OpenAI 세션 관리 추가, Codex CLI는 로그아웃 밖
OpenAI Active sessions는 ChatGPT·Codex·API 세션을 보여주지만 Codex CLI와 연결 앱은 별도 관리 대상입니다.
- 무슨 일: OpenAI가 2026년 6월 2일 ChatGPT에
Active sessions를 추가했습니다.- Settings > Security에서 device, app, approximate location, sign-in time을 보고 세션별 로그아웃을 할 수 있습니다.
- 경계: 표시 대상은 ChatGPT, Codex, API Platform 세션이지만
Codex CLI sessions는 제외됩니다. - 실무 영향: 코딩 에이전트 운영자는 세션 UI, CLI credential, OAuth grant, API key를 한 표에서 따로 관리해야 합니다.
- Connected apps와 third-party Sign in with ChatGPT 세션도 이 화면의 로그아웃 버튼만으로 정리되지 않습니다.
OpenAI가 2026년 6월 2일 ChatGPT 릴리스 노트에 Active sessions를 추가했습니다. 사용자는 ChatGPT의 Settings > Security > Active sessions에서 first-party OpenAI 세션을 확인하고, 낯선 세션을 개별 로그아웃하거나 전체 로그아웃할 수 있습니다. 릴리스 노트가 열거한 표시 정보는 device, app, approximate location, sign-in time, trusted-device status, current session 여부입니다.
이 기능은 일반적인 계정 보안 업데이트처럼 보이지만, Codex를 쓰는 개발팀에는 더 구체적인 사건입니다. OpenAI는 같은 문단에서 Active sessions가 ChatGPT, Codex, API Platform 세션을 가능한 범위에서 보여준다고 썼습니다. 이어서 third-party app sessions, connected apps, 제3자 서비스에서 쓰인 Sign in with ChatGPT 세션, Codex CLI sessions는 이 화면이 관리하지 않는다고 못박았습니다. 제품 표면은 하나의 OpenAI 계정으로 묶이지만, 로그아웃 경계는 하나가 아닙니다.
최근 Codex의 확장을 보면 이 단서가 작지 않습니다. OpenAI의 Codex 도움말은 이 범위를 설명합니다. Using Codex with your ChatGPT plan. Codex는 ChatGPT Plus, Pro, Business, Enterprise/Edu에 포함됩니다. 같은 문서는 제한 기간 동안 Free와 Go에도 Codex가 포함된다고 적었습니다. Codex app, Codex CLI, IDE extension, Codex web도 같은 시작 경로에 놓습니다. ChatGPT 구독, API Platform, 로컬 코딩 에이전트, 클라우드 위임 작업이 한 계정 경험 안에서 이어지는 셈입니다.
계정 경험이 이어질수록 보안 대응은 더 어려워집니다. ChatGPT 채팅 세션 하나를 끊는 일과 로컬 코딩 에이전트의 credential을 끊는 일은 다릅니다. Codex CLI는 터미널에서 파일을 읽고, 패치를 만들고, 모드에 따라 shell command 실행까지 제안하거나 수행합니다. OpenAI의 Codex CLI 시작 문서는 기본 Suggest, Auto Edit, Full Auto approval mode를 나누고, Full Auto에서는 sandbox 안에서 파일 쓰기와 명령 실행이 가능하다고 설명합니다. 계정 탈취나 분실 기기 대응에서 이 표면은 단순 채팅보다 권한 검토가 더 필요합니다.
OpenAI의 기존 전체 로그아웃 도움말도 경계를 나눕니다. ChatGPT의 Log out all은 현재 세션을 즉시 로그아웃하고, 다른 active ChatGPT sessions가 로그아웃되기까지 최대 30분이 걸릴 수 있다고 적었습니다. API Platform 쪽은 Security tab의 Log out all로 active API Platform sessions across all devices를 즉시 닫는다고 설명합니다. 같은 "전체 로그아웃"이라는 말이 붙어도 ChatGPT와 API Platform의 처리 시간과 관리 위치가 다릅니다.
Active sessions는 이 분리를 한 화면으로 조금 좁힙니다. 사용자는 이제 ChatGPT 안에서 앱 이름과 로그인 시간을 보며 낯선 first-party 세션을 찾을 수 있습니다. 노트북을 분실했거나, 공용 PC에서 로그인 상태를 남겼거나, 원격 작업 중 어느 기기에서 Codex 앱을 열어뒀는지 기억나지 않을 때 이 화면은 첫 점검 지점이 됩니다. 특히 Codex 앱과 API Platform 세션이 함께 보이는 경우, 개발자는 "채팅 계정"이 아니라 "개발 도구 계정"으로 OpenAI 로그인을 다뤄야 합니다.
