OpenAI가 ChatGPT 계정 보안을 본격 강화했습니다
OpenAI가 ChatGPT 계정 보호를 위한 새로운 보안 기능인 Advanced Account Security, 즉 고급 계정 보안을 발표했습니다. 이 기능은 선택적으로 켤 수 있는 보안 설정이며, ChatGPT 계정에 저장될 수 있는 민감한 개인 정보와 업무 정보를 더 강하게 보호하기 위해 만들어졌습니다. OpenAI는 이 기능이 디지털 공격 위험이 높은 사람뿐 아니라, 가장 강력한 계정 보호를 원하는 일반 사용자에게도 제공된다고 설명했습니다.
이번 발표가 중요한 이유는 단순히 “로그인을 조금 더 안전하게 만든다”는 수준이 아니기 때문입니다. ChatGPT는 이제 많은 사람에게 단순한 챗봇이 아니라 업무 기록, 아이디어, 코딩 작업, 개인적 고민, 사업 관련 정보가 오가는 공간이 되었습니다. OpenAI 역시 시간이 지나면서 ChatGPT 계정이 민감한 개인적·전문적 맥락을 담을 수 있고, 연결된 도구와 워크플로의 중심이 될 수 있다고 밝혔습니다.
쉽게 말해, 예전에는 이메일 계정이나 은행 계정이 해킹의 핵심 표적이었다면, 이제는 AI 계정도 중요한 공격 대상이 되고 있다는 뜻입니다. 특히 ChatGPT 계정 안에는 사용자의 질문 습관, 업무 프로젝트, 문서 초안, 코드, 사업 계획, 고객 정보, 민감한 상담 내용 등이 남아 있을 수 있습니다. 따라서 OpenAI가 계정 보안을 별도의 고급 기능으로 강화한 것은 AI 서비스가 일상과 업무 인프라로 자리 잡고 있다는 흐름을 보여줍니다.
Advanced Account Security란 무엇입니까?
OpenAI의 Advanced Account Security는 ChatGPT 계정에 대한 무단 접근을 막기 위해 여러 보안 장치를 한곳에 묶은 기능입니다. 이 기능은 현재 웹의 ChatGPT 계정 보안 섹션에서 선택적으로 활성화할 수 있으며, 해당 로그인으로 접근하는 ChatGPT와 Codex 계정 모두에 적용됩니다.
핵심은 세 가지입니다. 첫째, 비밀번호 기반 로그인을 약화하거나 배제하고, 패스키 또는 물리 보안키를 요구하는 방식입니다. 둘째, 이메일이나 문자 메시지를 통한 계정 복구를 제한해 공격자가 이메일 또는 전화번호를 탈취했을 때 ChatGPT 계정까지 빼앗는 것을 어렵게 만듭니다. 셋째, 세션 관리와 로그인 알림을 강화해 사용자가 자신의 계정 활동을 더 잘 확인할 수 있도록 합니다.
OpenAI는 고급 계정 보안을 활성화하면 비밀번호 기반 로그인이 비활성화되고, 패스키나 물리 보안키 같은 피싱 저항성이 높은 로그인 방식이 기본값에 가까워진다고 설명했습니다. 또한 이메일과 SMS 기반 복구가 비활성화되며, 백업 패스키, 보안키, 복구 키 등 더 강한 복구 수단이 필요해집니다.
이 부분은 매우 중요합니다. 보안이 강해지는 만큼, 사용자의 책임도 커집니다. OpenAI는 Advanced Account Security에 등록한 사용자의 경우 계정 복구가 더 안전한 방식으로 제한되기 때문에, OpenAI 지원팀이 계정 복구를 도와줄 수 없다고 밝혔습니다.
즉, 이 기능은 “편리함”보다 “보안”을 우선시하는 기능입니다. 물리 보안키나 복구 키를 잃어버리면 계정 접근이 매우 어려워질 수 있습니다. TechCrunch도 보안키 기반 계정 보호가 더 강한 보호를 제공하지만, 키를 분실하면 OpenAI가 계정 복구를 도와줄 수 없고 대화 내용이 영구적으로 사라질 수 있다고 지적했습니다.
Yubico와의 파트너십: ChatGPT용 YubiKey가 나옵니다
이번 발표에서 가장 눈에 띄는 부분은 OpenAI가 보안키 기업 Yubico와 파트너십을 맺었다는 점입니다. Yubico는 물리 보안키인 YubiKey로 잘 알려진 사이버보안 기업입니다. 이번 파트너십을 통해 OpenAI와 Yubico는 ChatGPT 계정 보호에 사용할 수 있는 맞춤형 YubiKey 제품을 선보입니다.
