OpenAI의 Lockdown Mode는 ChatGPT가 웹·앱·파일 다운로드 같은 외부 경로로 데이터를 내보낼 가능성을 줄이기 위한 보안 옵션이다. 프롬프트 인젝션을 ‘해결’하는 기능은 아니지만, 민감한 자료를 다루는 계정이라면 어떤 기능이 꺼지고 어떤 위험이 남는지 확인할 가치가 있다.

핵심 요약

  • 무엇인가: Lockdown Mode는 ChatGPT와 지원되는 OpenAI 제품에서 외부 네트워크 요청이 필요한 기능을 제한해 데이터 유출 위험을 낮추는 고급 보안 설정이다.
  • 왜 중요한가: 프롬프트 인젝션은 웹페이지, 업로드 파일, 연결된 앱의 콘텐츠 안에 숨은 지시문으로 모델 동작을 바꾸고 민감 정보를 외부로 보내게 만들 수 있다.
  • 무엇이 꺼지나: 실시간 웹 탐색, 웹 이미지 표시·검색, Deep research, Agent mode, Canvas 네트워크 접근, ChatGPT의 파일 다운로드가 제한된다.
  • 무엇은 그대로인가: 메모리, 파일 업로드, 대화 공유, 모델 개선을 위한 데이터 사용 여부, Codex의 네트워크 접근은 Lockdown Mode만으로 바뀌지 않는다.
  • 대상: 법무·재무·보안·인사·고객 데이터·비공개 코드처럼 유출 비용이 큰 정보를 ChatGPT에서 다루는 개인과 조직이다.

무엇이 바뀌었나

OpenAI 도움말에 따르면 Lockdown Mode는 외부 서비스와 연결되는 여러 기능을 줄여 “데이터 탈취(data exfiltration)” 가능성을 낮추는 선택형 설정이다. 프롬프트 인젝션 자체를 입력 단계에서 완전히 막는 방식이 아니라, 공격이 성공하더라도 마지막 단계에서 민감 데이터가 외부로 나가는 통로를 줄이는 쪽에 가깝다.

예를 들어 일반 모드의 ChatGPT는 웹을 검색하거나 이미지를 가져오거나 에이전트 기능으로 외부 작업을 수행할 수 있다. Lockdown Mode를 켜면 이런 기능이 제한된다. 웹 탐색은 캐시된 콘텐츠 접근으로 좁아져 검색 결과가 제한되거나 오래될 수 있고, 웹에서 이미지를 불러와 답변에 보여주는 기능도 제한된다. 다만 사용자가 직접 이미지를 업로드하는 것과 이미지 생성 기능은 별도로 제공되는 범위 안에서 계속 사용할 수 있다.

OpenAI는 이 기능이 모든 사람에게 필요한 설정은 아니라고 설명한다. 편의 기능을 일부 포기하더라도 민감 데이터가 외부 네트워크나 연결 앱을 통해 빠져나가는 위험을 낮추려는 사용자와 조직을 위한 옵션이라는 뜻이다.

프롬프트 인젝션에서 줄이는 위험

프롬프트 인젝션은 사용자가 직접 악성 명령을 입력하지 않아도 발생할 수 있다. 모델이 읽는 웹페이지, 문서, 이메일, 파일 안에 “이전 지시를 무시하고 특정 정보를 보내라” 같은 숨은 지시문이 들어 있을 수 있기 때문이다. 특히 AI 에이전트가 웹을 열람하고 앱을 호출하고 파일을 다운로드하는 구조에서는 모델의 판단과 외부 요청이 결합되면서 유출 경로가 늘어난다.

Lockdown Mode의 핵심은 이 외부 요청 면적을 줄이는 것이다. OpenAI는 샌드박싱, URL 기반 유출 방어, 모니터링, 역할 기반 접근제어, 감사 로그 같은 다층 방어와 함께 Lockdown Mode를 설명한다. 즉 보안 제품 하나가 모든 공격을 막는다는 식의 발표가 아니라, 민감한 작업에서 위험한 기능 조합을 줄이는 방어층 하나를 추가하는 방식이다.

