AI 시스템의 역량이 높아지면서 AI가 사용자 대신 작업을 수행하는 경우가 점점 늘고 있습니다. 코딩 에이전트는 리포지터리를 자율적으로 검토하고 명령어를 실행하며 개발 도구와 상호작용할 수 있습니다. 모두 이전에는 사람이 직접 수행해야 했던 작업입니다.
Codex는 이러한 역량과 함께 조직이 AI를 안전하게 도입하고 배포하는 데 필요한 제어 기능까지 제공하도록 설계되었습니다. 보안팀에는 에이전트의 작동 방식을 통제할 수단이 필요합니다. 에이전트의 접근 범위, 사람의 승인이 필요한 시점, 상호작용 가능한 시스템, 에이전트의 동작을 설명하는 텔레메트리 등을 직접 제어할 수 있어야 합니다.
OpenAI는 몇 가지 분명한 목표에 따라 Codex를 배포합니다. 에이전트가 정해진 기술적 경계 안에서 작동하도록 하고 위험이 낮은 작업에서는 개발자가 빠르게 작업할 수 있게 하며, 위험이 높은 작업은 명확히 드러나도록 하는 것입니다. 또한 에이전트가 수행한 작업을 이해하고 감사할 수 있도록 에이전트 네이티브 텔레메트리를 보존합니다. 실제 운영 환경에서는 중앙 관리형 설정, 제한된 실행 환경, 네트워크 정책, 에이전트 네이티브 로그를 통해 이를 구현합니다.
OpenAI가 Codex를 배포할 때 기준으로 삼는 원칙은 단순합니다. Codex는 경계가 지정된 환경 안에서 생산적으로 작동해야 하고, 위험이 낮은 일상 작업은 절차적 부담 없이 진행할 수 있어야 하며, 위험이 높은 작업은 사람의 검토를 위해 중단되어야 한다는 것입니다.
승인 정책과 샌드박스는 함께 작동합니다. 샌드박스는 Codex가 파일을 쓸 수 있는 위치, 네트워크 접근 가능 여부, 보호 상태로 유지되는 경로 등을 포함해 기술적 실행 경계를 정의합니다. 승인 정책은 Codex가 샌드박스 밖에서 작업할 때처럼 작업을 실행하기 전에 승인을 요청해야 하는 시점을 결정합니다. 사용자는 특정 작업을 한 번만 승인하거나 같은 유형의 작업이 해당 세션 동안 계속 진행되도록 승인할 수 있습니다.
OpenAI는 샌드박스 경계를 벗어나는 요청에 자동 검토 모드(새 창에서 열기)를 사용합니다. 이 기능을 켜면 특정 유형의 요청이 자동으로 승인되어 사용자가 Codex 작업을 중단하고 직접 승인해야 하는 빈도를 줄일 수 있습니다. Codex는 실행하려는 작업과 최근 컨텍스트를 자동 승인 서브에이전트에 보냅니다. 이 서브에이전트는 사용자 흐름을 중단하지 않고, 위험이 낮은 작업이나 사용자가 필요한 권한을 이미 부여한 위험이 높은 작업을 자동으로 승인할 수 있습니다. 이를 통해 Codex는 일상적인 작업을 계속 진행하면서도 위험이 높거나 의도치 않은 결과를 초래할 수 있는 작업에서는 실행이 중단됩니다.
OpenAI는 Codex에 무제한 아웃바운드 접근 권한을 부여하지 않습니다. 중앙 관리형 네트워크 정책을 통해 예상되는 대상은 허용하고 Codex가 접근하지 않아야 하는 대상은 차단하며, 익숙하지 않은 도메인에 접근할 때는 승인을 요구합니다. 이를 통해 Codex는 광범위한 네트워크 접근 권한 없이도 일반적이고 안전성이 확인된 워크플로를 완료할 수 있습니다.
OpenAI는 Codex의 인증 방식도 관리합니다. CLI와 MCP OAuth 자격 증명은 보안 OS 키링에 저장되고 로그인은 ChatGPT를 통해서만 가능하도록 제한되며, 접근 권한은 OpenAI의 ChatGPT 엔터프라이즈 워크스페이스에 고정됩니다. 이를 통해 워크스페이스에 적용된 제어 기능이 Codex에도 적용되며 사용자는 OpenAI 엔터프라이즈 워크스페이스의 ChatGPT Compliance Logs Platform에서 Codex 활동을 확인할 수 있습니다.
