오픈AI의 최신 생성형 AI 모델 GPT-5.5가 영국 정부 산하 AI 안전연구소(AISI)의 사이버 보안 역량 평가에서 전문가급 과제 71.4%를 통과하며 역대 최고 수준의 성능을 기록했다. 이는 이전 모델인 GPT-5.4는 물론 경쟁사인 앤트로픽의 최상위 모델들을 모두 상회하는 수치로, AI가 자율적인 사이버 공격 에이전트로서 가질 수 있는 위협적 역량을 실증한 결과다.

오픈AI의 차세대 인공지능 모델 GPT-5.5가 영국 AI 안전연구소(AISI)의 사이버 보안 평가에서 전문가 수준의 과제 71.4%를 완수하며 최상위권 성능을 보였다. 17일 AISI가 공개한 보고서에 따르면 GPT-5.5의 이 같은 성적은 이전 모델인 GPT-5.4의 52.4%를 크게 앞지르는 결과다. 경쟁 모델인 앤트로픽의 클로드 미토스 프리뷰(68.6%)와 클로드 오퍼스 4.7(48.6%)과 비교해도 독보적인 기술적 우위를 점한 것으로 분석된다.

이번 평가는 취약점 연구와 익스플로잇, 리버스 엔지니어링, 웹 공격, 암호 분석 등 사이버 보안의 핵심 역량을 측정하는 95개 과제로 세분화되어 진행되었다. AISI는 보고서를 통해 "GPT-5.5는 이번 사이버 과제에서 시험한 모델 중 가장 강력한 모델일 수 있다"고 명시하며 해당 모델의 파괴력을 공식 확인했다. 이는 생성형 AI의 발전 속도가 단순한 언어 모델의 수준을 넘어 실제적인 기술적 난제를 해결하는 단계에 진입했음을 의미한다.

특히 GPT-5.5는 AISI가 설계한 고난도 기업 네트워크 침투 시뮬레이션인 '더 라스트 원스(The Last Ones)'를 처음부터 끝까지 완수한 두 번째 모델로 기록되었다. 이 시뮬레이션은 AI가 자율적인 공격 에이전트로서 얼마나 위협적인지를 평가하는 핵심 지표로 활용된다. 앞서 클로드 미토스 프리뷰가 해당 시뮬레이션을 최초로 통과한 바 있으며, GPT-5.5는 이번 평가를 통해 그 뒤를 잇는 강력한 공격 역량을 증명했다.

'더 라스트 원스'는 총 32단계로 구성된 복합적인 기업망 공격 모의실험으로 설계되었다. AI 에이전트는 별도의 권한이 부여되지 않은 환경에서 스스로 정찰을 수행하고 자격증명을 탈취하며 내부망으로 이동하는 과정을 자율적으로 판단해야 한다. 공급망 우회와 내부 데이터베이스 유출까지 이어지는 일련의 공격 경로를 인간의 개입 없이 스스로 찾아내야 한다는 점이 이 테스트의 핵심이다.

전문가들은 이 과정의 난도가 매우 높다는 점에 주목하고 있다. AISI의 분석에 따르면 인간 전문가가 이 모든 과제를 수행하는 데에는 약 20시간이 소요될 것으로 추정된다. GPT-5.5는 총 10차례의 시도 중 2차례에 걸쳐 전체 과정을 완료하는 데 성공했다. 비록 클로드 미토스 프리뷰가 10차례 중 3차례 성공한 것에 비해서는 빈도가 낮으나, 전반적인 사이버 보안 과제 통과율에서는 GPT-5.5가 압도적인 우위를 보였다.

다만 모든 영역에서 완벽한 성능을 보인 것은 아니다. GPT-5.5는 산업제어시스템(ICS) 공격 시뮬레이션인 '쿨링 타워' 과제는 해결하지 못한 것으로 드러났다. AISI는 현재까지 어떤 모델도 이 산업 시설 제어 관련 과제를 완료하지 못했다고 덧붙였다. 이는 아직 AI가 국가 기간 시설이나 물리적인 산업 제어망을 직접 타격하는 수준에는 도달하지 못했음을 시사하는 대목이다.

이번 평가 결과에 대해 AISI는 실험 환경의 특수성을 고려해야 한다는 신중한 입장도 함께 내놓았다. 이번 테스트는 실제 공개 서비스와는 차이가 있는 통제된 연구 환경에서 이루어졌으며, 실제 배포 모델에는 추가적인 안전장치와 모니터링 시스템이 적용된다는 설명이다. 테스트 환경 역시 실제 기업 보안망에서 작동하는 방어자와 탐지 도구, 경보 대응 체계를 완벽하게 반영하지는 않았다는 점이 한계로 지적된다.

시장 질서와 보안 법치의 관점에서 볼 때 AI의 공격 역량 강화는 양날의 검과 같다. AISI는 AI 모델의 사이버 공격 역량이 장기 자율성과 추론 능력, 코딩 실력 향상과 궤를 같이하며 빠르게 진화하고 있다고 진단했다. 가까운 시일 내에 추가적인 성능 향상이 잇따를 수 있다는 경고는 보안 업계와 정책 당국에 시급한 대응책 마련을 촉구하고 있다.

결론적으로 GPT-5.5의 이번 성적표는 AI 기술의 진보가 사이버 보안 시장의 패러다임을 근본적으로 뒤흔들 수 있음을 보여준다. 기술의 효율성이 극대화됨에 따라 발생할 수 있는 잠재적 위험을 관리하기 위한 국제적인 보안 표준 확립이 절실한 시점이다. 향후 AI 모델의 자율성이 더욱 고도화될 것으로 예상되는 만큼, 방어 체계의 혁신 역시 기술 발전 속도에 맞춰 가속화되어야 할 것으로 보인다.