Codex Windows 샌드박스: 로컬 에이전트의 권한을 줄이다
OpenAI가 Windows에서 Codex가 명령과 코드를 격리 실행하는 샌드박스 구조를 공개했다.
핵심 판단: Windows용 Codex 샌드박스는 “AI가 안전하게 코드를 실행한다”는 추상적 약속을 제한 토큰·무결성 수준·파일 ACL이라는 운영체제 경계로 구체화했다.
코딩 에이전트는 코드를 읽는 것만으로 충분하지 않다. 빌드 도구를 실행하고 파일을 수정하며 때로는 네트워크에 접근한다. 샌드박스가 없으면 프롬프트 인젝션이나 잘못된 명령이 사용자 계정의 모든 권한을 상속할 수 있다. Windows 구현은 Unix 권한 모델을 흉내 내는 대신 Windows 보안 토큰과 ACL을 조합했다.
발표를 한눈에 보기
- 발표 주체: OpenAI
- 공식 발표일: 2026-05-13
- 대상: Codex Windows sandbox
- 발표 당시 상태: Windows 샌드박스 아키텍처와 구현 원칙 공개
- 이 글의 질문: 로컬 코딩 에이전트에 필요한 작업 권한만 주고 사용자 환경과 비밀정보를 어떻게 분리하는가?
제한된 사용자 토큰과 파일 ACL, 네트워크 제어로 개발자가 승인 범위를 확인할 수 있는 실행 모델을 설명했다.
기술 구조: 무엇이 실제로 달라졌나
Windows 보안 토큰, Mandatory Integrity Control, 파일 권한을 조합해 에이전트가 필요한 작업 공간만 수정하도록 한다.
Windows 프로세스는 사용자와 그룹, 권한이 담긴 액세스 토큰을 사용한다. 샌드박스는 제한된 토큰과 Mandatory Integrity Control, 파일 ACL을 조합해 에이전트 프로세스가 접근할 수 있는 자원을 줄인다. 작업 공간에는 필요한 권한을 부여하고 다른 사용자 파일과 민감 경로는 차단한다. 네트워크 정책도 별도 계층으로 다룬다.
이 방식은 가상 머신보다 가볍지만 같은 커널을 공유한다. 따라서 커널이나 허용된 도구의 취약점, 사용자가 직접 승인한 위험 명령, 이미 작업 공간에 들어온 비밀정보까지 모두 막지는 못한다. 최소 권한, 사용자 승인, 감사 로그, 업데이트가 함께 필요하다.
작동 흐름: 작업 공간과 정책 계산 → 제한된 Windows 토큰 생성 → ACL·무결성·네트워크 경계 적용 → 자식 프로세스 실행 → 파일·명령·네트워크 감사 → 승인 시 제한적 권한 확장
이 구조에서 개발자가 가져갈 설계 원칙은 다음과 같다:
- 샌드박스를 하나의 불리언 기능이 아니라 파일, 프로세스, 레지스트리, 네트워크 권한의 정책 묶음으로 다룬다.
- 권한 상승은 명령 문자열이 아니라 예상 효과와 대상 자원을 사용자에게 보여주고 승인받는다.
- 작업 공간 안의 비밀정보도 노출될 수 있으므로 개발 자격증명은 짧은 수명과 최소 범위를 사용한다.
발표가 바꾼 것과 바꾸지 않은 것
로컬 코딩 에이전트의 채택이 모델 성능보다 운영체제별 최소 권한 구현에 달려 있음을 보여줬다.
Windows 샌드박스 공개는 코딩 에이전트의 플랫폼 지원이 UI 포팅이 아니라 보안 모델 구현임을 보여줬다. 로컬 실행의 신뢰는 모델 공급자의 정책보다 운영체제가 실제로 거부하는 권한에 달려 있다. 기업 도입에서는 모델 평가와 엔드포인트 보안 평가를 같은 프로젝트로 다뤄야 한다.
다만 다음 문제까지 해결됐다고 확대 해석해서는 안 된다:
- 같은 커널을 공유하는 샌드박스는 완전한 VM 격리와 동일하지 않다.
- 허용된 컴파일러·패키지 관리자·브라우저의 취약점은 추가 탈출 경로가 될 수 있다.
- 사용자가 승인한 명령의 결과와 저장소 자체에 포함된 악성 빌드 스크립트는 별도 위협이다.
직접 평가한다면 이렇게 본다
발표사의 종합 점수 하나를 재현하는 것보다, 실제 제품의 입력과 실패 비용에 맞춘 평가가 더 유용하다. 이 주제라면 다음 순서로 확인한다:
- 작업 공간 밖 사용자 문서, SSH 키, 브라우저 데이터, 레지스트리 접근을 부정 테스트한다.
- 자식 프로세스와 스크립트, 심볼릭 링크·junction을 통해 권한이 전이되는지 확인한다.
- 네트워크 차단과 허용 목록에서 DNS, 프록시, 로컬 서비스 우회를 시험한다.
- 권한 거부 후 에이전트가 무한 재시도하지 않고 필요한 승격과 위험을 설명하는지 본다.
샌드박스 검증은 정상 빌드가 되는지와 탈출이 막히는지를 모두 포함해야 한다. 기능 테스트만 통과하면 보안 경계가 실제로 작동하는지 알 수 없다.
내 판단
코딩 에이전트에서 샌드박스는 부가 기능이 아니라 실행 모델의 핵심이다. 좋은 설계는 모든 명령을 막는 것이 아니라 일상 작업은 낮은 권한으로 자연스럽게 수행하고, 드문 상승만 명확히 드러낸다. 에이전트가 똑똑해질수록 의도보다 OS가 강제하는 경계를 신뢰해야 한다.
샌드박스는 커널·도구 취약점과 사용자가 승인한 위험 명령까지 막지 못하므로 다층 방어가 필요했다.
검증 범위
이 글은 공식 발표와 공개된 기술 자료를 바탕으로 구조와 제품 영향을 분석했다. 직접 벤치마크나 장기 운영 검증은 수행하지 않았으며, 발표사가 제시한 수치는 해당 기관의 평가 조건에 한정해 해석했다. 업데이트 시점은 2026년 7월 18일이다.