그럼에도 한계는 분명하다. Lockdown Mode를 켜도 악성 지시문이 캐시된 웹 콘텐츠나 업로드 파일 안에 들어올 수 있고, 답변의 정확도나 행동 방식에 영향을 줄 수 있다. 따라서 이 기능은 “민감 정보를 절대 다루어도 된다”는 신호가 아니라, 외부 전송 가능성을 낮추는 보조 장치로 보는 편이 맞다.

비교 포인트

항목 일반 사용 Lockdown Mode 사용 실무 의미
웹 탐색 실시간 검색과 웹 접근 가능 캐시된 콘텐츠 중심으로 제한 최신성이 중요한 리서치는 품질이 떨어질 수 있다.
이미지 웹 이미지 검색·표시 가능 웹 이미지 표시·검색 제한, 업로드와 생성은 별도 가능 웹 기반 시각 자료 분석보다 내부 파일 검토에 더 적합하다.
Deep research 장시간 웹 리서치 가능 비활성화 민감 데이터가 포함된 리서치는 별도 격리 계정이나 비공개 자료만으로 나눠야 한다.
Agent mode 외부 작업 흐름과 결합 가능 비활성화 자동 실행 편의성보다 유출 위험 감소를 우선한다.
Canvas 네트워크 생성 코드의 네트워크 접근을 승인할 수 있음 네트워크 접근 승인 불가 코드 샘플이 외부로 데이터를 보내는 경로를 줄인다.
파일 다운로드 데이터 분석을 위해 파일 다운로드 가능 ChatGPT 파일 다운로드 제한 업로드 파일 기반 분석은 가능하지만 외부 파일을 가져오는 흐름은 막힌다.

계정과 워크스페이스에서 확인할 기준

OpenAI 도움말은 Lockdown Mode가 개인 계정과 셀프서비스 ChatGPT Business 계정에 순차 제공되며, 계정에 보이지 않을 수 있다고 안내한다. 개인 계정과 셀프서비스 Business 계정에서는 설정의 Security 영역에서 켤 수 있고, 관리형 워크스페이스에서는 관리자가 커스텀 역할을 만들고 Lockdown Mode 역할로 지정한 뒤 구성원이나 그룹에 배정하는 방식으로 다룬다.

관리형 워크스페이스라면 “기능을 켰다”에서 끝내지 말고 역할, 앱 배정, 읽기·쓰기 액션 권한, 원본 시스템의 파일·채널·레코드 권한을 함께 확인해야 한다. OpenAI 문서는 ChatGPT의 앱 접근 권한이 연결된 원본 시스템의 권한을 우회하지 않는다고 설명한다. 반대로 말하면, 원본 시스템에서 너무 넓은 권한을 준 상태라면 Lockdown Mode만으로 접근 범위를 세밀하게 줄일 수는 없다.

또 하나 중요한 점은 Developer Mode와의 관계다. 개인·셀프서비스 Business 계정에서 Lockdown Mode를 켜면 Developer Mode가 꺼지고, 나중에 Developer Mode를 켜면 Lockdown Mode가 꺼진다. 보안 설정과 개발자 실험 모드를 같은 계정에서 번갈아 쓰는 팀이라면 이 전환을 기록해 두는 편이 안전하다.

앱·커넥터·MCP를 쓰는 팀이 볼 부분

  • 개인·셀프서비스 Business: 동기화된 데이터 기반 커넥터는 허용될 수 있지만, 라이브 커넥터 접근과 커넥터 쓰기 액션은 차단된다. 일부 금융·쇼핑 에이전트 경험도 사용할 수 없다.
  • 관리형 워크스페이스: 앱, MCP, 커넥터는 워크스페이스 설정과 역할 기반 접근제어의 영향을 받는다. Lockdown Mode가 모든 앱을 자동으로 끄는 구조는 아니다.
  • 고위험 조합: 신뢰하지 않는 앱의 읽기·쓰기 액션, 또는 사이드 이펙트가 누구에게 보이는지 확인하기 어려운 쓰기 액션은 Lockdown Mode 사용자에게 권장되지 않는다.
  • 중간 위험 조합: 동기화 커넥터와 신뢰된 앱의 읽기 액션은 유출 통로로서는 상대적으로 낮은 위험이지만, 여전히 민감 데이터의 원천이 될 수 있다.

