본문으로 건너뛰기
피드

Codex CLI는 에이전트를 어떻게 샌드박싱하는가 — OS 네이티브 격리 심층 분석

devops 약 8분
vote
0
댓글
북마크

Codex CLI가 Docker 없이 OS 네이티브 샌드박싱(macOS Seatbelt, Linux Landlock+seccomp)으로 코딩 에이전트의 bash 실행을 격리하는 방법을 상세히 분석함. 3가지 권한 모드, 실행 파이프라인, 플랫폼별 구현, 자식 프로세스 관리, 세션 기반 신뢰 목록까지 다룸.

  • 1

    Codex는 Read Only, Auto, Full Access 3가지 모드 지원 — Auto가 기본값으로 OS 네이티브 샌드박싱 적용

  • 2

    macOS는 Apple Seatbelt로 .git을 읽기 전용으로 보호하고 네트워크를 all-or-nothing으로 제어

  • 3

    Linux는 Landlock(파일시스템)과 seccomp-BPF(네트워크 시스템콜)를 조합하여 더 세밀한 격리 구현

  • 4

    env_clear()로 환경변수 유출 방지, PR_SET_PDEATHSIG로 고아 프로세스 방지 등 보안 세부사항이 견고함

  • 5

    세션 범위 신뢰 목록과 샌드박스 실패 시 재실행 탈출구로 사용성과 보안의 균형을 맞춤

코딩 에이전트의 보안 딜레마

  • 코딩 에이전트는 bash 접근 권한이 있어야 강력해지는데, 이게 동시에 가장 위험한 부분임 — 임의의 bash 세션이 프로덕션 자격증명 접근이나 홈 디렉토리 삭제까지 가능하게 만듦
  • 가장 안전한 방법은 가상화(컨테이너 부팅 후 제한된 범위에서 실행)인데, 실제로 이렇게 하는 사람은 거의 없음. --dangerously-skip-permissions 플래그 이름이 잘 지어졌지만 대부분 그냥 무시하고 실행함
  • Claude Code나 Cursor에서 쓰는 커맨드 화이트리스트 방식은 brittle함 — 새 디렉토리에서 명령 실행하면 cd조차 승인 필요하고, 자리를 비우면 사실상 사용 불가능함

Codex의 3가지 권한 모드

  • Read Only: 파일 읽기와 질문 답변만 가능. 편집, 명령 실행, 네트워크 접근 모두 승인 필요
  • Auto (기본값): 워크스페이스 내 파일 읽기, 편집, 명령 실행 가능. 워크스페이스 외부 접근이나 네트워크는 승인 필요
  • Full Access: 네트워크 포함 모든 권한을 승인 없이 사용 가능

ℹ️참고

> Auto 모드가 핵심임. Docker를 쓰지 않고 OS 네이티브 샌드박싱 API로 제한을 구현해서, 오버헤드 없이 꽤 강력한 격리를 달성함.

실행 파이프라인 구조

sequenceDiagram
    participant Agent as 코딩 에이전트
    participant Main as main() / arg0_dispatch_or_else
    participant Router as process_exec_tool_call
    participant Safety as assess_command_safety
    participant SB as SandboxType 라우터
    participant Mac as macOS Seatbelt
    participant Linux as Linux Landlock+seccomp
    participant None as Raw Execution

    Agent->>Main: 도구 호출 요청
    Main->>Main: 바이너리 이름 확인 (codex-linux-sandbox?)
    Main->>Router: CLI 메인 로직으로 전달
    Router->>Safety: 명령어 안전성 평가
    Safety-->>Router: Safe / NeedsApproval / Unsandboxed
    Router->>SB: SandboxType에 따라 분기
    alt macOS
        SB->>Mac: spawn_command_under_seatbelt()
        Mac->>Mac: /usr/bin/sandbox-exec 실행
    else Linux
        SB->>Linux: codex-linux-sandbox 바이너리 spawn
        Linux->>Linux: Landlock(파일시스템) + seccomp(네트워크) 적용
    else None
        SB->>None: 샌드박스 없이 직접 실행
    end

macOS 구현: Apple Seatbelt

  • /usr/bin/sandbox-exec를 하드코딩해서 사용함. Apple이 Seatbelt를 deprecated로 표시했지만 Apple 자체 시스템 소프트웨어와 웹 브라우저 등에서 여전히 광범위하게 사용 중이라 당분간 사라지지 않음
  • 정책 설정에서 쓰기 가능한 루트 디렉토리를 열거하되, .git 디렉토리는 읽기 전용으로 별도 처리함 — 에이전트가 워크스페이스는 수정할 수 있지만 git 히스토리는 건드릴 수 없게 한 설계가 영리함
  • 네트워크 접근은 전부 허용 아니면 전부 차단의 이분법적 구조임. Seatbelt가 기본적으로 deny이므로 네트워크 권한을 아예 안 넣으면 자동 차단됨

⚠️주의

> Seatbelt의 한계: 커스텀 정책 작성 시 홈 디렉토리의 dotfile이나 ~/Library 접근 차단을 놓치기 쉬움. 또한 특정 도메인/프로토콜 단위의 세밀한 네트워크 제어가 불가능함.

