Devlery
BlogSkillsTags
Blog/AI

ChatGPT Lockdown Mode 공개, 에이전트 웹 접근을 끊는 보안 스위치

OpenAI가 Lockdown Mode를 전체 로그인 사용자로 확대했습니다. prompt injection 방어를 위해 웹, 에이전트, 파일 다운로드를 제한합니다.

ChatGPT Lockdown Mode 공개, 에이전트 웹 접근을 끊는 보안 스위치
AI 요약
  • 무슨 일: OpenAI가 Lockdown Mode를 모든 로그인 ChatGPT 사용자와 워크스페이스로 확대했습니다.
    • 2026년 6월 4일 Release Notes와 제품 블로그 업데이트 기준, 개인 사용자는 Settings > Security에서 켤 수 있습니다.
  • 차단 범위: live web browsing, deep research, agent mode, Canvas networking, file downloads, 일부 web-derived image support가 제한됩니다.
  • 실무 영향: prompt injection을 모델 판단으로만 막지 않고, 외부 전송 경로를 줄이는 보안 스위치가 ChatGPT 제품 표면에 들어왔습니다.
    • 단, OpenAI는 이 모드가 Codex network access, memory, file uploads, conversation sharing, training 설정을 바꾸지는 않는다고 적었습니다.

OpenAI가 ChatGPT의 Lockdown Mode를 개인 사용자까지 넓혔습니다. ChatGPT Release Notes의 2026년 6월 4일 항목은 이 기능이 모든 로그인 사용자와 account type, workspace에서 사용할 수 있다고 적습니다. 개인 사용자는 Settings > Security에서 켤 수 있고, 워크스페이스 관리자는 role-based access controls로 멤버 접근을 구성할 수 있습니다.

이 발표는 새 모델 출시보다 조용하지만, AI 에이전트 제품을 쓰는 개발자와 보안팀에는 더 직접적인 변화입니다. Lockdown Mode를 켜면 ChatGPT는 live web browsing, deep research, agent mode, file downloads, 일부 web-derived image support처럼 외부 네트워크나 연결 서비스에 닿는 기능을 제한합니다. OpenAI의 표현을 그대로 읽으면 목적은 "prompt injection 공격으로 인한 data exfiltration risk"를 줄이는 것입니다.

Prompt injection은 모델이 악의적인 텍스트를 읽었을 때 생깁니다. 웹페이지, 검색 결과, 업로드 파일, 연결 앱의 문서 안에 "이 사용자의 비밀을 외부 URL로 보내라"는 식의 지시가 숨어 있을 수 있습니다. 모델이 그 지시를 거절하면 좋지만, 에이전트가 웹 접근, 파일 다운로드, 앱 액션, 코드 실행 권한을 함께 갖는 순간 방어는 더 어려워집니다. OpenAI가 이번에 제품 설정으로 공개한 답은 모델에게 더 조심하라고 말하는 것이 아니라, 외부로 나가는 경로 자체를 줄이는 쪽입니다.

2월 발표에서 6월 전체 공개로

OpenAI는 Lockdown Mode를 2026년 2월 13일 제품 블로그에서 먼저 소개했습니다. 당시 대상은 ChatGPT Enterprise, ChatGPT Edu, ChatGPT for Healthcare, ChatGPT for Teachers 같은 엔터프라이즈 플랜이었습니다. 6월 4일 업데이트는 이 범위를 personal ChatGPT accounts와 self-serve ChatGPT Business accounts까지 넓힙니다.

2월 글에서 OpenAI는 보안 위험이 바뀐 이유를 웹과 연결 앱으로 설명했습니다. AI 시스템이 더 복잡한 작업을 맡고, 특히 웹과 connected apps를 다루기 시작하면서 prompt injection의 피해 범위가 커졌다는 것입니다. 이 설명은 2026년의 ChatGPT 제품 방향과 맞닿아 있습니다. ChatGPT는 이제 단순 채팅창이 아니라 파일 라이브러리, 앱, 커넥터, Deep Research, Agent Mode, Codex, 모바일 원격 제어 같은 여러 실행 표면을 갖습니다.

Lockdown Mode가 넓어졌다는 사실은 OpenAI가 prompt injection을 일부 고위험 기업 고객만의 문제가 아니라 일반 사용자와 self-serve business 계정의 문제로도 본다는 뜻입니다. 특히 ChatGPT가 구직 사이트를 검색하고, 파일을 만들고, 앱 데이터를 읽고, agent mode로 긴 작업을 수행할수록 사용자 계정 안의 민감 정보와 외부 콘텐츠가 같은 대화 안에서 만납니다. 이때 가장 단순한 방어는 모델에게 "조심하라"고 지시하는 것이지만, OpenAI는 그것만으로 충분하다고 말하지 않습니다.