다만 릴리스 노트의 제외 목록은 운영 문서에 그대로 옮겨야 합니다. Codex CLI sessions가 Active sessions로 관리되지 않는다는 말은, ChatGPT 보안 화면에서 낯선 세션을 모두 끊어도 CLI 쪽 상태가 별도로 남을 수 있다는 뜻입니다. OpenAI의 CLI sign-in 도움말은 이 분리를 설명합니다. Codex CLI and Sign in with ChatGPT. ChatGPT session token과 CLI-generated secret keys는 separate입니다. 하나를 revoke해도 다른 하나가 자동으로 사라지지 않습니다. OAuth grant를 disconnect하고 필요하면 key를 delete해야 한다는 문구도 있습니다.
이 대목은 팀 보안 절차에서 자주 빠집니다. SaaS 관리자는 보통 "계정 로그아웃", "비밀번호 재설정", "2FA 재등록"을 사고 대응의 기본 카드로 둡니다. 코딩 에이전트에서는 여기에 로컬 credential store, ~/.codex 또는 운영체제 keychain, CLI-generated API key, OAuth grant, GitHub 연결, workspace app permission이 붙습니다. Active sessions는 낯선 first-party 세션을 찾는 기능이지, 로컬 기기에 저장된 모든 자동화 credential을 수거하는 기능이 아닙니다.
OpenAI Codex 도움말의 enterprise setup 항목도 같은 방향을 가리킵니다. Business와 Enterprise/Edu에서는 plugin access가 workspace app controls를 따르고, admins나 owners가 Workspace settings > Apps에서 앱을 끄거나 action 권한을 정할 수 있습니다. Enterprise/Edu admins와 owners는 RBAC로 특정 user role에 Codex access를 줄 수 있습니다. 이 제어들은 Active sessions의 로그아웃 버튼과 성격이 다릅니다. 하나는 현재 로그인 상태를 끊고, 다른 하나는 앞으로 쓸 수 있는 권한을 줄입니다.
Compliance API도 별도 축입니다. OpenAI는 Codex usage, local clients such as CLI and IDE extension, web or cloud-delegated usage가 Compliance API에 available하다고 설명합니다. 이 로그 표면은 "어떤 세션이 켜져 있는가"보다 "어떤 Codex 사용이 발생했는가"를 보는 장치입니다. 예를 들어 퇴사자 계정에서 지난주 Codex CLI 사용 흔적이 있는지, 특정 시간대에 cloud-delegated task가 있었는지, IDE extension 사용과 web Codex 사용이 섞였는지를 추적하는 일은 Active sessions 화면만으로 끝나지 않습니다.
Connected services는 또 다른 분리면입니다. Codex 도움말은 ChatGPT and Codex conversations remain separate라고 설명하면서도, 일부 settings와 connected services가 carry over될 수 있다고 적었습니다. 예시는 ChatGPT에서 Google Drive를 연결하면 Codex에서도 available할 수 있다는 내용입니다. 사용자는 ChatGPT 채팅과 Codex 작업이 분리되어 있다고 느낄 수 있지만, 연결 앱의 권한은 제품 표면을 넘어갑니다. Active sessions가 connected apps를 관리하지 않는다고 명시한 이유가 여기에 있습니다.
| 점검 항목 | Active sessions로 확인 | 별도 조치 |
|---|---|---|
| ChatGPT first-party 세션 | device, app, 로그인 시간, current session | 필요하면 개별 또는 전체 로그아웃 |
| Codex 앱·웹 세션 | 가능한 범위에서 세션 목록에 표시 | RBAC, Codex Local/Cloud control, Compliance API 확인 |
| Codex CLI | 릴리스 노트가 관리 제외로 명시 | CLI logout, local credential, OAuth grant, API key 폐기 |
| Connected apps | 관리 제외 | 앱 연결 해제와 workspace app permission 점검 |
개발팀의 사고 대응표는 이 네 줄을 분리해야 합니다. 첫째, ChatGPT 보안 화면에서 낯선 세션을 끊습니다. 둘째, API Platform에서 active session과 API key를 따로 봅니다. 셋째, Codex CLI가 설치된 개발자 기기에서 local credential과 OAuth grant를 지웁니다. 넷째, Google Drive, GitHub, Outlook, Gmail 같은 connected apps와 workspace app controls를 확인합니다. 한 사람이 ChatGPT, API Platform, Codex CLI, Codex app을 모두 쓰는 팀에서는 이 네 절차가 같은 티켓 안에 있어야 합니다.
