Sea의 Codex 도입 발표에서 숫자 하나가 눈에 띈다. 개발자의 87%가 매주 Codex를 쓴다. OpenAI가 Sea의 공동창업자 David Chen과 나눈 인터뷰에 직접 명시된 수치다. 생산성 향상이 실제로 일어나고 있다는 신호다. 그런데 아무도 큰 소리로 묻지 않은 질문이 있다. 그 AI는 지금 회사 컴퓨터에서 정확히 뭘 할 수 있는 상태인가?
이 질문은 개발자만의 것이 아니다. AI 코딩 도구 도입을 승인하거나 검토하는 자리에 있는 사람이라면, 이 도구가 회사 시스템에서 어느 범위까지 움직일 수 있는지 알고 결정해야 한다. 모르고 도입하면, 생산성 향상과 동시에 회사 코드·데이터·시스템 전체가 열려 있는 상태가 된다.
---
AI 코딩 도구는 열쇠 꾸러미 전체를 받는다
AI 코딩 도구는 기본적으로 사용자의 모든 권한으로 실행된다.
권한(permission)이란 쉽게 말해 "이 계정이 열 수 있는 문의 목록"이다. 파일을 읽고 쓰는 문, 인터넷에 연결하는 문, 다른 프로그램을 실행하는 문. 개발자 계정은 업무 특성상 이 문들이 넓게 열려 있는 경우가 많다.
Copilot이든 Codex든, AI 코딩 도구를 설치하고 실행하는 순간 그 도구는 실행 중인 사용자의 열쇠 꾸러미를 통째로 받는다. 도구 자체가 특별히 권한을 얻는 게 아니다. 단지 당신이 열 수 있는 모든 문을 AI도 열 수 있게 되는 것이다.
여기서 문제가 시작된다. AI 코딩 도구는 코드를 생성할 뿐 아니라, 그 코드를 직접 실행하는 에이전트 방식으로 점점 진화하고 있다. 에이전트란 사람이 명령할 때마다 응답하는 것이 아니라, 목표를 주면 중간 과정을 스스로 판단해 자동으로 실행하는 AI를 말한다. Codex가 바로 이 방향으로 설계된 도구다. 코드를 써주는 것을 넘어, 파일을 만들고, 테스트를 실행하고, 결과에 따라 다음 단계를 스스로 결정한다.
즉, 사람이 키보드에서 손을 뗀 사이에도 AI가 회사 시스템 안을 돌아다닌다. 그 AI가 가진 열쇠가 얼마나 많은지가 핵심이다.
---
왜 놀이터 울타리가 필요한가
이 문제의 해법으로 보안 전문가들이 공통적으로 꼽는 것이 샌드박스다. 샌드박스(Sandbox)란 AI가 접근할 수 있는 영역을 미리 정해둔 격리된 공간이다. 아이들이 놀이터 모래밭 안에서만 놀도록 울타리를 치는 것과 같다. 밖에 뭐가 있든 모래밭 안에서만 움직일 수 있다.
코딩 에이전트는 고위험 로컬 작업에 OS 수준의 샌드박스 경계가 필요하다. 이것은 단순한 권고가 아니다. AI가 코드를 스스로 실행하는 환경에서, 소프트웨어 수준의 제한만으로는 충분하지 않다는 판단이다. 운영체제(OS) 자체가 "이 프로세스는 이 영역 밖으로 나갈 수 없다"고 강제해야 한다.
리눅스(Linux) 환경에서는 이미 이를 위한 도구가 존재한다. Seccomp은 리눅스 커널이 제공하는 보안 기능으로, 특정 프로세스가 운영체제에 요청할 수 있는 명령의 종류를 미리 제한하는 것이다. 예를 들어 "이 AI 프로세스는 파일 읽기만 가능하고, 네트워크 연결 요청은 차단"처럼 설정할 수 있다. Bubblewrap은 리눅스에서 쓰이는 경량 샌드박스 도구로, 프로세스가 접근할 수 있는 파일 시스템과 네트워크 범위를 격리하는 데 사용된다.
문제는 윈도우다.
---
윈도우 환경은 왜 더 까다로운가
Windows는 기본 샌드박싱 기능이 없다. 리눅스에는 Seccomp, Bubblewrap 같은 도구가 OS 수준에서 기본 탑재되거나 쉽게 적용할 수 있는 형태로 존재하지만, 윈도우는 이에 상응하는 기본 격리 기능이 없다. 윈도우 샌드박스(Windows Sandbox)라는 기능이 존재하긴 하지만, 이는 별도의 가상 환경을 띄우는 방식이라 AI 코딩 도구의 일상적 작업 흐름에 바로 적용하기 어렵다.
국내 기업 환경을 생각해보면 이 차이는 작지 않다. 개발팀이 맥OS나 리눅스를 주로 쓰는 스타트업과 달리, 중견·대기업 개발 환경에는 윈도우 기반 PC가 여전히 많다. AI 코딩 도구를 윈도우 환경에 도입할 때는 OS 기본 기능에 의존할 수 없어서 별도의 상용 샌드박스 솔루션이나 가상화 계층을 추가로 구축해야 한다. 이 단계를 건너뛴 채 도구만 설치하면, AI 에이전트는 사용자 권한 전체를 가진 채로 아무 울타리 없는 공간에서 실행된다.
