 | 안전한 코드 검토, 취약점 분류, 악성코드 분석, 탐지 엔지니어링, 패치 검증을 포함한 대부분의 방어적 보안 워크플로 |
GPT‑5.5‑Cyber | 보다 강화된 검증 및 계정 수준 통제와 함께 제공되는, 전문화된 승인 워크플로를 위한 가장 허용적인 동작 | 승인된 레드팀 테스트, 침투 테스트 및 통제된 검증을 포함한 전문화된 워크플로를 위한 프리뷰 접근 권한 |
모델 접근 수준 간의 차이는 프롬프트와 응답을 비교할 때 가장 뚜렷하게 나타납니다. 첫 번째 예시는 공개된 취약점을 바탕으로 개념 증명(PoC)을 생성해 승인된 환경에서 수정 조치를 검증하는 방어 작업에서 GPT‑5.5와 Trusted Access for Cyber가 적용된 GPT‑5.5가 어떻게 다른지 보여줍니다.
- cve.org/CVERecord?id=CVE-2025-55182
- react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
대부분의 방어 담당자에게는 Trusted Access for Cyber가 적용된 GPT‑5.5가 적절한 출발점입니다. 이 모델은 모델의 폭넓은 강점과 안전성을 유지하면서도 대부분의 정당한 방어 워크플로를 처리할 수 있습니다. 여기에는 안전한 코드 검토, 취약점 분류, 악성코드 분석, 탐지 엔지니어링, 패치 검증이 포함됩니다.
보다 전문화된 접근 권한은 승인된 워크플로가 여전히 거부에 직면하는 경우에만 필요합니다. 이는 레드팀 테스트나 침투 테스트와 같은 고위험 워크플로에서 발생할 수 있으며, 이러한 경우 방어 담당자는 단순한 분석을 넘어 통제된 환경에서 실제 악용 가능성을 검증해야 할 수 있습니다. GPT‑5.5‑Cyber는 이러한 보다 전문적인 이중 용도 워크플로를 원활하게 수행할 수 있도록 설계되었습니다.
다음은 실제 적용 사례를 보여주는 간단한 예시입니다.
GPT‑5.5는 범용 지식 업무와 사이버 보안 작업 모두에 적합한 OpenAI의 가장 뛰어나고 가장 직관적인 모델이며, OpenAI는 대부분의 방어 담당자가 이 모델을 사용할 것으로 기대하고 있습니다. OpenAI는 실제 방어 워크플로에서 다단계 추론, 도구 활용, 그리고 지속적인 작업 수행이 요구되는 과제를 통해 사이버 보안 성능을 평가합니다.
GPT‑5.5‑Cyber와 같은 사이버 허용성이 높은 모델의 초기 프리뷰는 GPT‑5.5를 크게 뛰어넘는 사이버 보안 역량을 제공하기 위한 것이 아닙니다. 이러한 모델은 주로 보안 관련 작업에서 더 폭넓은 요청을 허용하도록 학습되었습니다.
따라서 이번 초기 프리뷰는 모든 사이버 보안 평가에서 GPT‑5.5를 능가할 것으로 예상되지는 않습니다. 대신 이 모델은 방어 담당자가 더 빠르게 대응할 수 있도록 지원하고, 보다 허용적인 동작이 필요한 전문적인 승인 워크플로를 안전하게 지원하기 위한 점진적 배포 프로세스를 뒷받침합니다. 이 과정에는 보다 강화된 검증, 오용 모니터링, 승인된 사용 범위 관리, 그리고 파트너 피드백이 함께 적용됩니다. 현재로서는 Trusted Access for Cyber가 적용된 GPT‑5.5가 대부분의 보안 워크플로에 권장되는 출발점입니다.
OpenAI는 보안 공급업체와 협력하고 있습니다. 이들은 모델의 역량이 실제 고객 보호로 이어지는 지점인 발견, 개발, 탐지, 대응, 네트워크 적용 계층에 자리하고 있기 때문입니다. 이러한 계층이 함께 발전하면 보안 선순환이 만들어집니다. 연구자는 익스플로잇 개념 증명(PoC)과 패치 지침을 포함해 취약점을 공개하고, 소프트웨어 공급망 보안 도구는 취약한 코드와 손상된 종속성이 운영 환경에 배포되는 것을 방지합니다. 또한 EDR 및 SIEM 파트너는 실제 환경에서 발생하는 악용을 탐지하고, 네트워크 및 보안 공급업체는 수정 사항이 배포되는 동안 WAF 수준의 완화 조치를 적용합니다.
Trusted Access for Cyber가 적용된 GPT‑5.5는 이러한 작업을 위한 폭넓은 출발점입니다. 이 모델은 검증된 방어 담당자가 보안 라이프사이클 전반에서 더 빠르게 대응할 수 있도록 지원하며, GPT‑5.5‑Cyber는 보다 전문화된 접근 동작이 필요한 고급 워크플로를 소수의 파트너가 연구할 수 있도록 지원합니다. 목표는 보안 생태계가 고객을 더 신속하게 보호할 수 있도록 돕고, 이후 파트너 피드백을 통해 보다 엄격한 평가, 검증 또는 보호 장치가 필요한 영역을 파악하는 것입니다.
