오픈AI GTAC(정부 신뢰 접근) 프로그램 구조, GPT-5.5-Cyber 사이버보안 전용 모델, 한국 Korea Cyber Action Plan, KISA 시행 체계, TAC 민간 신청 방법까지.
2026년 5월 27일, 오픈AI 최고전략책임자(CSO) 제이슨 권(Jason Kwon)이 서울을 방문해 'Korea Cyber Action Plan'을 발표했다. 핵심은 한국이 오픈AI의 GTAC(Government Trusted Access Collaboration) 프로그램에 미국·캐나다에 이어 세 번째로 가입했다는 것이다.
GTAC는 정부·공공기관에 오픈AI의 최신 사이버보안 전용 AI 모델에 대한 통제된 접근을 허용하는 프로그램이다. 한국 과학기술정보통신부와 협력해 한국인터넷진흥원(KISA)이 시행 기관으로 지정됐다. 사이버보안 특화 모델 GPT-5.5-Cyber도 제한적으로 제공된다. GTAC가 무엇인지, 어떤 보안 워크플로우를 지원하는지, 개발자와 보안팀이 참여하는 방법을 다룬다.
GTAC(Government Trusted Access Collaboration)는 오픈AI가 검증된 정부·공공기관에 최신 AI 모델의 제한적 접근을 부여하는 신뢰 기반 프로그램이다. 일반 API 사용자보다 더 광범위한 사이버보안 쿼리에 응답하도록 모델의 분류기(classifier) 거부율을 낮춘다.
일반 오픈AI API에서는 취약점 분석, 악성코드 분석, 바이너리 리버스 엔지니어링 같은 공격적 보안 작업에 대한 응답이 제한된다. GTAC 참여 기관은 방어 목적의 사이버 작업에 한해 이 제한이 완화된 접근을 받는다. 오픈AI는 이를 '낮은 분류기 거부율(lower classifier-based refusals)'이라고 설명한다.
오픈AI 공식 페이지에서 TAC(Trusted Access for Cyber)와 GTAC를 구분한다. TAC는 민간 기업·방어자를 대상으로 하고, GTAC는 정부·공공기관 특화 버전이다.
GPT-5.5-Cyber는 오픈AI가 2026년 4월 발표한 사이버보안 특화 모델이다. 범용 GPT-5.5 기반에서 사이버 방어 작업에 최적화됐다. 주요 특징은 TAC/GTAC 프로그램 참여자에 한해 제한적 미리보기(limited preview)로 제공된다는 점이다.
GPT-5.5-Cyber가 지원하는 공식 사이버보안 워크플로우는 다음과 같다.
이 다섯 가지는 기존 AI 모델이 공격적 사용 가능성을 이유로 응답을 거부하거나 제한하던 영역이다. GTAC 참여 기관은 방어 목적으로 이 작업들을 AI에 위임할 수 있게 된다.
제이슨 권(Jason Kwon) CSO가 2026년 5월 27일 서울 JW 메리어트 호텔에서 발표한 'Korea Cyber Action Plan'의 주요 내용이다.
GTAC 가입: 한국은 미국·캐나다에 이어 세계에서 세 번째로 GTAC에 가입한 국가가 됐다. 아시아에서는 일본과 함께 최초다. 오픈AI에 따르면 일본도 동시에 가입해 한국·일본이 아시아 최초 GTAC 참여국이 됐다.
시행 기관: 한국인터넷진흥원(KISA)이 GTAC 프로그램의 국내 시행 기관으로 지정됐다. KISA는 공공·민간 기관의 GTAC 참여 신청을 관리하고 오픈AI와 협력한다.
정부 협력: 류제명 과학기술정보통신부 2차관이 5월 26일 오픈AI 제이슨 권 CSO와 면담했다. 기존 취약점 식별·패치 중심의 대응을 넘어 소프트웨어 설계 단계부터 사이버 방어 역량을 강화하는 방향을 논의했다.
오픈AI는 GTAC를 확대 중이다. 공식 페이지(openai.com/index/scaling-trusted-access-for-cyber-defense/)에서 프로그램 원칙과 참여 절차를 공개하고 있다. 향후 유럽·동남아 등 추가 가입국이 늘어날 가능성이 높다.
GTAC의 완화된 접근이 실제 보안 업무에서 어떻게 달라지는지 시나리오별로 정리한다.
취약점 분류 자동화: 수백 개의 CVE를 AI에게 넣고 실제 익스플로잇 가능성, 공격 벡터, CVSS 점수 기반 우선순위를 빠르게 뽑는다. 일반 모델이 구체적인 익스플로잇 분석에서 응답을 제한하는 반면, GTAC 접근은 더 구체적인 분석을 허용한다.
