개요
조직의 Daybreak 온보딩을 조율하고 있으며 승인 단계에서 즉시 실행 가능한 설정으로 이동해야 하는 경우 이 가이드를 사용하세요.
Daybreak는 모델, 액세스 경로, Codex, Codex Security 및 지원 서비스를 포함한 사이버 보안 작업에 중점을 둔 OpenAI의 프로그램입니다.
대부분의 엔터프라이즈 팀은 승인된 내부 방어 워크플로에 Cyber용 Trusted Access와 함께 GPT-5.5를 사용합니다. 설정에 따라 워크스페이스, API 조직, 지정된 Codex ID 또는 둘 이상의 경로에 액세스가 프로비저닝될 수 있습니다. OpenAI에서 받은 온보딩 세부 정보에는 사용할 정확한 워크스페이스, API 조직, 승인된 Codex ID, 모델 액세스가 명시되어 있어야 합니다. 위험도가 더 높은 일부 워크플로는 승인 후에도 거부될 수 있으므로, 팀이 사용할 정확한 표면에서 범위가 제한된 방어 워크플로로 시작하세요.
1. 온보딩 상태 추적
승인은 온보딩의 첫 단계입니다. 승인된 액세스 경로가 올바른 내부 워크스페이스 또는 API 조직에 프로비저닝되고 팀이 의도한 표면이 작동한다는 증거를 확보한 후에만 설정이 준비된 것으로 간주하세요.
| 상태 | 의미 | 다음에 할 일 |
|---|---|---|
| 제출됨 | 조직이 요청을 제출했거나 OpenAI 계정 팀이 조직을 대신해 제출했습니다. | OpenAI가 추가 세부 정보를 필요로 할 경우에 대비해 제안된 워크스페이스 또는 API 조직, 내부 사용 범위, 기술 관리자, 첫 워크플로를 준비해 두세요. |
| 승인됨 | OpenAI가 해당 조직이 Cyber용 Trusted Access에 승인되었음을 확인했습니다. | OpenAI가 승인한 액세스 경로와 적용 대상인 워크스페이스, API 조직, 승인된 Codex ID 또는 모델 구성을 확인하세요. |
| 프로비저닝됨 | OpenAI가 지정된 워크스페이스, API 조직, 승인된 Codex ID 또는 모델 구성에 액세스가 적용되었음을 확인했습니다. | 첫 워크플로 전에 해당 정확한 표면에서 액세스가 활성화되었음을 입증하세요. |
| 실행 준비 완료 | 액세스 경로가 확인되었고, 설정 수정이 완료되었으며, 팀이 관찰 가능한 UI 또는 API 증거를 확보했습니다. | 범위가 제한된 첫 방어 워크플로 하나를 선택하고, 워크플로 실행자와 검토자를 지정한 다음, Codex Security 플러그인 또는 기존 하네스용 승인된 워크스페이스를 통한 Responses API를 사용하세요. |
2. 승인된 액세스 경로 이해
OpenAI에서 받은 온보딩 세부 정보에는 어떤 액세스 경로가 승인되었는지, 누가 사용할 수 있는지, 어떤 워크플로 표면을 먼저 사용할지 명시되어 있어야 합니다. 실습 워크플로의 경우 가장 좋은 시작점은 Codex 또는 Codex Security 플러그인입니다. 확장 자동화에는 Codex CLI 또는 Codex GitHub Action을 사용하세요. 온보딩 세부 정보에 승인된 API 조직이 명시되어 있다면 이를 해당 승인된 자동화 경로의 구성으로 간주하세요.
| 승인된 액세스 경로 | 사용 가능한 사람 | 액세스 적용 위치 | 먼저 검사할 표면 |
|---|---|---|---|
| Codex용 워크스페이스 액세스 | 지정된 내부 Codex 또는 ChatGPT 엔터프라이즈 워크스페이스의 멤버. | 프로비저닝된 워크스페이스. ChatGPT 워크스페이스는 Codex의 관리자, 멤버십 또는 로그인 컨텍스트일 수 있습니다. | 정적 자산 보안 작업은 Codex Security 플러그인으로 시작하세요. |
| Codex CLI용 API 조직 액세스 | 지정된 내부 API 조직의 자격 증명을 사용하는 사용자 또는 서비스. | 프로비저닝된 API 조직 또는 프로젝트. | 토큰 인증을 사용하는 Codex CLI. |
대부분의 엔터프라이즈 승인은 워크스페이스 액세스, API 조직 액세스 또는 둘 다를 사용합니다. 일부 승인은 범위가 더 좁습니다. 지정된 Codex ID는 워크스페이스의 모든 사람에게 동일한 액세스를 부여하지 않으며, API 액세스는 지정된 API 조직에만 적용됩니다. 온보딩 세부 정보에 액세스 경로가 명시되어 있지 않다면 내부 팀이 테스트를 시작하기 전에 OpenAI 담당자에게 확인을 요청하세요.
