오픈AI가 6일(현지시간) 민감한 데이터를 다루는 사용자와 조직을 대상으로 ‘락다운 모드(Lockdown Mode)’를 공개했다. 회사는 이 기능이 웹페이지나 기타 콘텐츠 소스에 숨겨진 악성 지시로 모델을 오도하는 프롬프트 인젝션(prompt injection) 공격으로부터 데이터가 외부로 유출되는 위험을 줄이기 위해 설계됐다고 설명했다. 다만 오픈AI는 락다운 모드를 켜더라도 공격에 여전히 취약할 수 있으며, 특히 캐시된 웹 콘텐츠나 업로드된 파일에 포함된 인젝션이 응답에 영향을 줄 수 있다고 경고했다.
락다운 모드가 ‘막는 것’과 ‘허용하는 것’
TechCrunch에 따르면 락다운 모드는 기본적으로 ChatGPT가 웹과 상호작용하는 방식을 제한해 인젝션 경로를 줄이는 데 초점을 둔다. 구체적으로는 라이브 웹 브라우징을 비활성화해 실시간으로 웹 페이지를 가져와 해석·응답하는 과정 자체를 줄이고, 대신 캐시된 콘텐츠에만 접근하도록 구성된다.
또한 웹에서 이미지를 조회하고 표시하는 기능을 제한한다. 다만 오픈AI는 이미지 생성 자체는 계속 가능하다고 밝혔다. 이 밖에도 딥 리서치(Deep Research)와 에이전트 모드(Agent Mode)가 락다운 모드에서는 동작하지 않거나 제한될 수 있다. 오픈AI는 이런 제약이 공격자가 모델의 추론 흐름에 끼어들 수 있는 “외부 입력의 표면적(surface area)”을 줄이는 효과가 있다고 본다.
오픈AI 관계자는 락다운 모드가 ‘모든 사용자용’은 아니라고 전제했다. 민감한 정보를 다루는 기업·조직, 또는 보안 요구가 높은 개인이 데이터 유출(exfiltration) 리스크를 더 엄격히 관리하려는 목적에 맞춰 제공된다는 설명이다.
“켜도 0% 보장은 아니다”…남는 취약 지점
락다운 모드의 핵심은 위험을 낮추는 것이지 완전한 차단이 아니라는 점에서 업계의 현실적인 보안 프레임을 그대로 반영한다. 오픈AI는 기능을 켜더라도 ChatGPT가 프롬프트 인젝션에 여전히 취약할 수 있다고 명시했다.
회사는 예시로, 인젝션 지시가 캐시된 웹 콘텐츠에 포함돼 있거나, 사용자가 업로드한 파일 안에 악성 문구가 들어 있는 경우를 들었다. 이런 상황에서는 라이브 브라우징을 끈다고 해도 모델이 접하는 입력 자체에 공격 문구가 포함될 수 있기 때문에, 락다운 모드는 근본적으로 “공격이 불가능해지는 상태”를 보장하진 못한다는 의미다.
즉, 오픈AI는 락다운 모드를 일종의 ‘방어용 설정’으로 포지셔닝하며, 사용자가 민감정보 처리 환경에서 기능 제한과 운영정책을 함께 고려해야 한다는 메시지를 던진 셈이다.
확대되는 AI 보안 경쟁, ‘기능 제한’이 표준이 되나
최근 프롬프트 인젝션 이슈는 웹 기반 대화형 AI가 실제 서비스로 확장되는 과정에서 반복적으로 부각돼 왔다. 특히 사용자의 작업 흐름이 “검색→요약→추론”으로 이어질수록, 모델이 참조하는 외부 텍스트가 공격 벡터가 될 가능성은 커진다. 이 때문에 오픈AI의 락다운 모드는 기술적 방어뿐 아니라 기능적 제어(예: 라이브 웹 비활성화, 에이전트/딥 리서치 제한)를 함께 제공한다는 점에서 주목된다.
이번 조치는 경쟁사나 다른 플랫폼에서도 유사한 접근—즉, 민감한 업무에서는 모델이 사용할 도구와 외부 입출력 방식을 줄이는 방식—이 더 보편화될 수 있음을 시사한다. 동시에 “완전한 무결성”보다는 “위험 수준 관리”에 초점이 맞춰지고 있다는 점도 드러난다.
누가 쓸 수 있나…ChatGPT Business 중심의 롤아웃
오픈AI는 락다운 모드를 현재 셀프 서브(Self-serve) 방식의 ChatGPT Business 계정에 먼저 제공하고, 자격이 있는 개인 계정에도 순차적으로 적용하고 있다고 밝혔다. 이는 기업 사용자들이 프롬프트 인젝션과 같은 위협을 더 구체적인 운영 리스크로 체감해 온 데 따른 행보로 해석된다.
락다운 모드는 특정 기능들이 제한되는 만큼, 사용자 경험 측면에서는 불편이 생길 수 있다. 하지만 민감정보가 개입되는 업무(예: 기업 데이터, 내부 문서, 규정 관련 질의)에서는 그 불편이 ‘안전장치의 비용’으로 받아들여질 가능성이 크다.
무엇을 지켜봐야 하나
향후 관건은 락다운 모드가 실제로 어떤 공격 유형에서 성과를 보이는지, 그리고 기능 제한 외에 추가적인 방어 레이어가 더해질지 여부다. 오픈AI가 경고한 것처럼 캐시된 콘텐츠나 업로드 파일에 포함된 인젝션까지 완전히 해결하려면 입력 검증, 권한 관리, 데이터 흐름 통제 등 다층적 접근이 필요하다.
또한 정부·정책 측면에서도 AI 안전과 거버넌스 논의가 이어지고 있는 만큼(오픈AI 관련 정부 지분 논의, AI 정책 자문 역할 변화 등은 별개 기사에서 다뤄져 왔다), 기업들은 락다운 모드를 단독 기능이 아니라 보안 프로토콜의 일부로 도입할 가능성이 높다. 사용자는 락다운 모드가 언제, 어떤 작업에 적합한지—그리고 제한된 기능이 업무 흐름에 미치는 영향을—면밀히 점검해야 한다.
댓글