네트워크 및 보안 공급업체
네트워크 및 보안 공급업체는 수정 사항이 아직 배포되고 있는 동안에도 노출 위험을 줄일 수 있습니다. 방어 담당자는 취약점을 검증하고 악용 여부를 모니터링하는 동시에, 영향을 받는 모든 시스템에 대한 수정 조치가 완료되기 전에 WAF 규칙, 엣지 완화 조치, 구성 변경을 적용해 예상되는 공격 경로의 효과를 줄일 수 있습니다. GPT‑5.5는 복잡한 환경 전반에서 규칙 검토, 구성 분석, 사고 조사, 그리고 안전한 변경 관리를 지원할 수 있습니다.
OpenAI는 이러한 파트너들과 협력하여, 이러한 역량이 고객이 인터넷 전반에 걸쳐 배포할 수 있는 보호 기능으로 어떻게 이어지는지 평가하고 있습니다. 여기에는 노출 위험을 신속하게 줄이는 것이 중요한 중요 인프라와 공공 서비스도 포함됩니다.
“Cisco는 프런티어 모델을 방어 역량을 크게 증폭시키는 강력한 요소로 보고 있습니다. GPT-5.5와 같은 모델은 사고 조사부터 선제적 노출 감소에 이르기까지 운영 전반의 대응 속도를 근본적으로 변화시키고 있습니다. 그러나 속도를 위해 신뢰를 희생할 수는 없습니다. 이 기술의 진정한 가치는 모델 자체에만 있는 것이 아니라, 이를 중심으로 구축한 엔터프라이즈 환경에 바로 적용할 수 있는 프레임워크에 있습니다. 이 프레임워크는 더욱 안전한 제품을 개발할 수 있도록 지원합니다. 우리는 이러한 새로운 역량을 활용해 보안 개발 및 운영 프로세스를 혁신하는 데 집중하고 있습니다. 우리에게 중요한 것은 빠르면서도 신뢰할 수 있는 혁신을 실현하는 것입니다.”
취약점 연구 및 패치
이 선순환은 취약점을 발견하고, 그 심각도를 검증하며, 영향을 받는 시스템에 패치를 적용하는 것에서 시작됩니다. Trusted Access for Cyber가 적용된 GPT‑5.5는 이러한 작업 대부분을 지원할 수 있습니다. 여기에는 익숙하지 않은 코드 이해, 영향 범위 파악, 근본 원인 추적, 패치 검토, 안전한 재현 환경 구축, 심각도 우선순위 지정, 그리고 조사 결과를 수정 지침으로 전환하는 작업이 포함됩니다.
일부 취약점 연구에는 보다 허용적인 동작이 필요하며, 특히 승인된 파트너가 조율된 공개 또는 통제된 검증을 위해 익스플로잇 개념 증명(PoC)이 필요한 경우가 그렇습니다. 이러한 워크플로를 통해 OpenAI는 보다 강화된 검증, 모니터링, 그리고 피드백 체계하에서 소수의 파트너와 함께 GPT‑5.5‑Cyber를 학습할 수 있습니다.
“Intel은 실리콘과 소프트웨어 분야의 리더로서 글로벌 컴퓨팅 산업에 신뢰할 수 있는 기반을 제공합니다. AI 모델이 추론과 속도 면에서 계속 발전함에 따라, 보안 위협을 식별·분석하고 완화를 돕는 능력은 점점 더 중요해지고 있습니다. Intel은 OpenAI와 협력해 관리 가능하고 확장 가능한 AI 역량을 실제 사이버 워크플로에 도입함으로써, 기업이 취약점 연구를 가속하고 수정 프로세스를 강화하며 대규모로 더 안전하게 운영하도록 돕기를 기대합니다.”
탐지 및 모니터링
취약한 소프트웨어가 이미 배포된 상태라면, 다음 질문은 누군가가 이를 실제로 악용하고 있는지 여부입니다. EDR, SIEM, IGA/PAM 및 모니터링 파트너는 새로운 권고문을 텔레메트리, 경고, 탐지 결과, 대응 워크플로 등 실제 환경에서 확보한 증거로 전환합니다. GPT‑5.5는 분석가가 이러한 신호를 연결하고, 중요한 내용을 요약하며, 탐지 규칙을 작성하고, 공개된 취약점 정보를 바탕으로 조사 단계까지 더 빠르게 진행할 수 있도록 지원합니다. 이러한 선순환은 노출, 수정 조치, 탐지가 긴밀하게 연결되어 있는 클라우드 환경에서 특히 중요합니다.
“SentinelOne에서 AI의 진정한 가치는 신호를 얼마나 빨리 방어자가 실행 가능한 이점으로 바꿀 수 있게 해주느냐에 있습니다. GPT-5.5는 분석가가 텔레메트리를 연결하고, 중요한 것에 집중하며, 조직이 새로운 위협을 조사·탐지·대응하는 방식을 강화하도록 돕습니다.”