OpenAI는 Codex가 모든 셸 명령어를 똑같이 안전한 것으로 취급하지 않도록 규칙을 적용합니다. 엔지니어가 일상적인 개발 과정에서 사용하는 일반적이고 무해한 명령어는 샌드박스 밖에서도 승인 없이 실행할 수 있지만, 특정한 위험 명령어는 차단되거나 승인이 요구됩니다. 이를 통해 Codex는 일반적인 엔지니어링 작업을 빠르게 처리하면서도, 샌드박스 밖에서 실행되면 안 되는 패턴은 검토를 거치게 하거나 차단할 수 있습니다.
OpenAI는 클라우드 요구 사항, macOS 관리형 환경설정, 로컬 요구 사항 파일을 함께 사용해 보안 기준을 적용합니다. 요구 사항은 관리자가 강제 적용하는 제어 수단이기에 사용자가 임의로 변경할 수 없습니다. macOS 관리형 환경설정과 로컬 요구 사항 파일을 사용하면 일관된 기준선을 유지하면서도 팀, 사용자 그룹, 환경별로 서로 다른 설정을 테스트할 수 있습니다. 이러한 설정은 데스크톱 앱, CLI, IDE 확장 프로그램을 포함한 로컬 Codex 환경 전반에 적용됩니다.
단순히 제어 기능을 갖추는 것만으로는 충분하지 않습니다. 에이전트가 배포된 후에는 보안팀이 에이전트가 무엇을 하고 있는지, 왜 그런 작업을 하는지 파악할 수 있어야 합니다. 기존의 보안 로그는 Codex가 수행한 작업을 살펴볼 때는 유용하지만, 대부분은 프로세스 시작, 파일 변경, 네트워크 연결 시도 같이 발생한 일에 대한 정보만 제공하는 데 그칩니다. 방어자는 여전히 Codex가 특정 작업을 수행한 이유와 사용자의 의도를 별도로 파악해야 합니다.
Codex는 보안팀에 에이전트의 작업 맥락을 더 잘 반영한 관점을 제공할 수 있습니다. Codex는 사용자 프롬프트, 도구 승인 결정, 도구 실행 결과, MCP 서버 사용, 네트워크 프록시 허용 또는 거부 이벤트 등 다양한 Codex 이벤트에 대해 OpenTelemetry 로그 내보내기를 지원합니다. 또한 Enterprise 및 Edu 고객은 OpenAI Compliance Platform에서 Codex 활동 로그를 확인할 수 있습니다.
OpenAI는 Codex 로그를 AI 기반 보안 분류 에이전트와 함께 사용합니다. 엔드포인트 경고가 Codex가 평소와 다른 작업을 수행했다고 알리면 엔드포인트 보안 도구는 의심스러운 이벤트가 발생했다는 사실을 보고합니다. 이때 Codex 로그는 사용자와 에이전트가 어떤 의도로 해당 작업을 수행했는지 파악하는 데 도움을 줍니다. AI 보안 분류 에이전트는 Codex 로그를 사용해 원래 요청, 도구 활동, 승인 결정, 도구 실행 결과, 관련 네트워크 정책 결정이나 차단 여부를 검토합니다. 그런 다음 예상된 에이전트 동작, 무해한 실수, 실제로 에스컬레이션이 필요한 활동을 구분할 수 있도록 분석 결과를 보안팀에 제공합니다.
OpenAI는 동일한 텔레메트리를 운영에도 활용하여 로그를 통해 내부 도입 양상이 어떻게 달라지고 있는지, 어떤 도구와 MCP 서버가 사용되고 있는지, 네트워크 샌드박스가 얼마나 자주 접근을 차단하거나 승인을 요청하는지, 배포 과정에서 아직 조정이 필요한 부분은 어디인지 파악합니다. OpenTelemetry 로그는 SIEM과 컴플라이언스 로깅 시스템에서 중앙 관리할 수 있습니다.
Codex와 같은 코딩 에이전트가 개발 워크플로에 통합되면서 보안팀에는 이러한 변화를 관리할 수 있도록 설계된 도구가 그 어느 때보다 중요해졌습니다. Codex는 안전한 도입에 필요한 제어 수단과 설정 관리 기능, 샌드박스, 에이전트의 작업 맥락을 반영한 상세 텔레메트리를 제공합니다. 이러한 기능을 바탕으로 보안팀은 개발자 생산성을 유지하면서도 Codex의 작동 상황을 자세히 파악하고 엔터프라이즈 보안에 필요한 제어 수준을 확보해, 더 큰 확신을 가지고 Codex를 활성화할 수 있습니다. Codex 구성에 대한 자세한 정보는 여기(새 창에서 열기)에서, Compliance API에 대한 정보는 여기(새 창에서 열기)에서 확인할 수 있습니다.