이 기능을 계정 탈취 방어만으로 읽는 것도 좁습니다. Codex는 장시간 작업을 맡고, 데스크톱 앱과 IDE extension은 로컬 프로젝트를 읽습니다. OpenAI 릴리스 노트는 2026년 5월 29일 Codex update에서 Windows Computer Use, remote control for Windows, usage profiles를 함께 언급했습니다. Windows machine은 project files, shell, app server, local context의 host로 남고, 사용자는 ChatGPT 모바일이나 Mac의 Codex에서 진행 상황을 확인하고 steering할 수 있습니다. 이런 원격 제어 구조에서는 세션 목록이 곧 작업 표면 목록에 가까워집니다.
사용량 관리도 같은 계정 경계에 붙습니다. Codex 도움말은 Codex, ChatGPT for Excel, Workspace Agents가 agentic usage limit에 포함된다고 설명합니다. 작은 script나 simple function은 allowance의 일부만 쓰지만, 큰 codebase와 long running task는 한 메시지당 훨씬 더 많이 쓸 수 있다고 적었습니다. Active sessions가 보여주는 app과 sign-in time은 비용 감사의 직접 도구는 아니지만, 낯선 기기나 오래 열린 앱이 agentic usage를 만들었는지 확인하는 출발점이 될 수 있습니다.
개인 개발자에게도 작업은 단순합니다. OpenAI 계정을 여러 기기에서 쓴다면 Active sessions를 먼저 열어 낯선 app과 approximate location을 봅니다. Codex CLI를 터미널에서 쓴 적이 있다면 ChatGPT 보안 화면만 믿지 말고 CLI logout, local credential 파일, 운영체제 credential store, API Platform key 목록을 따로 확인합니다. ChatGPT에서 Google Drive나 GitHub 같은 앱을 연결했다면, Codex에서도 사용 가능할 수 있다는 도움말 문구를 기준으로 연결 앱을 정리합니다.
기업 관리자에게 필요한 질문은 더 구체적입니다. "사용자가 OpenAI에 로그인했는가"보다 "어느 surface에서 무엇을 할 수 있는가"를 물어야 합니다. Codex Local은 CLI, IDE extension, app local workflows를 뜻하고, Codex Cloud는 cloud task 위임을 뜻합니다. Remote Control permission은 다른 Codex client에서 local app environment를 연결하고 제어할 때 필요할 수 있습니다. Active sessions는 이 권한 모델을 대체하지 않습니다. 세션을 끊는 기능과 권한을 제거하는 기능을 섞으면 퇴사자 처리와 사고 대응에서 빈틈이 남습니다.
커뮤니티 반응은 아직 조용합니다. 2026년 6월 3일 KST 기준 Hacker News와 GeekNews에서 Active sessions 자체가 큰 토론으로 올라온 흔적은 제한적입니다. 대신 Reddit과 Codex 주변 글에서는 CLI 로그인, refresh token, 모델 지원, 세션 토큰 사용량, logout/login으로 해결한 인증 문제가 반복됩니다. 새 기능에 대한 찬반보다, 개발자가 이미 Codex 세션을 별도 운영 대상으로 경험하고 있다는 점이 더 눈에 띕니다.
이번 업데이트의 실질적 가치는 세션 가시성을 OpenAI 제품군 전체로 넓힌 데 있습니다. ChatGPT만 쓰는 사용자에게는 분실 기기 대응이 쉬워집니다. Codex와 API Platform을 함께 쓰는 개발자에게는 어떤 first-party OpenAI surface가 로그인되어 있는지 보는 공통 출발점이 생깁니다. 그러나 릴리스 노트의 제외 문구까지 같이 읽어야 합니다. Codex CLI, connected apps, third-party Sign in with ChatGPT 세션은 같은 화면의 보호를 받지 않습니다.
OpenAI가 2026년 6월 2일 공개한 것은 완성된 엔터프라이즈 세션 관리 콘솔이 아닙니다. 더 정확히는 ChatGPT 계정 보안 화면이 코딩 에이전트 시대의 일부 세션을 보기 시작한 사건입니다. 개발팀이 지금 할 일은 기능을 켜는 데서 끝나지 않습니다. 사내 Runbook에 Active sessions, API Platform logout, Codex CLI credential removal, OAuth grant revoke, connected app disconnect, Compliance API review를 별도 항목으로 적어야 합니다. 코딩 에이전트가 파일과 터미널을 다루는 순간, 로그아웃 버튼 하나가 모든 권한을 회수한다는 가정은 더 이상 충분하지 않습니다.