오픈AI가 GPT-5.5를 기반으로 개발한 사이버보안 전용 AI ‘사이버(Cyber)’를 공개했다. 사이버는 일반 공개가 아닌 제한적 배포 방식을 택했다. 오픈AI는 ‘사이버를 위한 신뢰 접근(TAC, Trusted Access for Cyber)’이라는 검증 프로그램을 통해 핵심 방어 전문가에게만 접근을 허용한다.
제한 공개 방식은 AI 안전성을 둘러싼 업계 내 이중적 태도를 드러내는 사례이기도 하다. 올트먼은 앞서 앤트로픽이 고급 AI 모델 미토스(Mythos)를 제한적으로만 배포하는 방식을 두고 ‘공포 기반 마케팅’이라고 비판한 바 있다. 그러나 이번에 오픈AI가 사이버에 같은 전략을 적용하면서 앤트로픽에 대한 비판이 부메랑이 됐다는 지적이 나온다.
배경으로는 앤트로픽 미토스에서 이미 무단 접근 사례가 발생한 점이 있다. 강력한 AI 역량이 적절한 통제 없이 배포될 경우 사이버 공격에 악용될 수 있다는 우려가 현실로 나타난 것이다. 오픈AI는 이 선례를 감안해 사이버의 경우 배포 단계부터 사용 주체를 엄격히 검증하는 방식을 선택했다.
사이버보안 분야는 AI 활용이 특히 첨예한 영역이다. AI가 방어에도 쓰이지만 공격에도 똑같이 강력하기 때문이다. 코드 취약점 탐지, 침투 테스트 자동화, 악성코드 분석 등 방어적 용도와 함께 피싱, 익스플로잇 자동 생성 등 공격적 용도로의 전용 위험이 상존한다. TAC 프로그램은 이 양날의 칼 문제에 대응하기 위한 거버넌스 실험으로 볼 수 있다.
국내 사이버보안 업계도 AI 기반 보안 도구 도입 시 비슷한 딜레마를 마주하게 될 것이다. 강력한 AI 보안 도구를 도입하려면 사용자 자격 검증과 활용 목적 통제 체계가 선행돼야 한다. 정부 인증 보안 전문가나 특정 기관만 고급 AI 보안 도구에 접근할 수 있도록 하는 국내 가이드라인 마련이 필요해지는 시점이다.