악성코드 샌드박스 분석 보조: 난독화된 악성코드 코드를 붙여넣고 동작 분석·의심 패턴 식별을 AI가 보조한다. 리버스 엔지니어링 결과에서 C2 서버 패턴이나 탈취 시도를 더 빠르게 추출한다.
탐지 규칙 작성: 새 공격 패턴을 기술하면 AI가 Sigma 규칙, KQL 쿼리, Suricata 규칙 등 다양한 포맷으로 탐지 룰을 초안으로 작성해준다.
패치 검증 자동화: 취약점 수정 커밋을 분석해 실제로 취약점이 닫혔는지, 새 공격 면이 열리지는 않는지 AI가 코드 리뷰 형태로 확인한다.
TAC(민간 기업·방어자)와 GTAC(정부·공공기관)는 신청 경로가 다르다.
TAC (민간 기업·보안팀): 오픈AI 공식 신청 폼(openai.com/form/enterprise-trusted-access-for-cyber/)을 통해 신청한다. 조직의 방어 사이버보안 역할, 사용 목적, 기술적 역량을 기술해야 한다. 오픈AI 심사 후 승인이 나면 GPT-5.5-Cyber 포함 전문 모델 접근 권한이 부여된다.
GTAC (공공기관·정부): 각국 지정 시행 기관을 통한다. 한국의 경우 KISA(한국인터넷진흥원)가 창구다. KISA를 통해 기관 인증 절차를 거친 후 오픈AI GTAC 접근이 허용된다.
주의사항: TAC/GTAC는 공격적 해킹, 악의적 사용이 아닌 방어 목적으로만 허용된다. 오픈AI는 사용 로그를 모니터링하며 약관 위반 시 접근이 취소된다. 개인 개발자보다 MSSP(관리형 보안 서비스 업체), CERT, 정부 사이버 대응 팀이 주 대상이다.
가장 큰 차이는 사이버보안 관련 쿼리에서 AI의 응답 제한이 완화된다는 점입니다. 일반 API는 취약점 상세 분석, 악성코드 동작 설명, 리버스 엔지니어링 보조 요청에 응답을 거부하거나 제한하는 경우가 많습니다. GTAC 접근에서는 방어 목적으로 검증된 기관에 한해 이 제한이 낮춰집니다.
GPT-5.5-Cyber는 범용 GPT-5.5 기반에 사이버보안 작업 특화 파인튜닝 또는 시스템 프롬프트 설정이 적용된 버전입니다. 취약점 분석, 악성코드 분류, 탐지 규칙 작성 등 방어 사이버 작업에서 더 상세하고 기술적인 응답을 제공하도록 최적화됐습니다. TAC/GTAC 프로그램 참여자에게만 제한적 미리보기로 제공됩니다.
TAC는 주로 MSSP(관리형 보안 서비스 업체), CERT, 정부 사이버 대응팀, 방어 보안 기업을 대상으로 합니다. 개인 연구자도 오픈AI 신청 폼(openai.com/form/enterprise-trusted-access-for-cyber/)을 통해 지원할 수 있지만, 오픈AI가 조직의 역할과 사용 목적을 심사해 승인 여부를 결정합니다. 개인 연구자보다 조직 기반 신청자가 승인될 가능성이 높습니다.
KISA(한국인터넷진흥원)가 창구가 됨으로써 국내 공공기관·정부 부처가 개별적으로 오픈AI와 협상하지 않고 KISA를 통해 일괄 신청·관리할 수 있게 됩니다. KISA는 국내 사이버 침해사고 대응의 공식 기관으로, GTAC를 통해 AI 기반 보안 분석 역량을 강화하는 역할을 맡게 됩니다.
오픈AI 측은 AI 모델이 공격자와 방어자 모두에게 접근 가능하므로, 방어 측에 더 강력한 도구를 먼저 제공해 균형을 맞추려는 목적이라고 설명합니다. 또한 정부·공공기관과의 신뢰 관계 구축을 통해 AI 규제 환경에서 우호적 위치를 확보하려는 전략적 측면도 있습니다. 기업 엔터프라이즈 영업의 일환이기도 합니다.
오픈AI는 TAC/GTAC 사용 로그를 모니터링한다고 밝혔습니다. 방어 목적 외 공격적 사용이나 약관 위반이 탐지되면 접근이 취소됩니다. 기관 단위로 사용하는 만큼, 개인 실수보다는 조직 차원의 명백한 위반 사례가 관리 대상입니다. 사용 목적을 방어 워크플로우로 명확히 유지하는 것이 중요합니다.