TechCrunch에 따르면 두 회사가 내놓는 공동 브랜드 제품은 YubiKey C NFC와 YubiKey C Nano입니다. OpenAI 공식 발표에서도 YubiKey C Nano는 노트북에 꽂아 두고 일상적인 인증에 쉽게 사용할 수 있도록 설계됐으며, YubiKey C NFC는 백업용이자 노트북과 모바일 기기에서 사용할 수 있는 제품이라고 설명했습니다.
Yubico의 발표에 따르면 이번 2개 세트는 OpenAI의 Advanced Account Security 프로그램의 일부로 제공되며, ChatGPT 계정을 물리 보안키로 보호할 수 있게 해 줍니다. Yubico는 이 제품이 표적 디지털 공격 위험이 높은 보안 민감 사용자들을 염두에 두고 설계됐다고 밝혔습니다.
또한 OpenAI는 Yubico와의 협력으로 맞춤형 보안키 번들을 우대 가격으로 제공한다고 밝혔습니다. 다만 사용자는 반드시 이 공동 브랜드 YubiKey만 사용해야 하는 것은 아닙니다. OpenAI는 다른 FIDO 호환 보안키나 소프트웨어 기반 패스키도 사용할 수 있다고 설명했습니다.
왜 하필 ‘피싱 방지’가 핵심입니까?
이번 보안 기능의 핵심 키워드는 피싱 저항성입니다. 피싱은 공격자가 가짜 로그인 페이지나 속임수 메시지를 통해 사용자의 비밀번호, 인증 코드, 계정 정보를 빼내는 방식입니다. 일반적인 비밀번호와 문자 인증 방식은 사용자가 속아 정보를 입력하면 공격자가 계정에 접근할 수 있다는 약점이 있습니다.
반면 물리 보안키나 패스키는 단순히 사용자가 기억하는 비밀번호를 입력하는 방식이 아닙니다. 보안키에는 고유한 암호학적 식별 정보가 들어 있으며, 실제 키를 보유한 사람만 연결된 계정에 로그인할 수 있도록 설계됩니다. TechCrunch는 보안키가 컴퓨터 USB 포트 등을 통해 디지털 계정과 연결되는 작은 하드웨어 장치이며, 키 안의 고유한 암호학적 식별자가 소유자의 로그인을 가능하게 한다고 설명했습니다.
Yubico 역시 이번 협력을 “AI 생태계를 위한 피싱 저항성 보안의 새로운 모델”이라고 표현했습니다. 또한 OpenAI가 이미 내부적으로 직원과 인프라를 보호하기 위해 YubiKey를 사용하고 있으며, 이제 같은 수준의 계정 보안을 사용자에게도 제공하려 한다고 밝혔습니다.
이 대목은 블로그 독자에게 매우 현실적으로 다가올 수 있습니다. ChatGPT 계정에는 단순한 검색 기록이 아니라 사용자의 고민, 업무 초안, 코드, 고객 대응 문구, 사업 전략, 번역 자료 등이 들어 있을 수 있습니다. 이런 계정이 탈취되면 단순한 비밀번호 유출보다 더 민감한 피해가 발생할 수 있습니다.
누구에게 특히 필요한 기능입니까?
OpenAI는 Advanced Account Security가 특히 언론인, 선출직 공무원, 정치적 반체제 인사, 연구자, 보안에 민감한 사용자에게 적합하다고 설명했습니다. TechCrunch도 이 기능이 정치적으로 민감하거나 위험한 일을 하는 사람들에게 알맞으며, 기업 기밀이 ChatGPT 세션에 남아 있을 수 있는 엔터프라이즈 사용자에게도 의미가 있을 수 있다고 분석했습니다.
하지만 이 기능은 특정 직업군만을 위한 것은 아닙니다. OpenAI는 이 기능을 원하는 사람이라면 누구나 선택할 수 있다고 밝혔습니다. 즉, 일반 사용자라도 ChatGPT에 민감한 내용을 자주 입력하거나, 업무용으로 적극 활용하거나, 계정 탈취가 큰 피해로 이어질 수 있다면 고려할 만한 기능입니다.
예를 들어 다음과 같은 사용자는 관심을 가질 필요가 있습니다.
첫째, ChatGPT로 사업 문서, 세금 자료, 계약서 초안, 고객 응대 문구를 작성하는 사람입니다. 둘째, 개발자가 Codex 또는 ChatGPT를 통해 코드와 프로젝트 정보를 다루는 경우입니다. 셋째, 기자나 콘텐츠 제작자처럼 취재 자료, 원고, 내부 기획안을 AI 계정에서 다루는 경우입니다. 넷째, 정치·사회적으로 민감한 활동을 하는 사람입니다.
특히 OpenAI는 이 기능이 Codex에도 적용된다고 밝혔습니다. 개발자 입장에서는 코드 작성과 관련된 대화, 프로젝트 구조, 내부 로직이 계정 안에 남을 수 있기 때문에 보안 강화의 의미가 더 커집니다.