실무에서는 “어떤 앱을 켤 것인가”보다 “그 앱이 어떤 데이터를 읽고, 어떤 위치에 쓸 수 있으며, 그 결과를 공격자가 볼 가능성이 있는가”를 기준으로 나누는 편이 낫다. 특히 티켓, CRM, 문서 저장소, 코드 저장소, 메신저처럼 민감 정보와 외부 공유가 함께 존재하는 시스템은 읽기와 쓰기 권한을 분리해 검토해야 한다.

팀에서 먼저 확인할 질문

  1. 민감 업무를 분리했나? 고객 정보, 계약서, 보안 사고 자료, 비공개 코드 리뷰처럼 유출 비용이 큰 작업은 일반 ChatGPT 사용과 분리된 계정·워크스페이스·역할에서 다루는 것이 좋다.
  2. 최신 웹 리서치가 꼭 필요한가? Lockdown Mode는 웹 최신성을 희생할 수 있다. 최신 문서 확인이 필요한 작업과 민감 파일 분석 작업을 같은 대화에서 섞지 않는 편이 안전하다.
  3. 쓰기 액션을 최소화했나? 연결 앱에서 문서 작성, 티켓 변경, 메신저 전송 같은 액션은 데이터 유출뿐 아니라 잘못된 자동 변경으로 이어질 수 있다.
  4. 감사 로그를 볼 수 있나? 기업 환경에서는 앱 사용, 공유 데이터, 연결 소스를 확인할 수 있는 로그가 필요하다. Lockdown Mode 자체가 로그 정책을 바꾸는 것은 아니므로 별도 설정을 확인해야 한다.
  5. Codex는 별도로 봤나? OpenAI 도움말은 Lockdown Mode가 Codex의 네트워크 접근에는 영향을 주지 않는다고 밝힌다. 코드 에이전트 보안은 별도 샌드박스와 네트워크 정책으로 다뤄야 한다.

작은 범위에서 검증하기

먼저 민감하지 않은 샘플 문서와 제한된 앱 권한으로 기능 차이를 확인하는 것이 좋다. 같은 질문을 일반 모드와 Lockdown Mode에서 각각 실행해 웹 최신성, 이미지 처리, 파일 처리, 앱 호출 결과가 어떻게 달라지는지 기록한다. 이후 민감 업무에 적용할 때는 “답변 품질 저하를 감수할 만한 업무”와 “웹·에이전트 기능이 꼭 필요한 업무”를 나누면 된다.

보안팀이나 플랫폼팀이 있다면 Lockdown Mode 적용 대상을 사람 단위가 아니라 작업 유형 단위로 정하는 편이 실용적이다. 예를 들어 외부 공개 자료 조사 계정은 일반 모드로 두고, 내부 문서 요약·계약서 검토·고객 이슈 분석 계정은 Lockdown Mode 역할을 적용하는 식이다. 이때 원본 시스템의 권한이 과도하게 넓으면 Lockdown Mode 효과도 제한되므로, Google Drive, SharePoint, GitHub, Slack 같은 연결 소스의 권한 정리가 먼저 필요할 수 있다.

결론

OpenAI Lockdown Mode는 ChatGPT를 더 안전하게 쓰기 위한 만능 스위치가 아니라, 외부 네트워크와 연결 앱을 통한 데이터 유출 가능성을 줄이는 보안 모드다. 최신 웹 리서치와 에이전트 자동화를 적극적으로 쓰는 사용자에게는 불편할 수 있지만, 민감한 내부 자료를 다루는 팀에는 기본 옵션으로 검토할 만하다.

가장 중요한 판단 기준은 “이 작업에서 웹·앱·파일 다운로드 편의성이 민감 데이터 유출 위험보다 중요한가”다. 답이 아니라면 Lockdown Mode를 켜고, 앱 권한과 감사 로그를 함께 정리하는 쪽이 더 안전한 시작점이다.

출처와 검증