악의적인 공격만이 문제가 아니다. AI가 생성한 코드 자체에 오류가 있을 때도 마찬가지다. 잘못 생성된 코드가 실행되면서 의도하지 않은 파일을 덮어쓰거나, 잘못된 네트워크 요청을 보내는 일이 생길 수 있다. 공격이 없어도 손상은 일어날 수 있다.
---
Sea의 87%와 우리가 놓친 질문
여기서 Sea의 사례로 돌아가야 한다. OpenAI 공식 발표에 따르면 Sea는 전체 개발 조직에 Codex를 배포했고, 사용자의 87%가 매주 활성 사용자다. David Chen은 이를 "생산성의 단순 향상이 아니라, 엔지니어링 팀이 복잡성을 다루는 방식 자체의 변화"라고 표현했다.
이 수치와 발언을 부정할 이유는 없다. Sea는 싱가포르에 본사를 둔 글로벌 테크 기업으로, 디지털 엔터테인먼트·이커머스·디지털 금융 서비스를 운영하며 보안에 상당한 자원을 투입하는 조직이다. 내부적으로 보안 검증을 거쳤을 가능성은 높다.
그러나 공개된 발표에는 보안 아키텍처에 대한 설명이 없다. "어떤 권한 범위로 실행하는지", "샌드박스 환경을 구성했는지", "에이전트가 자율 실행할 때 승인 단계가 있는지"는 나오지 않는다. Sea가 이미 해결했을 수도 있다. 하지만 그 내용이 공개되지 않은 채 "87% 도입률"만 전파되면, 다른 조직이 이를 따라할 때 보안 체계 없이 속도만 가져가는 상황이 만들어진다.
여기에 더 구조적인 문제가 있다. 장기 실행 에이전트 작업은 사람의 승인 체크포인트를 거쳐야 한다. 이것은 단순한 조언이 아니라, 에이전트 AI의 리스크 관리에서 핵심 원칙으로 논의되는 내용이다. 장기 실행 작업(long-running agent work)이란 사람이 개입하지 않고 AI가 수십 분에서 수 시간 동안 스스로 작업을 이어가는 방식을 말한다. Codex처럼 자율 실행 방식으로 설계된 도구는 바로 이 영역에서 동작한다.
문제는 현재 Codex가 이 승인 체크포인트를 얼마나 촘촘하게 구현하고 있는지 외부에서 확인할 방법이 없다는 점이다. 도구가 중간에 "이 작업을 계속해도 됩니까?"라고 묻는 빈도, 어떤 작업에서 묻는지, 사용자가 이를 끄거나 줄일 수 있는지. 이 내용이 사용하는 조직의 보안 정책과 맞아야 한다. Sea의 도입 속도는 분명한 성과다. 하지만 다른 조직이 따라갈 때 빠진 고리가 이 지점이다.
---
도입 전에 세 가지를 먼저 확인하라
AI 코딩 도구의 생산성 효과는 부정하기 어렵다. Sea의 사례가 아니더라도, GitHub Copilot을 대상으로 한 Microsoft의 연구에서 개발자 생산성이 유의미하게 향상됐다는 결과가 여러 차례 나왔다. 문제는 효과가 없느냐가 아니라, 효과를 가져오는 조건을 갖췄느냐다.
도입 전 체크해야 할 세 가지를 순서대로 정리한다.
첫째, 이 도구가 어떤 권한으로 실행되는지 명시적으로 제한했는가. 설치 후 "잘 되네"로 끝내면 안 된다. 도구가 접근할 수 있는 폴더, 네트워크, 다른 프로세스 범위를 사용 전에 정의하고 제한해야 한다. 제한이 없으면 사용자 계정의 전체 권한이 그대로 AI에 넘어간다.
둘째, 운영 환경에 맞는 샌드박스를 구성했는가. 리눅스 환경이라면 Seccomp과 Bubblewrap을 조합해 프로세스 수준의 격리를 적용할 수 있다. 윈도우 환경이라면 OS 기본 기능에 의존할 수 없으므로, 별도의 가상화 계층이나 컨테이너 솔루션을 사전에 구축해야 한다. 샌드박스 없이 도구만 배포하는 것은 울타리 없는 놀이터에 아이를 혼자 두는 것과 같다.
셋째, 장시간 실행되는 작업에 사람의 승인 단계가 설계되어 있는가. 에이전트 방식의 AI 도구는 한번 목표를 받으면 스스로 수십 분간 작업을 이어간다. 이 구간에서 AI가 어떤 결정을 내리는지 사람이 중간에 확인하는 지점이 없으면, 잘못된 방향으로 진행된 작업이 시스템에 반영된 뒤에야 발견된다. 어느 시점에서 승인을 요청하도록 설정할 수 있는지, 그 설정이 조직의 보안 정책과 맞는지를 도입 전에 확인해야 한다.
Sea의 87%는 이 세 가지를 갖춘 조직이 거둔 숫자일 가능성이 높다. 그 숫자만 가져가고 조건을 건너뛰면, 생산성과 함께 가져오는 것이 하나 더 생긴다. 회사 시스템 전체를 향해 열려 있는 문이다.