기능을 켜면 무엇이 달라집니까?
Advanced Account Security를 켜면 사용자는 더 강한 로그인 보호를 적용받게 됩니다. OpenAI에 따르면 이 기능은 로그인 보호 강화, 계정 복구 절차 강화, 손상된 세션 노출 감소, 계정 활동 가시성 확대를 포함합니다.
가장 큰 변화는 비밀번호 중심 로그인에서 벗어난다는 점입니다. 패스키나 물리 보안키를 사용하면 피싱 공격자가 비밀번호 입력을 유도하더라도 계정을 빼앗기 훨씬 어려워집니다.
또 다른 변화는 복구 방식의 제한입니다. 이메일 계정이나 전화번호가 해킹되면 공격자는 종종 “비밀번호 재설정” 또는 “SMS 인증”을 이용해 다른 계정까지 탈취하려고 합니다. OpenAI는 이런 위험을 줄이기 위해 Advanced Account Security에서 이메일과 SMS 기반 복구를 비활성화한다고 밝혔습니다. 대신 백업 패스키, 보안키, 복구 키 같은 강력한 복구 수단이 필요합니다.
세 번째 변화는 세션 관리 강화입니다. 로그인 세션 시간이 짧아져 기기나 활성 세션이 손상됐을 때 노출 시간을 줄이고, 사용자는 로그인 알림을 받으며 여러 기기에서 활성 세션을 확인하고 관리할 수 있습니다.
네 번째 변화는 모델 학습 제외 자동 적용입니다. OpenAI는 특히 민감한 정보를 다루는 사람들이 자신의 대화가 모델 학습에 사용되지 않도록 선택할 수 있으며, Advanced Account Security를 켜면 해당 계정의 대화는 모델 학습에 사용되지 않는다고 밝혔습니다.
장점만 있는 것은 아닙니다: 복구 책임이 커집니다
이번 기능은 보안 면에서 강력하지만, 모든 사용자에게 무조건 편한 기능은 아닙니다. 가장 큰 주의점은 계정 복구가 어려워진다는 것입니다.
OpenAI는 Advanced Account Security 사용자의 경우 이메일이나 SMS 기반 복구가 비활성화되고, 지원팀이 복구를 도와줄 수 없다고 명확히 밝혔습니다.
따라서 이 기능을 켜려는 사용자는 반드시 백업 수단을 준비해야 합니다. 보안키를 하나만 사용하는 것은 위험할 수 있습니다. 하나는 일상적으로 사용하고, 다른 하나는 안전한 곳에 보관하는 방식이 더 현실적입니다. 이번 OpenAI·Yubico 번들이 YubiKey C Nano와 YubiKey C NFC의 2개 세트로 구성된 것도 이런 사용 패턴과 맞닿아 있습니다.
일반 독자에게는 이렇게 설명할 수 있습니다. 집 현관문을 아주 튼튼한 특수 자물쇠로 바꾸면 도둑이 들어오기 어려워집니다. 하지만 열쇠를 잃어버리면 본인도 들어가기 어려워집니다. Advanced Account Security도 마찬가지입니다. 보안은 강해지지만, 사용자가 키와 복구 수단을 책임감 있게 관리해야 합니다.
OpenAI의 더 큰 사이버보안 전략과도 연결됩니다
이번 발표는 단독으로 나온 조치가 아닙니다. OpenAI는 하루 전인 2026년 4월 29일, “Cybersecurity in the Intelligence Age”라는 사이버보안 행동 계획을 발표했습니다. 이 문서에서 OpenAI는 AI가 방어자에게 취약점 식별, 자동화된 수정, 빠른 대응을 돕는 동시에 악의적 행위자에게도 공격을 확장하고 정교화하는 수단이 될 수 있다고 설명했습니다.
OpenAI가 제시한 사이버보안 행동 계획의 주요 축에는 사이버 방어의 민주화, 정부와 산업 간 조정, 프런티어 사이버 역량 주변의 보안 강화, 배포 과정의 가시성과 통제 유지, 사용자가 스스로를 보호할 수 있도록 하는 내용이 포함됩니다.
Advanced Account Security는 바로 이 마지막 지점, 즉 사용자가 스스로를 보호할 수 있도록 하는 흐름과 연결됩니다. AI 서비스가 점점 더 중요한 인프라가 될수록, 기업은 모델 성능만이 아니라 계정 보안, 데이터 보호, 접근 통제, 사용자 복구 정책까지 함께 강화해야 합니다.
OpenAI도 AI가 삶에 깊이 들어올수록 사용자가 개인정보와 보안을 지킬 수 있는 통제 수단을 갖는 것이 중요하다고 강조했습니다. 또한 향후 엔터프라이즈 환경을 포함한 추가 대상에게 이 작업을 확장할 것으로 기대한다고 밝혔습니다.
