OpenAI에서 Codex를 안전하게 실행하기

Source: OpenAI Blog

번역할 텍스트를 제공해 주시면 한국어로 번역해 드리겠습니다.

개요

AI 시스템이 점점 더 능력을 갖추면서, 사용자 대신 행동하는 경우가 늘어나고 있습니다. 코딩 에이전트는 이제:

• 저장소를 자동으로 검토
• 명령 실행
• 개발 도구와 상호 작용

이러한 작업은 이전에 직접 인간이 수행해야 했습니다.

Codex — 기능 및 제어

Codex를 통해 강력한 에이전트 기능 과 안전한 배포를 위한 조직 차원의 제어를 구축했습니다.

보안 팀이 관리해야 할 사항

• 액세스 제한 – 에이전트가 접근할 수 있는 파일, 서비스 또는 API를 정의합니다.
• 인간 개입 – 작업이 진행되기 전에 명시적인 승인이 필요할 시점을 지정합니다.
• 시스템 상호작용 경계 – 에이전트가 통신할 수 있는 외부 시스템(예: CI 파이프라인, 데이터베이스)을 제한합니다.
• 텔레메트리 및 가시성 – 에이전트의 동작을 설명하는 상세 로그를 수집합니다.

OpenAI의 배포 목표

1. 기술적 격리 – 에이전트를 명확하고 강제 가능한 경계 안에 유지합니다.
2. 신속한 저위험 행동 – 불필요한 마찰 없이 안전한 작업을 빠르게 수행할 수 있도록 합니다.
3. 명시적인 고위험 행동 – 더 높은 위험이 수반되는 활동을 가시화하고 명시적인 확인을 요구합니다.
4. 에이전트‑네이티브 텔레메트리 – 에이전트가 수행하는 모든 단계를 이해하고 감사할 수 있도록 상세 로그를 보존합니다.

이러한 목표를 달성하는 방법

• 관리형 구성 – 에이전트가 할 수 있는 일을 규정하는 중앙 집중식 정책.
• 제한된 실행 – 정의된 한계를 강제하는 샌드박스 런타임.
• 네트워크 정책 – 인바운드 및 아웃바운드 트래픽을 제어하는 화이트리스트/블랙리스트.
• 에이전트‑네이티브 로그 – 입력, 결정, 결과를 기록하는 구조화되고 검색 가능한 로그.

강력한 기능과 엄격한 거버넌스를 결합함으로써 Codex는 개발자가 자율 코딩 에이전트를 안전하고 투명하게 활용할 수 있도록 지원합니다.

Codex 작동 방식 제어

우리는 Codex를 제한된 환경 내 생산성이라는 간단한 원칙으로 운영합니다.

• 위험이 낮은 일상적인 작업은 마찰 없이 진행되어야 합니다.
• 위험이 높은 작업은 검토를 위해 중단되어야 합니다.

1. 샌드박스 + 승인 정책

2. 자동 검토 모드

• 목적: 일상적이고 위험이 낮은 요청에 대한 중단을 최소화합니다.
• 작동 방식:
  1. Codex가 계획된 작업과 최근 컨텍스트를 자동 승인 서브 에이전트에 보냅니다.
  2. 서브 에이전트는 위험이 낮은 기준에 부합하는 작업을 자동으로 승인합니다.
  3. 위험이 높거나 애매한 작업만 사용자를 중단시킵니다.

결과: Codex는 일상적인 작업에서는 생산성을 유지하고, 잠재적으로 위험한 작업에서는 중단됩니다.

3. 네트워크 접근 제어

• 무제한 외부 접근 금지.
• 관리형 네트워크 정책
  • 알려지고 기대되는 목적지 허용.
  • 허용되지 않은 목적지는 차단.
  • 익숙하지 않은 도메인에 대해서는 승인 필요.

이를 통해 Codex는 광범위한 인터넷 접근 권한 없이도 일반적이고 신뢰할 수 있는 워크플로를 수행할 수 있습니다.

4. 인증 관리

5. 명령 안전 규칙

• 무해한 명령(예: git status, npm install) → 샌드박스 외부라도 승인 없이 허용.
• 위험한 명령(예: rm -rf /, dd if=) → 차단하거나 명시적 승인 필요.

이는 일반적인 엔지니어링 작업을 빠르게 수행하면서 원치 않거나 파괴적인 행동을 방지합니다.

