OpenAI '사이버 신뢰등급' 출시 — 한국은 AI EXPO·연구데이터법으로 인프라 마무리

OpenAI는 5월 7일 검증된 보안 연구·방어 인력에게 GPT-5.5와 그 변형 모델 GPT-5.5-Cyber의 권한을 풀어주는 'Trusted Access for Cyber' 프로그램을 공개했다. 일반 모델(표준 거부율) → 중간 등급(완화된 필터, 방어 전용) → GPT-5.5-Cyber(최소 제한)의 3단계 접근 체계로, 가장 권한이 높은 GPT-5.5-Cyber는 취약점 식별·트리아지, 멀웨어 분석, 바이너리 리버스 엔지니어링, 디텍션 엔지니어링, 패치 검증까지 허용된다. 단 자격 증명 탈취·은닉·지속화·외부 시스템 침투처럼 공격 색이 짙은 워크플로우는 차단을 유지한다.

론칭 파트너는 7개사로 전 세계 보안 1군이 모였다. CrowdStrike·SentinelOne(엔드포인트), Palo Alto Networks·Cisco(네트워크·SOC), Cloudflare(엣지), Snyk(소프트웨어 공급망), Intel(하드웨어 보안)이 조합돼 있다. 개별 사용자 단위로 Trusted Access를 받는 연구자는 2026년 6월 1일부터 피싱 저항형 인증(Advanced Account Security) 활성화가 의무라는 게 OpenAI의 공지다.

벤치마크는 영국 AI Safety Institute(AISI)가 작성했다. 32단계로 구성된 기업망 모의 침투 시나리오에서 GPT-5.5는 10회 중 2회 전 단계를 완주했고, Anthropic의 동급 모델 Mythos는 10회 중 3회 완주했다. 개별 전문가 과제에서는 GPT-5.5가 약간 우세였다는 게 AISI의 평가다. Anthropic Mythos는 'Project Glasswing'이라는 자체 트러스트 프로그램으로 약 40개 조직만 접근하는 폐쇄형이라, OpenAI 쪽이 파트너 폭에서 한 차원 넓힌 셈이다.

OpenAI는 이번 첫 프리뷰가 GPT-5.5 대비 사이버 능력을 비약적으로 끌어올린 모델은 아니며, 사용 권한을 보안 워크플로우 쪽으로 더 넓혀준 모델이라고 명시했다. 모델 자체보다 '검증·등급·인증'이라는 운용 프레임이 핵심이라는 의미다.

왜 중요한가 — 거부율을 낮춘 보안 전용 LLM은 그동안 '미러 코인' 문제(공격에도 그대로 쓰일 수 있다)로 막혀 있었다. OpenAI가 7개 보안업체와 묶어 등급제로 풀면서, 사이버 방어용 LLM 시장의 표준 운영 모델이 사실상 정해졌다. 안트로픽이 Mythos 액세스를 어디까지 풀지가 다음 변수다.

5월 8일 코엑스 A홀에서 막을 내린 '제9회 국제인공지능대전(AI EXPO KOREA 2026)'은 18개국 350개사·600부스 규모로 진행됐고 사흘간 누적 5만 명의 참관을 목표로 잡았다. 한국인공지능협회·서울메쎄·인공지능신문이 공동 주최한 이번 행사의 키워드는 실행형 AI, 즉 텍스트·이미지를 만들어내는 단계가 아니라 데이터 분석·업무 자동화·전문 의사결정을 직접 수행하는 단계의 AI다.

전시는 4개 축(AI 에이전트 / LLM / AI 인프라 / Physical AI)으로 나뉘었고, SKT 정예팀은 5,190억 매개변수 'A.X K1'을 시연 부스로 끌고 나왔다. KT와 LG유플러스는 6G와 산업 AI 솔루션을 묶었고, 한컴 자회사 씽크프리·씨이랩 등 국내 SaaS·데이터 업체들이 업무 완결형 솔루션을 들고 들어왔다. 일정 첫날 김민석 국무총리는 영상 축사에서 AI의 진짜 가치는 현장에 있다며 정부의 산업 지원 의지를 강조했다.

