오픈AI(OpenAI)의 코드 생성 인공지능(AI) 모델인 코덱스(Codex)에서 민감한 파일이 AI 모델로 전송될 수 있다는 보안 취약점 문제가 다시 수면 위로 떠올랐습니다. 개발자들은 .env 파일, 개인 키(.pem), AWS/SSH 설정 파일 등 보안에 치명적인 정보를 AI가 읽거나 학습하지 못하도록 명시적으로 제외하는 기능의 필요성을 강력히 제기하고 있습니다. 이는 AI 기반 개발 도구의 확산과 함께 코드 보안의 중요성이 더욱 커지고 있음을 보여줍니다.
이 문제는 2025년 8월 28일 GitHub 이슈 #2847로 다시 논의가 시작되었습니다. 이전에도 유사한 문제(이슈 #205)가 제기되어 Rust 기반의 코덱스 구현체(codex-rs)에서 해결될 것으로 기대되었으나, 현재까지 해당 기능이 구현되지 않은 것으로 파악됩니다. 개발자들은 프로젝트 저장소(.codexignore) 및 전역 수준에서 특정 파일이나 경로를 AI 모델 전송 대상에서 제외할 수 있는 메커니즘을 요구하고 있습니다. 이는 팀/저장소 간에 공유 가능하고 결정론적인 설정이 가능해야 하며, 단순히 프로젝트 문서나 관행에 의존하는 방식으로는 충분하지 않다는 지적입니다.
이러한 민감 파일 제외 기능은 AI 기반 개발 환경에서 데이터 보안을 강화하고 잠재적인 정보 유출 위험을 줄이는 데 필수적입니다. 개발자들이 안심하고 AI 코딩 도구를 활용하려면, AI가 접근할 수 있는 정보의 범위를 명확히 통제할 수 있어야 합니다. 이는 단순히 대규모 파일을 제외하여 비용을 절감하는 것을 넘어, 기업의 핵심 자산과 개인 정보를 보호하는 중요한 의미를 가집니다. 오픈AI를 비롯한 AI 개발 도구 제공사들은 이러한 보안 요구사항을 충족시키기 위한 명확하고 강력한 해결책을 시급히 마련해야 할 것입니다.