6. 시행 메커니즘

1. 클라우드 관리 요구사항 – 관리자가 강제하는 제어로 사용자가 무시할 수 없음.
2. macOS 관리 환경설정 – 중앙 집중식 기본 구성.
3. 로컬 요구사항 파일 – 팀, 사용자 그룹, 환경별로 다른 구성을 테스트 가능.

이 메커니즘은 모든 Codex 인터페이스에 일관되게 적용됩니다:

• 데스크톱 앱
• CLI
• IDE 확장

샌드박스, 승인 정책, 자동 검토, 엄격한 네트워크/인증 제어, 명령 안전 규칙, 계층형 시행을 결합함으로써 우리는 안전하면서도 생산적인 Codex 배포를 실현합니다.

에이전트‑네이티브 텔레메트리 및 감사 추적

제어는 일의 절반에 불과합니다. 에이전트를 배포한 후에는 보안 팀이 에이전트가 무엇을 하고 왜 하는지에 대한 가시성이 필요합니다. 기존 보안 로그는 “프로세스 시작”, “파일 변경”, “네트워크 연결 시도”와 같은 이벤트를 포착하지만, 이러한 행동 뒤에 있는 의도를 설명해 주지는 못합니다.

Codex가 제공하는 내용

텔레메트리 활용 방법

1. 사건 트라이에지

   • 엔드포인트 알림이 “Codex가 비정상적인 동작을 수행함”을 표시합니다.
   • 엔드포인트 도구가 의심스러운 이벤트를 보고합니다.
   • Codex 로그를 조회하여 다음을 확인합니다:
     • 원본 사용자 요청.
     • 모든 도구 호출 및 그 결과.
     • 에이전트가 내린 승인 결정.
     • 네트워크 정책 결정(허용/거부).
   • AI‑기반 보안 트라이에지 에이전트가 이 정보를 종합해 보안 팀에게 간결한 분석을 제공하고, 다음을 구분하도록 돕습니다:
     • 예상된 에이전트 동작.
     • 무해한 실수.
     • 실제로 에스컬레이션이 필요한 활동.

2. 운영 인사이트

   • 내부 도입 추세 추적(어떤 도구와 MCP 서버가 가장 많이 사용되는지).
   • 네트워크‑샌드박스 활동 측정(차단 빈도 vs. 프롬프트).
   • 조정이 필요한 롤아웃 마찰 지점 식별.

3. 중앙 집중식 모니터링

   • 내보낸 OpenTelemetry 로그를 SIEM 및 컴플라이언스 로깅 시스템에 수집하여 다음을 가능하게 합니다:
     • 실시간 알림.
     • 감사용 장기 보관.
     • 다른 보안 텔레메트리와의 연관 분석.

혜택

• 컨텍스트 기반 가시성 – 보안 팀이 에이전트 행동의 무엇과 왜를 모두 확인합니다.
• 조사 속도 향상 – 자동화된 트라이에지가 평균 조사 시간(MTTI)을 단축합니다.
• 지속적인 개선 – 운영 메트릭이 정책 개선 및 에이전트 업데이트를 안내합니다.
• 컴플라이언스 준비 – 로그가 기업 감사 요구사항을 충족하며, 규제에 따라 보관할 수 있습니다.

Codex의 네이티브 텔레메트리를 활용하면 조직은 원시 이벤트를 실행 가능한 인텔리전스로 전환하는 포괄적인 에이전트‑인식 감사 추적을 확보할 수 있습니다.

앞으로의 전망

코덱스와 같은 코딩 에이전트가 개발 워크플로에 통합됨에 따라, 보안 팀은 이 변화를 관리하기 위해 특별히 설계된 도구가 필요합니다. 코덱스는 안전한 도입을 보장하기 위해 필요한 제어 인터페이스, 구성 관리, 샌드박싱, 그리고 상세한 에이전트 인식 텔레메트리를 제공합니다. 이러한 기능이 갖춰지면 보안 팀은 개발자 생산성을 유지하면서 기업 보안에 필요한 가시성과 제어를 확보한 채 코덱스를 보다 자신 있게 활성화할 수 있습니다.

• 코덱스 구성에 대한 자세한 내용은 여기에서 확인할 수 있습니다.
• 컴플라이언스 API에 대한 세부 사항은 여기에서 확인할 수 있습니다.