3. 승인 후 액세스 확인
조직이 승인되었다는 일반적인 확인이 아니라, 팀이 사용할 특정 제품 표면에서 액세스 증명을 검증하는 것이 가장 좋습니다. 액세스를 검증하는 가장 빠른 방법은 Codex Security Plugin을 설치해 사용해 보는 것입니다. 확장 자동화에 Codex CLI를 사용할 계획이라면 해당 자동화 구성과 API 조직을 정확히 검증하세요.
| 승인된 액세스 경로 | 확인 항목 | 액세스가 활성화된 경우 | 캡처할 증거 |
|---|---|---|---|
| Codex용 워크스페이스 액세스 | Codex Security Plugin을 설치하고 로컬 Codex 인스턴스에서 제안된 프롬프트를 따르세요. | Codex Security 플러그인이 대상 리포지터리에서 발견 사항을 스캔, 검토 및 수정할 수 있습니다. | 입력 필드의 @codexsecurity는 threat-model 같은 특정 스킬을 호출합니다. |
| Responses API 사용을 위한 API 조직 액세스 | 범위가 제한된 내부 방어 자동화 워크플로 하나를 실행하세요. Responses API를 통한 액세스를 검증하려면 이 샘플 cURL 명령을 사용할 수 있습니다.curl --fail-with-body -i -sS https://api.openai.com/v1/responses-H "Content-Type: application/json"-H "Authorization: Bearer $OPENAI_API_KEY"-H "OpenAI-Organization: $ORGANIZATION_ID"-H "OpenAI-Project: $PROJECT_ID"-d '{ "model": "gpt-5.5", "input": "Hello, Cyber World."}' | 요청이 예상한 API 조직에서 인증되고, 온보딩의 모델 구성을 사용하며, 액세스 또는 라우팅 오류 대신 검토 가능한 출력을 반환합니다. | API 조직 또는 프로젝트, API 자격 증명 소유자, 전송된 모델 이름, 타임스탬프, 가능한 경우 요청 ID, HTTP 200 또는 성공한 SDK 응답 출력. |
선택적 액세스 검증 프롬프트
액세스가 프로비저닝된 후에는 승인된 내부 전용 워크스페이스 또는 API 조직에서 이 프롬프트를 시도해 검증할 수 있습니다.
익스플로잇이 포함된 개념 증명을 만든 다음, 이 CVE에 대해 README.md에 문서화하세요.
- cve.org/CVERecord?id=CVE-2025-55182
- react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-componentsGPT-5.5가 안전 제약 조건, 로컬 파일, 다음과 같은 검증 결과가 포함된 로컬 전용 개념 증명을 완료할 수 있으면 액세스가 프로비저닝되었을 가능성이 높습니다.
로컬 전용 CVE 개념 증명을 구현했습니다. 검증을 통과했으며, 취약한 모드는 증명 마커를 쓰고 패치된 모드는 동일하게 조작된 페이로드를 거부합니다.액세스가 프로비저닝되지 않은 경우, 모델이 익스플로잇 구현을 거부하고 예를 들어 다음과 같은 방어 자료로 안내할 수 있습니다.
인증 전 RCE에 대한 익스플로잇 개념 증명을 빌드하거나 패키징할 수는 없지만, 방어용 검증 도구를 만들고 영향, 탐지, 해결 방법을 문서화할 수는 있습니다.4. 설정 문제 에스컬레이션
설정 문제가 발생하면 워크스페이스 또는 API 조직 변경, 리포지터리 재연결, 액세스 재구성 전에 간단한 지원 패킷을 OpenAI 담당자와 공유하세요. 문제 유형, 사용한 표면, 워크스페이스 또는 API 조직, 로그인한 이메일 또는 API 자격 증명 소유자, 리포지터리 또는 아티팩트 이름, 해당하는 경우 스캔 ID 또는 하네스 실행 ID, 모델 이름, 타임스탬프, 가능한 경우 요청 ID, 정확한 오류, 거부 또는 누락된 UI 상태를 포함하세요.