기업 사용자와 개발자에게 주는 의미
기업 입장에서 ChatGPT 계정 보안은 단순한 개인 보안 문제가 아닙니다. 직원이 ChatGPT에 업무 문서, 고객 정보, 내부 전략, 코드 조각, 계약 관련 질문을 입력하는 경우가 많아질수록 계정 탈취는 곧 회사 정보 유출로 이어질 수 있습니다.
OpenAI가 이번 기능을 통해 Codex까지 보호 범위에 포함한 것은 개발자 생태계에서도 중요한 의미가 있습니다. Codex나 ChatGPT를 통해 코딩 작업을 하는 개발자는 프로젝트 구조, API 사용 방식, 내부 시스템 관련 단서를 대화에 남길 수 있습니다. 계정 보안이 약하면 공격자는 단순한 대화 기록 이상의 정보를 얻을 수 있습니다.
또한 OpenAI는 Trusted Access for Cyber 프로그램의 일부 개인 구성원이 2026년 6월 1일부터 Advanced Account Security를 활성화해야 한다고 밝혔습니다. 다만 조직 차원에서 피싱 저항성 인증이 단일 로그인 워크플로에 포함돼 있다고 증명하는 경우 대안이 될 수 있다고 설명했습니다.
이는 OpenAI가 고위험 사이버보안 관련 접근 권한을 가진 사용자에게 더 강한 인증을 요구하기 시작했다는 뜻입니다. 앞으로 AI 도구를 업무에 사용하는 기업에서도 패스키, 보안키, 피싱 저항성 인증이 점점 더 중요한 표준이 될 가능성이 큽니다.
일반 사용자는 어떻게 받아들여야 합니까?
일반 사용자 입장에서 이번 발표는 “ChatGPT도 이제 은행 계정처럼 보호해야 하는 시대가 왔다”는 신호로 볼 수 있습니다. 물론 모든 사용자가 당장 물리 보안키를 구매해야 한다는 뜻은 아닙니다. 하지만 ChatGPT를 단순한 질문 도구가 아니라 업무, 학습, 글쓰기, 번역, 코딩, 사업 관리에 활용한다면 계정 보안을 진지하게 생각할 필요가 있습니다.
특히 다음 세 가지를 기억하는 것이 좋습니다.
첫째, ChatGPT 계정에는 생각보다 많은 개인 정보가 쌓일 수 있습니다. 둘째, 피싱 공격은 비밀번호가 강하더라도 사용자를 속이면 성공할 수 있습니다. 셋째, 패스키와 보안키는 이런 피싱 위험을 줄이는 데 강력한 수단이 될 수 있습니다.
다만 Advanced Account Security를 켜기 전에는 복구 수단을 충분히 준비해야 합니다. 보안키를 분실하거나 복구 키를 잃어버리면 계정 접근이 어려워질 수 있기 때문입니다. 보안을 강화하려면 편리함 일부를 내려놓아야 하는 경우가 많습니다.
결론: AI 시대의 핵심은 ‘성능’만이 아니라 ‘계정 신뢰’입니다
OpenAI의 Advanced Account Security 발표는 ChatGPT가 단순한 AI 챗봇을 넘어 개인과 기업의 중요한 디지털 작업 공간이 되고 있음을 보여줍니다. 사용자가 AI와 나누는 대화는 때로 이메일보다 민감하고, 클라우드 문서보다 개인적이며, 업무 시스템만큼 중요한 정보를 담을 수 있습니다.
이번 기능의 핵심은 명확합니다. 비밀번호와 SMS 인증만으로는 충분하지 않은 시대가 오고 있으며, 패스키와 물리 보안키 같은 피싱 저항성 인증이 더 중요해지고 있습니다. OpenAI와 Yubico의 파트너십은 이 흐름을 상징적으로 보여주는 사례입니다.
하지만 강한 보안에는 책임도 따릅니다. Advanced Account Security는 계정 탈취 위험을 크게 낮출 수 있지만, 복구 수단을 잃어버리면 사용자 본인도 계정에 접근하지 못할 수 있습니다. 따라서 이 기능은 보안이 특히 중요한 사용자에게 매우 유용하지만, 반드시 백업 키와 복구 키 관리까지 함께 준비해야 합니다.
AI 시대의 경쟁력은 더 똑똑한 모델만으로 결정되지 않습니다. 사용자가 안심하고 민감한 정보를 다룰 수 있는 보안 체계, 계정 보호, 복구 정책, 데이터 사용 통제까지 갖춰져야 합니다. OpenAI의 이번 발표는 바로 그 방향으로 가는 중요한 전환점이라고 볼 수 있습니다.
