🔍 핵심 요약
- 비밀번호 및 이메일 복구 경로를 완전히 제거하여 사회 공학적 공격 가능성을 원천 차단한 신규 보안 옵션
- Yubico 등 물리적 하드웨어 보안 키 또는 패스키 2개 등록을 통한 강력한 다요소 인증(MFA) 의무화
- 분실 시 복구 지원 불가 정책을 채택하여 고가치 비즈니스 데이터 및 모델 접근권에 대한 절대적 보안 강조
상세 분석
오픈AI(OpenAI)가 ChatGPT 계정에 담긴 민감한 비즈니스 데이터와 개인적 자산을 보호하기 위해, 현대 금융 기관의 보안 표준을 상회하는 ‘고급 계정 보안(Advanced Account Security)’ 기능을 전격 도입했습니다. 이 기능은 선택적 보안 옵션이지만, 활성화 시 계정의 인증 아키텍처를 근본적으로 재편합니다. 가장 혁신적인 변화는 기존의 비밀번호 시스템과 이메일을 통한 계정 복구 경로를 완전히 배제한다는 점입니다.
대신 사용자는 유비코(Yubico)와 같은 FIDO2 기반 하드웨어 보안 키나 패스키를 최소 2개 이상 등록해야만 계정 접근이 가능해집니다. 이는 이메일 하이재킹이나 정교한 사회 공학적 기법(Social Engineering)을 통한 계정 탈취 시도를 물리적 계층에서 차단하려는 의도입니다. 특히 오픈AI는 사용자가 하드웨어 키를 분실할 경우 고객지원팀을 통해서도 계정을 복구할 수 없는 ‘무복구(No-recovery)’ 정책을 명시했습니다.
이는 고객센터 직원을 사칭한 해킹 공격(Customer Support Social Engineering)까지 원천 방어하기 위한 조치로, AI 계정이 단순한 챗봇 접근권을 넘어 기업의 핵심 지식 자산이 집약된 인프라로 격상되었음을 시사합니다. 사용자는 극강의 보안성을 확보하는 대신, 자신의 디지털 식별자에 대한 전적인 관리 책임을 지게 되는 ‘금융권 수준’의 엄격한 보안 환경에 놓이게 됩니다.
시사점
오픈AI의 이번 조치는 AI 계정이 ‘디지털 자산’으로서 갖는 가치가 임계점을 넘었음을 방증합니다. 강력한 보안을 위해 사용자 편의성과 복구 가능성을 포기한 것은, 소셜 엔지니어링에 의한 계정 탈취가 가져올 기업적 리스크가 관리 불가능한 수준임을 인정한 결과입니다. 다만, 이러한 ‘무복구’ 정책이 엔터프라이즈 시장의 운영 확장성과 충돌할 수 있다는 점에서 향후 기업용 키 관리 솔루션(KMS)과의 연동이 중요한 과제가 될 것입니다.