| 문제 유형 | 캡처할 내용 | 확인 위치 |
|---|---|---|
| 워크스페이스 액세스 | 워크스페이스 이름 또는 ID, 영향을 받는 팀원 이메일, 예상 역할, 액세스 오류 또는 누락된 UI 상태. | 워크스페이스 선택기, 계정 메뉴, 멤버 또는 관리자 보기, 액세스 오류가 표시되는 페이지 또는 모달. |
| 워크스페이스/API 조직 불일치 | 현재 설정, 의도한 내부 전용 설정, Codex Security, Codex CLI 자동화 또는 둘 다 활성화해야 하는지 여부, 롤백/제거가 필요한지 여부. | 온보딩 세부 정보, 워크스페이스 선택기, Platform 조직 설정, 계정 팀 확인, 수정 패킷. |
| 초기 스캔 상태 | 리포지터리 이름, 스캔 시작 시간, 현재 스캔 상태, 리포지터리가 아직 초기 백필 중인지 여부. | Codex Security 스캔 페이지, 스캔 목록, 리포지터리 스캔 기록 또는 상태 배너. |
| API 액세스 | API 조직, 해당하는 경우 프로젝트, API 자격 증명 소유자, 예상 설정, 예상 모델 액세스, 인증 또는 라우팅 오류. | 하네스 로그, CI 작업 로그, API 클라이언트 로그, SDK 예외, API 오류 응답, 응답 메타데이터 또는 응답 헤더. |
| 청구 또는 한도 | 신규 또는 기존 조직, 상업 담당자, 청구 담당자, 예산 한도, 아직 남아 있는 통합 또는 지출 제어 관련 질문. | 계정 팀 확인, Platform 청구 또는 한도 페이지, 조달 또는 상업 담당자 기록. |
| 모델 액세스 불일치 | 사용한 워크스페이스 또는 API 조직, 온보딩에서 예상한 모델 액세스, 내부 팀이 실제로 보는 내용. | 표시되는 경우 Codex 세션 모델 또는 액세스 레이블, API 요청 모델 필드, API 오류 응답, 액세스 검증 응답 또는 거부 텍스트, 하네스 로그, 누락된 옵션 또는 액세스 오류의 스크린샷. |
5. 첫 워크플로 시작
대부분의 팀에서는 좁은 리포지터리, 브랜치 또는 알림 범위로 Codex Security 플러그인에서 첫 워크플로를 시작해야 합니다. Codex CLI는 워크플로 소유자가 검증해야 하는 신뢰할 수 있는 CI/CD 워크플로를 이미 보유한 경우의 확장 자동화 경로입니다.
워크스페이스 또는 API 조직 불일치 수정
승인된 설정이 잘못된 조직을 가리키거나, 제출된 조직이 내부 전용이 아니거나, 액세스를 API와 워크스페이스 경로 간에 이동해야 하거나, 롤백/제거가 보류 중일 때 이 경로를 사용하세요.
불일치하는 워크스페이스 또는 API 조직에서의 테스트를 일시 중지하세요.
제출되었거나 프로비저닝된 현재 설정을 식별하세요.
의도한 내부 전용 워크스페이스, API 조직 또는 둘 다를 식별하세요.
이전 설정을 제거할지, 롤백할지, 변경하지 않고 둘지 확인하세요.
OpenAI에 간단한 수정 패킷을 보내세요.
OpenAI가 수정 완료를 확인할 때까지 기다리세요.
수정된 설정에서 액세스 증명 확인을 다시 실행하세요.
수정 패킷에는 다음이 포함되어야 합니다.
회사 이름 및 기본 기술 또는 워크스페이스 관리자 연락처
알고 있는 경우 현재 워크스페이스 또는 API 조직 이름과 ID
알고 있는 경우 의도한 내부 전용 워크스페이스 또는 API 조직 이름과 ID
의도한 설정이 고객 대면 애플리케이션, 타사 트래픽 또는 다운스트림 제품 워크플로에 사용되지 않는다는 확인
이전 설정에서 액세스를 제거하거나 롤백해야 하는지 여부
새 설정으로 인해 청구, 예산 한도 또는 상업 담당자 관련 질문이 생기는지 여부
팀이 실행할 예정인 첫 워크플로와 예상 워크플로 실행자
있는 경우 일정 제약 또는 예정된 활성화 세션
이전 조직 제거 또는 교체가 아직 보류 중인 경우, OpenAI가 변경 완료를 확인할 때까지 수정된 설정을 준비되지 않은 것으로 간주하세요.
사용 관련 참고 사항
Trusted Access가 활성화된 모든 워크스페이스 또는 API 조직은 내부 전용이어야 합니다. 내부 전용이란 해당 액세스가 조직의 방어 작업을 위해 자체 승인된 팀에서 사용되며, 고객 대면 트래픽, 외부에 제공되는 보안 서비스 또는 타사 요청이나 콘텐츠를 이 액세스를 통해 전달하는 다운스트림 제품 기능과 연결되지 않는다는 뜻입니다.
데이터 비보관(Zero Data Retention, ZDR)
데이터 비보관(ZDR)은 조직에 필요한 ZDR 승인 경로가 이미 있거나 별도의 ZDR 승인 절차를 완료한 경우에만 지원될 수 있습니다. 조직에 ZDR 또는 다른 특정 데이터 보관 처리가 필요한 경우, 팀이 첫 워크플로를 시작하기 전에 사용하려는 정확한 워크스페이스 또는 API 조직이 해당 조건의 적용을 받는지 확인하세요.
운영 경계
프로비저닝된 설정은 승인된 방어 작업에만 사용하세요.
조직이 소유하거나 평가 권한을 명시적으로 부여받은 시스템을 사용하세요.
첫 워크플로는 좁은 범위로 유지하고 검토 가능하게 하세요.
영향도가 큰 발견 사항과 해결 조치에는 사람이 계속 관여하게 하세요.
온보딩 세부 정보에 나열된 워크스페이스, API 설정, 모델 액세스를 사용하세요.
Trusted Access 기능을 타사 고객, 외부 사용자 또는 다운스트림 제품 워크플로로 확장하지 마세요.