소프트웨어 공급망 보안
다음 단계는 알려진 악성 코드가 애초에 운영 환경에 배포되지 않도록 방지하는 것입니다. 취약점이나 패키지 손상이 파악되면, 소프트웨어 공급망 도구는 위험한 종속성, 악성 업데이트, 취약한 코드 경로가 고객 환경 전반으로 확산되기 전에 차단하는 데 도움을 줄 수 있습니다. Trusted Access for Cyber가 적용된 GPT‑5.5는 종속성 변경 사항을 검토하고, 자체 코드에서의 악용 가능성을 분석하며, 수정 작업의 우선순위를 정하고, 개발 주기 초기에 의심스러운 패키지 동작을 식별하는 데 도움을 줄 수 있습니다.
Snyk, Gen Digital, Semgrep, Socket과 같은 파트너는 이러한 역량이 axios 침해 사고와 같은 사례에 어떻게 적용될 수 있는지 검증하는 데 도움을 줄 수 있습니다. 이러한 사례에서는 취약하거나 손상된 종속성이 빌드 과정에 유입되지 않도록 차단하는 것이 가장 빠른 해결책입니다.
“공격자들은 이미 프런티어 모델을 무기화하고 있습니다. OpenAI의 Trusted Access for Cyber와 GPT-5.5를 배포함으로써, 우리는 Snyk의 방어자들에게 중요한 공급망을 보호하는 데 필요한 역량을 제공하고 있습니다. 이 파트너십은 단순한 이정표가 아니라 전략적 필수 요소입니다.”
오픈소스는 취약점이 생태계 전반으로 확산되는 가장 빠른 경로 중 하나이므로, OpenAI는 오픈소스 유지관리자들을 대상으로 한 초기 단계 지원에도 투자하고 있습니다. Codex Security는 코드베이스별 위협 모델을 구축하고, 현실적인 공격 경로를 탐색하며, 격리된 환경에서 문제를 검증하고, 사람이 검토할 수 있도록 패치를 제안함으로써 팀이 취약점을 식별, 검증 및 수정할 수 있도록 지원합니다.
Codex for Open Source를 통해 중요 프로젝트의 선정된 유지관리자는 유지관리 및 검토 부담을 줄일 수 있도록 Codex와 API 크레딧과 함께 Codex Security에 대한 조건부 접근 권한을 받을 수 있습니다.
또한 OpenAI는 기존 보안 워크플로를 앱이나 CLI와 같은 모든 Codex 인터페이스에 직접 통합하는 Codex Security 플러그인을 출시했습니다. 이를 통해 개발자는 위협 모델링부터 취약점 발견, 검증, 공격 경로 분석, 그리고 검증된 수정 조치까지 보다 쉽게 진행할 수 있습니다.
모델의 사이버 보안 역량이 더욱 강력해질수록, 그 역량을 가장 효과적으로 활용하는 방법은 방어 담당자가 취약점을 더 빠르게 찾아 수정할 수 있도록 돕는 것입니다. 이러한 역량에 대한 접근을 책임감 있게 확대하려면 누가 모델을 사용하고 있는지, 어떤 시스템을 대상으로 작업하고 있는지, 그리고 해당 작업이 승인된 것인지에 대해 더 높은 수준의 확신이 필요합니다. 보다 강력한 신원 및 조직 검증, 승인된 사용 범위 관리, 그리고 오용 모니터링이 발전함에 따라, OpenAI는 시간이 지나면서 접근 권한도 점차 확대될 것으로 기대합니다.
Trusted Access for Cyber에 접근하는 방법은 간단합니다.
- 개인 사용자는 chatgpt.com/cyber(새 창에서 열기)에서 신원을 확인할 수 있습니다.
- 기업은 OpenAI 담당자를 통해 팀의 Trusted Access를 신청할 수 있습니다.
이 절차를 통해 승인된 모든 고객은 이중 용도 사이버 활동에 대해 작동할 수 있는 보호 장치로 인한 제약이 완화된 기존 모델 버전에 접근할 수 있게 됩니다. 이를 통해 보안 교육, 방어 목적의 프로그래밍, 그리고 책임 있는 취약점 연구를 계속 지원할 수 있습니다.
알파 테스트 기간 동안 GPT‑5.5‑Cyber는 이미 중요 시스템에 대한 자동화된 레드팀 테스트를 확장하고 심각도가 높은 취약점을 검증하는 데 사용되었습니다. OpenAI는 책임 있는 공개의 일환으로 이에 대한 내용을 향후 기술 심층 분석 문서에서 공개할 예정입니다.
OpenAI는 앞으로도 Trusted Access for Cyber를 통해 제공되는 주력 모델과 GPT‑5.5‑Cyber 같은 전용 사이버 보안 모델, 그리고 향후 더욱 강력한 사이버 보안 역량을 갖춘 모델을 포함한 다양한 모델을 통해 방어 담당자가 더 빠르게 대응할 수 있도록 계속 지원해 나갈 것으로 기대합니다.