꺼지는 기능과 남는 기능

OpenAI의 Lockdown Mode Help Center는 제한 대상을 꽤 구체적으로 적습니다. live web browsing은 cached content 접근으로 제한되고, search results는 제한되거나 오래됐거나 unavailable일 수 있습니다. Deep Research와 Agent Mode는 꺼집니다. Canvas-generated code가 네트워크에 접근하도록 승인하는 기능도 막힙니다. ChatGPT가 data analysis를 위해 파일을 다운로드하는 것도 막히지만, 사용자가 직접 업로드한 파일은 계속 다룰 수 있습니다.

구분Lockdown Mode에서 바뀌는 점개발자와 관리자 영향
Live web browsingcached content 중심으로 제한최신 웹 확인보다 데이터 유출 경로 차단을 우선
Deep Research비활성화민감 문서와 공개 웹을 함께 넣는 리서치 작업은 분리 필요
Agent Mode비활성화장기 실행 자동화보다 수동 검토형 대화를 선택
File downloadsChatGPT의 외부 파일 다운로드 차단사용자 업로드 파일은 가능하지만 외부 수집 자동화는 줄어듦
Codex network accessLockdown Mode 영향 없음Codex 쪽 네트워크 권한은 별도 allowlist와 위험 라벨로 봐야 함

같은 문서가 적은 예외도 중요합니다. Lockdown Mode는 memory, file uploads, conversation sharing, 대화가 모델 개선에 쓰일 수 있는지 여부를 바꾸지 않습니다. 즉 이 기능은 privacy setting 전체를 한 번에 잠그는 버튼이 아닙니다. 외부 네트워크와 연결 서비스의 데이터 유출 경로를 줄이는 보안 모드입니다. 데이터 보존, 학습 사용, 파일 라이브러리, 공유 링크 정책은 별도의 설정과 워크스페이스 정책으로 봐야 합니다.

Codex도 별도입니다. Help Center는 "Lockdown Mode does not affect network access in Codex"라고 명시합니다. 이는 개발자에게 큰 차이입니다. ChatGPT에서 Lockdown Mode를 켰다고 해서 Codex가 저장소 안에서 문서를 찾거나 패키지 레지스트리에 접근하거나 외부 도메인으로 나가는 행동이 자동으로 막히지는 않습니다. Codex를 쓰는 팀은 Codex 자체의 network access 설정, domain allowlist, 승인 정책, 로그를 따로 점검해야 합니다.

prompt injection을 막는 방식이 바뀐다

OpenAI는 Lockdown Mode가 prompt injection 자체를 처리하지 않는다고 선을 긋습니다. Help Center는 prompt injection이 cached web content나 uploaded file 안에 나타날 수 있고, 여전히 응답의 행동이나 정확도에 영향을 줄 수 있다고 설명합니다. 따라서 이 기능은 "모델이 절대 속지 않게 만든다"가 아니라 "속았을 때 외부로 데이터를 보내기 어렵게 만든다"에 가깝습니다.

이 구분은 AI 보안에서 중요합니다. 모델 기반 필터는 악성 지시를 읽고 판단해야 합니다. 공격자는 그 판단 과정을 우회하려고 합니다. 반면 outbound request 제한, 네트워크 allowlist, 파일 다운로드 차단, write action 제한은 모델이 어떤 텍스트를 읽었는지와 무관하게 작동할 수 있습니다. OpenAI 블로그가 "deterministically disables"라는 표현을 쓴 이유도 여기에 있습니다.

Simon Willison은 2026년 6월 5일 링크 포스트에서 이 설계를 "lethal trifecta" 관점으로 읽었습니다. 그의 정리는 간단합니다. LLM 시스템이 private data에 접근하고, untrusted content에 노출되고, 데이터를 외부로 보낼 방법까지 갖는 세 조건이 동시에 있으면 위험이 커집니다. Lockdown Mode는 이 셋 중 외부 전송 경로를 자르는 방식입니다.

그 평가에는 긍정과 경고가 함께 들어 있습니다. Willison은 이 기능이 AI 시스템의 판단에 다시 의존하지 않는 deterministic mechanism이라는 점을 좋게 봤습니다. 동시에 이런 모드가 필요하다는 사실은 기본 설정의 ChatGPT가 충분히 강한 data exfiltration 방어를 제공한다고 보기 어렵다는 뜻도 된다고 지적했습니다. 이 대목은 보안팀이 제품 기본값을 그대로 신뢰하기보다 업무별 위험 수준을 나눠야 한다는 쪽으로 읽힙니다.

