Ch4. 보안 가이드

Codex 보안 가이드는 승인 기반 실행, 샌드박스, 데이터 보호 원칙을 강조합니다. 운영 환경에서는 최소 권한과 감사 가능성을 기본으로 설계해야 합니다.

운영 체크리스트(시니어용)

• 최소 권한 원칙: 필요한 도구만 허용
• 민감 데이터 분리: 토큰/키는 환경 변수로 관리
• 로그 관리: 민감 정보가 로그에 남지 않도록 규칙화
• 입력 크기 제한: CLI는 ~1M자 입력 크기 제한이 적용됩니다(0.106.0+, 대용량 붙여넣기 행 방지)

샌드박스/네트워크 기본값을 "정책"으로 고정

• 기본 workspace-write는 네트워크 접근이 꺼져 있는 구성으로 운영하는 것이 안전합니다(필요 시 설정으로만 예외 허용).
• full access(danger-full-access/--yolo)는 "최후의 수단"으로만 두고, 가능하면 컨테이너/격리 환경에서만 허용하세요.
• Linux 샌드박스 환경에서는 최소 /dev 디바이스 노드가 제공됩니다(0.105.0+).

최근 보안 패치

샌드박스/네트워크 하드닝 (0.107.0~0.112.0)

• structured network approvals: host/protocol 정보가 더 잘 보여 네트워크 승인 리뷰 품질이 올라감
• requirements 기반 network constraints: 조직 차원에서 어떤 네트워크 경로/검색 모드를 허용할지 강제 가능
• rerun 시 sandbox 보존: 승인 후 재실행되는 shell command가 원래 sandbox config를 유지
• per-turn sandbox merge: zsh-fork skill 실행은 turn 단위 sandbox policy에 추가 권한을 합치는 식으로 더 정교해짐
• bubblewrap/macOS seatbelt 하드닝: Linux user namespace 분리, macOS 네트워크·unix socket 처리 안정성 개선
• 이미지 출력 제한: js_repl 이미지는 data: URL만 허용하도록 강화되어 외부 URL 전달 위험이 줄어듦

네트워크 프록시 하드닝 및 신뢰 부트스트랩 (0.113.0)

• 신뢰 부트스트랩 수정: 프로젝트 신뢰(trust)가 확립되기 전에 git 명령이 실행되던 문제가 수정되었습니다. 이제 신뢰 검증이 완료된 후에만 git 명령이 실행되므로, 신뢰되지 않은 레포에서의 의도치 않은 코드 실행 위험이 줄어듭니다.
• SQLite 기반 감사 로그: 로그가 전용 SQLite DB로 이동되어 타임스탬프, 자동 정리(pruning), 보관 기한(retention) 설정이 가능해졌습니다. 감사 추적이 필요한 조직에서는 이 DB를 백업/모니터링 대상에 포함하세요.

deny-read + trusted workspace 가드레일 (0.122.0)

0.122.0에서는 보안 경계가 한 단계 더 명시적으로 강화됐습니다.

• deny-read glob 정책: permissions profile에서 특정 파일/패턴을 "none"으로 막아, 작업 루트 안에서도 읽지 못하게 할 수 있음
• managed deny-read requirements: 조직 관리 레이어에서 읽기 금지 패턴을 강제 가능
• project hooks / exec policy는 trusted workspace에서만: 신뢰되지 않은 워크스페이스에서 훅이나 exec policy가 실행되지 않도록 강화
• logout 시 managed ChatGPT token revoke: 공용 머신/원격 머신에서 세션 정리 신뢰도가 높아짐
• Windows sandbox grant 축소: user profile·SSH root에 대한 과도한 권한 부여를 피하도록 수정

Codex Security 리서치 프리뷰 (2026-03-06)

GPT-5.4 기반의 Codex Security가 Enterprise/Business/Edu 고객에게 리서치 프리뷰로 제공됩니다. 이전 "Aardvark" 프라이빗 베타(2025-10)의 정식 진화입니다.

핵심 특성

• 프로젝트별 위협 모델링: 코드베이스 구조를 이해하고 맞춤 위협 모델을 생성
• 샌드박스 검증: 발견된 취약점을 격리 환경에서 자동 검증
• 노이즈 감소: 오탐 50% 감소, 과잉 심각도 판정 90% 감소, 전체 노이즈 84% 감소
• 실적: 1.2M 커밋 스캔, 792개 크리티컬 + 10,561개 하이 심각도 발견

# Codex Security는 웹 인터페이스에서 접근 (첫 달 무료)
# Enterprise/Business/Edu 고객 대상

감사 가능성(리뷰 루프) 만들기

Codex가 만든 변경은 "AI가 만들었다"가 아니라 "PR"로 취급하는 편이 안전합니다.

• diff → 테스트 → 요약 순서의 루틴을 팀에 고정
• 커밋 메시지/PR 설명에 "무엇을 왜 바꿨는지, 어떤 검증을 했는지"를 남겨 감사 가능성 확보
• /review와 /diff를 기본 루틴에 포함
• /review는 별도 review_model을 지정해 리뷰 품질을 독립적으로 관리 가능

CI 전용 정책(권장)

• 샌드박스는 read-only, 승인은 never 조합을 기본으로 두고(완전 무인 실행), 쓰기/네트워크가 필요할 때만 단계적으로 권한을 올립니다.
• CI에서는 "최소 입력/최대 출력"을 목표로, JSONL/스키마 출력으로 파이프라인 통합을 우선합니다.

관리자 강제(requirements.toml)로 사고를 선제 차단

개인 설정/CLI 플래그로 정책이 흔들리지 않게, 조직 차원에서 허용 가능한 범위를 제한할 수 있습니다.

예: never 승인/danger-full-access 샌드박스(및 --yolo)를 차단

# /etc/codex/requirements.toml (Unix 예시)
allowed_approval_policies = ["untrusted", "on-request"]
allowed_sandbox_modes = ["read-only", "workspace-write"]

레거시 호환을 위해 managed_config.toml의 일부 필드가 요구사항(requirements)처럼 해석될 수 있으므로, 조직 내 혼용 여부를 점검하세요.

멀티에이전트 보안 고려사항

sub-agent는 부모의 샌드박스 정책을 상속하되, 비대화형 승인으로 동작합니다. 추가 승인이 필요한 작업은 실패하고 에러가 부모에게 전달되므로, 정책 설계 시 이 점을 고려하세요.

모니터링/텔레메트리(OTel) 운영 팁

Codex는 OpenTelemetry(OTel) 기반의 옵트인 텔레메트리를 지원합니다. 기본은 꺼져 있으며, 감사/컴플라이언스 목적일 때만 명시적으로 켭니다.

• 수집기는 반드시 조직이 통제하는 인프라로 제한(보관/접근 제어 포함)
• 프롬프트 본문 저장은 정책적으로 허용된 경우에만(기본은 비권장)
• 네트워크가 꺼진 실행에서는 OTel export가 실패할 수 있으므로 "어디서 export할지"를 먼저 합의

참고 문서

• Codex 보안: https://developers.openai.com/codex/security (영어)
• 슬래시 커맨드(/review, /diff): https://developers.openai.com/codex/cli/slash-commands (영어)
• config 레퍼런스(정책 키): https://developers.openai.com/codex/config-reference (영어)
• Multi-agent 보안: https://developers.openai.com/codex/multi-agent (영어)
• GitHub Releases: https://github.com/openai/codex/releases (영어)