정치인이나 기자가 ChatGPT에 민감한 내부 문건을 업로드하고 분석을 요청한다. 계정이 탈취되는 순간 이 모든 대화 기록은 외부로 유출된다. 단순한 비밀번호 변경만으로는 지능형 피싱 공격을 막아내기 어려운 상황이다.

고급 계정 보안의 구체적 제원

OpenAI는 선택 사항으로 적용 가능한 고급 계정 보안(Advanced Account Security) 설정을 공개했다. 이 기능은 ChatGPT와 Codex(AI 기반 코드 생성 도구) 계정 모두에 적용된다. 핵심은 패스키(비밀번호 없이 생체 인식 등으로 인증하는 표준)와 물리 보안 키의 필수 사용이다. 기존의 비밀번호 기반 로그인은 완전히 차단된다.

Yubico(하드웨어 보안 키 제조사)와의 파트너십을 통해 전용 번들 제품도 제공한다. 노트북에 상시 장착하는 YubiKey C Nano(소형 물리 보안 키)와 모바일 기기용 YubiKey C NFC(근거리 무선 통신 지원 보안 키)가 포함된다. 이 외에도 FIDO(글로벌 인증 표준 기구) 표준을 준수하는 모든 보안 키와 소프트웨어 기반 패스키를 사용할 수 있다.

보안 수준을 높이기 위해 세션 유지 시간은 단축된다. 새로운 기기에서 로그인이 발생하면 즉시 알림이 전송되며 사용자는 모든 활성 세션을 직접 관리할 수 있다. 특히 Trusted Access for Cyber(사이버 보안 전문가를 위한 특수 접근 권한)를 사용하는 개인 멤버는 2026년 6월 1일까지 이 설정을 반드시 활성화해야 한다. 기업 사용자의 경우 단일 로그인(SSO) 워크플로우 내에서 피싱 방지 인증을 구현했다는 증명을 통해 대체할 수 있다.

인증 체계의 기준점 이동

기존의 계정 복구 방식은 이메일이나 문자 메시지(SMS) 인증에 의존했다. 하지만 공격자가 이메일이나 전화번호를 먼저 탈취하면 AI 계정까지 쉽게 장악할 수 있는 구조였다. 이제는 이메일과 SMS 복구 경로를 완전히 폐쇄한다. 대신 백업 패스키, 보안 키, 복구 키라는 더 강력한 수단만을 허용한다.

사용자가 감수해야 할 리스크는 복구의 책임이 온전히 개인에게 넘어간다는 점이다. 보안 키와 복구 키를 모두 분실할 경우 OpenAI 고객지원팀조차 계정 복구를 도와줄 수 없다. 편의성을 완전히 제거하고 보안의 절대성을 선택한 설계다.

데이터 처리 방식에서도 지형이 바뀐다. 일반 사용자는 설정 메뉴에서 학습 제외를 선택해야 하지만 고급 계정 보안을 활성화하면 대화 내용이 모델 학습에 사용되지 않는 설정이 자동으로 적용된다. 민감한 정보를 다루는 전문가들이 별도의 설정 없이도 데이터 주권을 확보하게 만든 포석이다.

개발자와 기업이 체감하는 실질적 변화는 AI 계정이 단순한 서비스 아이디에서 물리적 자산으로 변했다는 점이다. 이제 AI 계정의 소유권은 이메일 주소가 아니라 사용자가 쥐고 있는 물리적 키에 의해 결정된다. 이는 AI가 개인의 지적 자산과 기업의 핵심 기밀을 담는 인프라로 진화했음을 의미한다.

OpenAI는 이 보안 체계를 향후 엔터프라이즈 환경으로 확장할 계획이다. 기업용 AI 시장에서 보안은 단순한 기능이 아니라 진입 장벽이자 경쟁 우위 요소가 된다. 개별 사용자 수준에서 검증한 고강도 보안 모델을 기업용 솔루션에 이식해 시장 지배력을 공고히 하려는 전략이다.