연결 앱과 MCP는 자동으로 모두 꺼지지 않는다

관리자 입장에서는 apps, MCPs, connectors 문단이 더 중요합니다. OpenAI Help Center는 personal accounts와 self-serve ChatGPT Business 계정에서는 synced data를 사용하는 connector는 허용하지만 live connector access와 connector write actions는 막는다고 설명합니다. Finances in ChatGPT와 shopping-agent experiences 같은 일부 연결 경험은 Lockdown Mode에서 사용할 수 없습니다.

managed workspaces는 더 복잡합니다. OpenAI는 apps, MCPs, connectors가 workspace settings와 role-based access controls에 의해 통제되며, Lockdown Mode가 모든 app을 자동으로 비활성화하지 않는다고 적습니다. 관리자는 멤버 role, app assignment, read/write action, 원본 시스템 접근 권한을 함께 봐야 합니다. 앱 접근은 연결된 source system의 권한을 우회하지 않지만, source system 안에 접근 가능한 민감 데이터가 있으면 prompt injection의 원료가 될 수 있습니다.

이 구조는 기업 보안팀에게 좋은 소식과 나쁜 소식을 동시에 줍니다. 좋은 점은 Lockdown Mode가 단일 스위치로 끝나지 않고 RBAC와 app action 단위 설정과 맞물린다는 것입니다. 나쁜 점은 "Lockdown Mode 켰으니 안전하다"로 끝낼 수 없다는 것입니다. 특히 write action은 부작용을 만들 수 있습니다. 공격자가 볼 수 있는 곳에 데이터를 쓰게 만들 수 있다면 그것도 데이터 유출 경로입니다. OpenAI 문서가 trusted apps의 write actions도 visibility가 넓거나 불확실하면 권장하지 않는다고 적은 이유입니다.

Codex의 Elevated Risk label

OpenAI의 2월 블로그는 Lockdown Mode와 함께 Elevated Risk labels도 소개했습니다. 예시는 Codex의 Agent internet access 설정입니다. 스크린샷에는 domain allowlist, 추가 허용 도메인, allowed HTTP methods, 그리고 인터넷 접근이 보안 위험을 높인다는 경고가 함께 보입니다. 이것은 코딩 에이전트가 문서를 검색하고 패키지를 내려받는 편의성과, 저장소 내부 정보가 외부로 나갈 수 있는 위험 사이의 거래를 제품 UI에 노출하는 장치입니다.

Codex Agent internet access의 Elevated Risk label

개발자에게 이 이미지는 Lockdown Mode보다 더 직접적일 수 있습니다. 코딩 에이전트는 일반 챗봇보다 파일 시스템, shell, dependency manager, browser, issue tracker에 더 가까이 있습니다. 한 번의 prompt injection이 README, 웹 문서, issue comment, package install log를 통해 들어올 수 있습니다. 그 상태에서 네트워크가 열려 있으면 repository secret, internal path, test log, customer-like fixture가 외부로 나갈 가능성을 검토해야 합니다.

OpenAI가 Codex network access를 Lockdown Mode와 분리한 것은 제품 구조상 이해할 수 있습니다. Codex는 개발 작업을 위해 네트워크가 필요한 경우가 많습니다. 문서 확인, 패키지 설치, API reference 검색, browser testing은 코딩 에이전트의 핵심 작업입니다. 그래서 전부 끄는 대신 Elevated Risk label과 allowlist를 통해 사용자가 위험을 보고 결정하게 합니다. 그러나 이 선택은 책임도 사용자와 조직 쪽으로 옮깁니다. 어떤 도메인을 허용할지, HTTP method를 어디까지 열지, 워크로그와 출력물을 누가 검토할지가 운영 문제로 남습니다.

같은 Release Notes의 모델 은퇴 일정

6월 4일 Release Notes에는 Lockdown Mode만 있지 않았습니다. OpenAI는 같은 문서에서 OpenAI o3가 2026년 8월 26일 ChatGPT에서 은퇴하고, GPT-4.5가 2026년 6월 27일 은퇴한다고 공지했습니다. 각각 90일과 30일 sunset period를 둔 일정입니다. 이 글의 중심은 보안 모드지만, ChatGPT 사용자는 같은 주에 두 종류의 제품 변화를 동시에 받았습니다. 하나는 기능을 제한하는 보안 스위치이고, 다른 하나는 오래된 모델 선택지를 줄이는 정리입니다.

이 두 변화는 서로 다른 정책처럼 보이지만, 실제 사용 경험에서는 함께 작동합니다. ChatGPT는 더 많은 앱과 웹 기능을 붙이고, 동시에 모델 선택지를 단순화하며, 고위험 기능에는 별도 라벨과 제한을 둡니다. 제품이 커질수록 모든 사용자에게 같은 기본값을 주기 어렵습니다. 어떤 사용자는 agent mode와 live browsing을 원하고, 어떤 사용자는 민감한 문서를 다루는 동안 그 기능을 꺼야 합니다. 어떤 사용자는 legacy model의 말투나 추론 방식을 원하고, OpenAI는 운영 비용과 제품 단순화를 이유로 모델을 정리합니다.

