Codex CLI는 에이전트를 어떻게 샌드박싱하는가 — OS 네이티브 격리 심층 분석

코딩 에이전트의 보안 딜레마

• 코딩 에이전트는 bash 접근 권한이 있어야 강력해지는데, 이게 동시에 가장 위험한 부분임 — 임의의 bash 세션이 프로덕션 자격증명 접근이나 홈 디렉토리 삭제까지 가능하게 만듦
• 가장 안전한 방법은 가상화(컨테이너 부팅 후 제한된 범위에서 실행)인데, 실제로 이렇게 하는 사람은 거의 없음. --dangerously-skip-permissions 플래그 이름이 잘 지어졌지만 대부분 그냥 무시하고 실행함
• Claude Code나 Cursor에서 쓰는 커맨드 화이트리스트 방식은 brittle함 — 새 디렉토리에서 명령 실행하면 cd조차 승인 필요하고, 자리를 비우면 사실상 사용 불가능함

Codex의 3가지 권한 모드

• Read Only: 파일 읽기와 질문 답변만 가능. 편집, 명령 실행, 네트워크 접근 모두 승인 필요
• Auto (기본값): 워크스페이스 내 파일 읽기, 편집, 명령 실행 가능. 워크스페이스 외부 접근이나 네트워크는 승인 필요
• Full Access: 네트워크 포함 모든 권한을 승인 없이 사용 가능

실행 파이프라인 구조

sequenceDiagram
    participant Agent as 코딩 에이전트
    participant Main as main() / arg0_dispatch_or_else
    participant Router as process_exec_tool_call
    participant Safety as assess_command_safety
    participant SB as SandboxType 라우터
    participant Mac as macOS Seatbelt
    participant Linux as Linux Landlock+seccomp
    participant None as Raw Execution

    Agent->>Main: 도구 호출 요청
    Main->>Main: 바이너리 이름 확인 (codex-linux-sandbox?)
    Main->>Router: CLI 메인 로직으로 전달
    Router->>Safety: 명령어 안전성 평가
    Safety-->>Router: Safe / NeedsApproval / Unsandboxed
    Router->>SB: SandboxType에 따라 분기
    alt macOS
        SB->>Mac: spawn_command_under_seatbelt()
        Mac->>Mac: /usr/bin/sandbox-exec 실행
    else Linux
        SB->>Linux: codex-linux-sandbox 바이너리 spawn
        Linux->>Linux: Landlock(파일시스템) + seccomp(네트워크) 적용
    else None
        SB->>None: 샌드박스 없이 직접 실행
    end

macOS 구현: Apple Seatbelt

• /usr/bin/sandbox-exec를 하드코딩해서 사용함. Apple이 Seatbelt를 deprecated로 표시했지만 Apple 자체 시스템 소프트웨어와 웹 브라우저 등에서 여전히 광범위하게 사용 중이라 당분간 사라지지 않음
• 정책 설정에서 쓰기 가능한 루트 디렉토리를 열거하되, .git 디렉토리는 읽기 전용으로 별도 처리함 — 에이전트가 워크스페이스는 수정할 수 있지만 git 히스토리는 건드릴 수 없게 한 설계가 영리함
• 네트워크 접근은 전부 허용 아니면 전부 차단의 이분법적 구조임. Seatbelt가 기본적으로 deny이므로 네트워크 권한을 아예 안 넣으면 자동 차단됨

Linux 구현: Landlock + seccomp-BPF

• codex-linux-sandbox라는 별도 바이너리를 서브프로세스로 spawn하여, 직렬화된 정책과 대상 명령을 파싱한 뒤 제한을 적용하고 execvp로 실제 명령을 실행함
• Landlock (Linux 5.13+): 파일시스템 전체에 읽기 접근을 허용하되, 쓰기는 화이트리스트된 루트(+ /dev/null)로만 제한함. execvp 전에 규칙을 적용해서 대상 명령이 시작되는 시점에는 이미 샌드박싱된 상태임
• seccomp-BPF: connect, bind, listen, sendto, sendmsg 등 네트워크 관련 시스템콜을 선택적으로 차단함 (AF_UNIX는 로컬 IPC용으로 허용). macOS Seatbelt보다 더 세밀한 제어가 가능함

자식 프로세스 관리와 보안

• spawn_child_async에서 env_clear()로 환경변수를 완전히 초기화한 뒤 필요한 것만 다시 설정함 — 민감한 환경변수 유출을 방지하는 조치임
• 네트워크 비활성화 시 CODEX_SANDBOX_NETWORK_DISABLED=1 환경변수를 설정해서 하위 도구들이 상태를 인식할 수 있게 함
• Linux에서는 prctl(PR_SET_PDEATHSIG)로 부모 프로세스가 죽으면 자식 프로세스도 함께 종료되도록 보장함 — 샌드박싱된 고아 프로세스가 남아도는 것을 방지함

커맨드 화이트리스팅과 신뢰 관리

• 모든 명령 실행 전 assess_command_safety를 통과해야 함 — 자동 실행 가능, 사용자 승인 필요, 샌드박스 없이 실행 필요의 3가지로 분류됨
• 신뢰 목록은 세션 범위(session-scoped)로 관리됨. 한번 승인한 명령은 해당 세션 동안 계속 신뢰됨
• 샌드박스된 명령이 권한 문제로 실패하면 샌드박스 없이 재실행할지 물어봄. 승인하면 SandboxType::None으로 재실행하는 합리적인 탈출구가 있음

디버깅 도구

• codex debug seatbelt와 codex debug landlock 명령으로 샌드박스를 통해 임의의 명령을 테스트할 수 있음
• 메인 CLI의 --full-auto 플래그와 동일한 옵션을 지원함
• 샌드박싱이 실제로 어떻게 동작하는지 이해하는 데 유용한 도구임