Linux 구현: Landlock + seccomp-BPF

  • codex-linux-sandbox라는 별도 바이너리를 서브프로세스로 spawn하여, 직렬화된 정책과 대상 명령을 파싱한 뒤 제한을 적용하고 execvp로 실제 명령을 실행함
  • Landlock (Linux 5.13+): 파일시스템 전체에 읽기 접근을 허용하되, 쓰기는 화이트리스트된 루트(+ /dev/null)로만 제한함. execvp 전에 규칙을 적용해서 대상 명령이 시작되는 시점에는 이미 샌드박싱된 상태임
  • seccomp-BPF: connect, bind, listen, sendto, sendmsg 등 네트워크 관련 시스템콜을 선택적으로 차단함 (AF_UNIX는 로컬 IPC용으로 허용). macOS Seatbelt보다 더 세밀한 제어가 가능함

자식 프로세스 관리와 보안

  • spawn_child_async에서 env_clear()로 환경변수를 완전히 초기화한 뒤 필요한 것만 다시 설정함 — 민감한 환경변수 유출을 방지하는 조치임
  • 네트워크 비활성화 시 CODEX_SANDBOX_NETWORK_DISABLED=1 환경변수를 설정해서 하위 도구들이 상태를 인식할 수 있게 함
  • Linux에서는 prctl(PR_SET_PDEATHSIG)로 부모 프로세스가 죽으면 자식 프로세스도 함께 종료되도록 보장함 — 샌드박싱된 고아 프로세스가 남아도는 것을 방지함

커맨드 화이트리스팅과 신뢰 관리

  • 모든 명령 실행 전 assess_command_safety를 통과해야 함 — 자동 실행 가능, 사용자 승인 필요, 샌드박스 없이 실행 필요의 3가지로 분류됨
  • 신뢰 목록은 세션 범위(session-scoped)로 관리됨. 한번 승인한 명령은 해당 세션 동안 계속 신뢰됨
  • 샌드박스된 명령이 권한 문제로 실패하면 샌드박스 없이 재실행할지 물어봄. 승인하면 SandboxType::None으로 재실행하는 합리적인 탈출구가 있음

디버깅 도구

  • codex debug seatbeltcodex debug landlock 명령으로 샌드박스를 통해 임의의 명령을 테스트할 수 있음
  • 메인 CLI의 --full-auto 플래그와 동일한 옵션을 지원함
  • 샌드박싱이 실제로 어떻게 동작하는지 이해하는 데 유용한 도구임

컨테이너 없이 OS 네이티브 기능만으로 실용적인 에이전트 샌드박싱을 구현할 수 있다는 점이 핵심. 기본값을 샌드박스로 설정하고 필요시 선택적으로 권한을 올리는 opt-out 설계가, 보안과 개발자 경험 사이의 균형점을 잘 잡은 사례임.

댓글

댓글

댓글을 불러오는 중...

devops

메타, 루이지애나 AI 데이터센터를 5기가와트급으로 키운다

메타가 미국 루이지애나주 리치랜드 패리시에 짓는 하이페리온 데이터센터의 컴퓨팅 용량을 5기가와트 규모로 확대한다. 투자액도 기존 270억 달러에서 500억 달러 이상으로 커졌고, 2027년까지 전체 컴퓨팅 용량 14기가와트를 목표로 하는 AI 인프라 전략의 일부로 해석된다.

devops

오케스트로, 모로코 관세청에 AI·클라우드 네이티브 전환 노하우 공유

오케스트로 클라우드가 모로코 관세청 고위 공무원과 IT 전문가 10명을 한국으로 초청해 AI·클라우드 네이티브 기반 관세행정 고도화 연수를 진행했다. 핵심은 AI 기반 위험관리, 모놀리식 시스템의 MSA·쿠버네티스 전환, 클라우드 관리 플랫폼을 활용한 공공 시스템 운영 효율화다.

devops

오케스트로, 모로코 관세청에 AI·클라우드 네이티브 전환 노하우 전수

오케스트로 클라우드가 모로코 관세청 고위 공무원과 IT 전문가 10명을 초청해 AI·클라우드 네이티브 기반 관세행정 고도화 연수를 진행했다. 교육은 AI 위험관리, 모놀리식 시스템의 MSA·쿠버네티스 전환, 클라우드 관리 플랫폼 활용 사례에 초점을 맞췄다.

devops

NHN, 양평 AI 데이터센터 가동으로 클라우드 매출 확대 기대

한국투자증권이 NHN의 클라우드 매출 확대와 실적 개선 전망을 근거로 목표주가를 4만5000원에서 5만6000원으로 올렸다. NHN은 양평 데이터센터에 약 7600장 규모의 AI 전용 GPU 인프라를 구축했고, 2분기부터 실적에 반영될 것으로 전망됐다.

devops

빅테크 AI 인프라, 이제는 빚으로 버티는 구간에 들어감

AI 데이터센터 투자가 폭증하면서 빅테크들이 올해에만 수백조 원 규모의 회사채를 발행했다. 시장은 이제 AI 기대감보다 실제 현금 창출력과 부채 상환 능력을 묻기 시작했고, 자체 칩과 비용 절감이 생존 전략으로 떠오르고 있다.