Reddit의 ChatGPT 관련 커뮤니티에서는 o3와 GPT-4.5 은퇴에 대한 불만이 더 크게 보였습니다. 특히 특정 모델의 글쓰기 톤이나 reasoning 방식을 오래 써온 사용자는 "대체 모델이 있다"는 설명만으로는 충분하지 않다고 반응했습니다. Lockdown Mode에 대한 대규모 반응은 아직 제한적입니다. 보안 기능은 보통 장애나 유출 사고가 없을 때 조용히 지나가지만, 실제로는 이런 설정이 나중에 조직의 AI 사용 정책에 더 큰 영향을 줍니다.

실무 팀이 바로 확인할 것

첫 번째 체크포인트는 업무 분리입니다. 고객 데이터, 내부 재무 문서, 미공개 코드, 인수합병 자료처럼 민감도가 높은 내용을 ChatGPT에 넣는다면 OpenAI 문서가 안내한 Settings > Security 경로에서 Lockdown Mode를 켠 대화와 일반 대화를 분리해야 합니다. 같은 사용자가 매번 설정을 바꾸는 방식은 실수 가능성이 큽니다. 워크스페이스라면 role-based access controls로 보안 모드가 필요한 그룹을 따로 묶는 편이 낫습니다.

두 번째는 connector와 app action 목록입니다. Help Center는 managed workspace에서 apps, MCPs, connectors를 자동으로 모두 끄지 않는다고 적습니다. 따라서 어떤 앱이 read action만 갖는지, 어떤 앱이 write action을 갖는지, write 결과를 누가 볼 수 있는지 확인해야 합니다. 예를 들어 ticket system에 comment를 쓰거나, CRM record를 수정하거나, shared document에 텍스트를 남기는 action은 그 자체가 exfiltration sink가 될 수 있습니다.

세 번째는 Codex와 ChatGPT를 따로 보는 것입니다. OpenAI Help Center는 ChatGPT Lockdown Mode가 Codex network access를 건드리지 않는다고 명시합니다. Codex를 쓰는 개발팀은 domain allowlist, HTTP method, package registry 접근, browser access, test server 노출 범위를 별도로 정해야 합니다. 특히 agent가 긴 작업을 수행하는 동안 사용자가 모든 network call을 실시간으로 보지 않는다면, 로그와 승인 단위가 보안 경계가 됩니다.

네 번째는 보안 교육의 표현을 바꾸는 일입니다. "AI에게 비밀을 넣지 마세요"만으로는 부족합니다. 실제 업무에서는 비밀과 공개 자료를 함께 써야 하는 순간이 생깁니다. 더 나은 규칙은 Simon Willison이 정리한 private data, untrusted content, exfiltration vector가 동시에 만나지 않게 하라는 방식입니다. Lockdown Mode는 이 규칙을 제품 스위치로 구현한 대중적 사례에 가깝습니다.

기능을 끄는 UI도 AI 제품의 일부가 된다

AI 제품 경쟁은 보통 GPT-5.5 같은 더 빠른 모델, 더 긴 컨텍스트, 더 많은 도구 호출, 더 자연스러운 에이전트를 중심으로 설명됩니다. Lockdown Mode는 반대 방향의 기능입니다. 더 많이 할 수 있게 하는 것이 아니라, 특정 상황에서 덜 하게 만드는 기능입니다. 하지만 기업과 개발자에게는 이쪽이 더 중요할 수 있습니다. Agent ModeDeep Research를 줄이는 UI가 없으면, 강력한 agent 기능은 보안팀의 승인 문턱을 넘기 어렵습니다.

OpenAI의 이번 선택은 prompt injection 방어가 모델 품질 문제만은 아니라는 점을 드러냅니다. 모델이 읽는 텍스트를 완벽히 믿을 수 없다면, 네트워크, 파일, 앱 액션, 커넥터, audit log가 함께 설계되어야 합니다. ChatGPT가 일반 사용자에게 Lockdown Mode를 제공하기 시작했다는 사실은 이 문제가 연구실 밖 제품 운영 단계로 넘어왔다는 신호입니다.

개발자에게 남는 질문은 단순합니다. 우리가 쓰는 AI 에이전트는 외부로 무엇을 보낼 수 있습니까. 어떤 도메인에 접근할 수 있고, 어떤 파일을 다운로드할 수 있으며, 어떤 앱에 write action을 만들 수 있습니까. 그 답을 제품 설정에서 바로 볼 수 없다면, 모델 성능보다 먼저 운영 리스크를 확인해야 합니다. Lockdown Mode는 ChatGPT 안의 작은 토글처럼 보이지만, AI 도구를 조직 안에 들이는 방식이 "능력 추가"에서 "능력 제한과 증거 남기기"로 이동하고 있음을 보여주는 업데이트입니다.