전시 둘째 날에는 한국인공지능협회(KORAIA) 김현철 회장이 협회 창립 10주년을 맞아 다음 10년 비전을 선언했다. 슬로건은 Changers — 미래를 바라보고, 미래를 앞당긴다. 협회는 회원사 지원에서 산업 리더십으로 역할을 옮기겠다며 ① CAIO(Chief AI Officer) 포럼 ② AI데이터센터 추진위원회 ③ AI 지정학 전략 포럼(AGS Forum)이라는 3개 신설 조직을 함께 발표했다.

전시 마지막 날 키노트 'The AI Frontier 2036'은 기술 패권 경쟁기에 '소버린 AI'를 어떻게 확보할지를 주제로 잡고, 국가 AI컴퓨팅센터(2028년 개소·GPU 5만 장 로드맵)와 8월 전후의 AI데이터센터 특별법 시행령 작업이 향후 1년의 변수라는 정리를 내놓았다. 9.9조 원으로 3배가 된 정부 AI 예산이 어디로 흐를지가 다음 분기의 관전 포인트다.

왜 중요한가 — 'AI 도입 단계'가 끝나고 '실행과 검증' 단계로 표어가 바뀐 첫 전시다. 정책(데이터센터법·예산), 협회(KORAIA 비전), 모델(A.X K1·솔라·엑사원) 세 축이 같은 주에 정렬됐다는 점에서, 한국 AI 산업의 인프라 단계 정비가 사실상 마무리됐다고 볼 수 있다.

국회는 5월 7일 본회의에서 더불어민주당 복기왕 의원이 대표발의한 '국가연구데이터 관리 및 활용 촉진에 관한 법률안' 등 패키지 6건을 의결했다. 같은 날 통과된 AI데이터센터 특별법(2027년 2월 시행)과 묶이는 사실상 한 세트의 입법으로, 연구데이터법은 국무회의 의결·공포 절차를 거쳐 1년 뒤인 2027년 5월부터 시행된다.

법안의 골자는 국가 R&D 사업 과정에서 만들어진 데이터를 '국가 자산'으로 축적·관리해 AI 학습 등 후속 활용에 풀어주는 것이다. 그동안 R&D 결과물(논문·보고서) 외의 원시 데이터는 부처별·기관별로 산재돼 있어, 정작 한국형 LLM이 학습 데이터 부족에 시달리는 모순이 컸다. 발의자인 복기왕 의원은 연구데이터는 AI 시대의 쌀이라며 글로벌 AI 기술 패권 경쟁 대응을 입법 명분으로 제시했다.

운영은 국가데이터처가 맡아 표준 메타데이터·접근 권한·보안 등급을 일괄 정의하고, 부처 간 칸막이를 넘어 AI 모델사·연구기관이 학습용 데이터셋으로 이용할 수 있게 한다. 시행령에는 민감 데이터(보건·국방)의 익명화 절차와 상업적 활용 라이선스 체계가 담길 예정이다.

이번 패키지는 같은 날 처리된 AI데이터센터 특별법(전력계통영향평가 면제·인허가 일괄처리)과 함께 작동한다. 특별법이 '컴퓨팅 용량'을 풀고, 연구데이터법이 '학습 데이터'를 푸는 구조다. 1년의 유예기는 부처별 메타데이터 표준화·등급 분류 작업에 소요된다.

왜 중요한가 — 한국형 파운데이션 모델 5개사 정예팀(SKT·LG·업스테이지·네이버·NC)이 공통적으로 호소해온 한국어·한국 맥락 학습 데이터 부족의 제도적 출구가 처음으로 마련됐다. 시행 전 1년 동안 메타데이터 표준이 어떻게 짜이느냐가 LLM 학습 파이프라인의 1차 변수가 된다.