내 ChatGPT 계정, 다른 기기에서 열려 있을 수 있다

핵심 요약

ChatGPT를 회사 PC, 집 노트북, 휴대폰, 태블릿에서 번갈아 쓰는 사람이라면 이제 비밀번호보다 먼저 봐야 할 화면이 생겼습니다.

OpenAI가 ChatGPT 보안 설정에 Active sessions 기능을 추가했습니다. 사용자는 ChatGPT 계정에 연결된 최근 세션과 신뢰된 기기를 확인하고, 낯선 세션을 개별 로그아웃하거나 전체 세션을 한 번에 끊을 수 있습니다. 공식 도움말 기준으로 세션 행에는 기기나 브라우저 정보, ChatGPT·Codex·API Platform 같은 first-party 앱 맥락, 대략적인 위치, 로그인 시각, 현재 세션 여부가 표시될 수 있습니다.

이 변화가 중요한 이유는 단순합니다. ChatGPT 계정이 이제 가벼운 챗봇 로그인 하나가 아니기 때문입니다. 사람들은 여기에 회사 문서, 개인 고민, 코드, API 사용량, 결제 정보, 업무 자동화 흐름을 연결합니다. 로그인된 세션 하나가 남아 있으면 누군가 내 대화 기록을 보거나, 내 계정으로 새 작업을 시작하거나, 개발자라면 API Platform과 Codex 주변 활동까지 건드릴 여지가 생깁니다.

이미지 출처: 디자인 생성 이미지. OpenAI Help Center의 Active sessions 설명을 바탕으로 재구성했다.

무슨 일이 있었나

OpenAI Help Center의 Active sessions 문서는 2026년 6월 4일 확인 시점에 “yesterday” 업데이트로 표시되어 있습니다. 문서가 설명하는 핵심은 세 가지입니다.

첫째, ChatGPT 설정의 Security에서 Active sessions를 열 수 있습니다. 여기서 사용자는 본인이 알아보는 기기와 낯선 기기, 최근 로그인 위치, 현재 세션 여부를 확인합니다. 현재 쓰는 세션은 그 행에서 바로 로그아웃할 수 없고, ChatGPT에서 직접 로그아웃하거나 전체 세션 로그아웃을 써야 합니다.

둘째, 낯선 세션은 개별로 끊을 수 있습니다. 신뢰된 기기라면 단순 로그아웃이 아니라 “로그아웃하고 신뢰된 기기에서 제거”하는 동작이 될 수 있습니다. 전체 로그아웃을 선택하면 현재 세션까지 포함해 모든 활성 세션을 끊으며, OpenAI는 이 작업이 최대 30분 걸릴 수 있다고 설명합니다.

셋째, 표시 범위에는 한계가 있습니다. Active sessions는 third-party app sessions, connected apps, third-party 서비스에서만 쓰인 Sign in with ChatGPT 세션, Codex CLI 세션을 보여주거나 관리하지 않습니다. 또 세션 세부 정보는 대략적이거나 불완전할 수 있고, 한 브라우저 행이 여러 first-party OpenAI 제품의 세션을 대표할 수 있습니다.

즉 이 기능은 “내 계정에 붙은 모든 위험을 완전히 보여주는 보안 관제판”이 아닙니다. 더 정확히는 ChatGPT 계정의 first-party 로그인 세션을 사용자가 직접 정리할 수 있게 만든 기본 안전장치입니다.

사람들이 실제로 겪는 문제

일반 사용자가 가장 자주 겪는 문제는 “어디에 로그인해뒀는지 기억나지 않는다”입니다. 회사 공용 회의실 PC에서 ChatGPT를 열었거나, 출장 중 호텔 노트북에서 로그인했거나, 예전에 쓰던 태블릿을 가족에게 넘겼는데 ChatGPT가 그대로 열려 있는 경우입니다. 예전에는 비밀번호를 바꾸거나 전체 로그아웃을 누르는 식으로 크게 처리해야 했습니다. 이제는 어느 세션이 수상한지 보고 개별로 끊는 선택지가 생겼습니다.

직장인에게는 조금 더 민감합니다. ChatGPT에 붙여 넣은 회의록, 고객 메일 초안, 인사 관련 문서, 가격표, 계약서 문구는 “대화”처럼 보이지만 실제로는 업무 데이터입니다. 계정이 여러 기기에 계속 열려 있다면 문서 권한 관리를 잘해도 마지막 로그인 세션이 구멍이 될 수 있습니다.

개발자에게는 Codex와 API Platform이 문제입니다. OpenAI는 Active sessions 행에 first-party app context로 ChatGPT, Codex, API Platform이 표시될 수 있다고 설명합니다. Codex가 로컬 개발 환경과 연결되고 API Platform이 비용과 키 관리에 닿아 있다면, 계정 세션 관리는 단순 개인정보 보호가 아니라 개발환경 보안과 비용 통제 문제로 바뀝니다. Codex가 잠긴 Mac에서도 일부 작업을 이어갈 수 있는 흐름은 이미 별도 글에서 다뤘듯이, 계정 세션과 기기 권한이 함께 관리되어야 합니다. 더 자세한 배경은 잠긴 맥에서도 AI가 일한다: 사람이 자리를 비운 뒤에도 이어지는 작업에서 이어 읽을 수 있습니다.

왜 중요한가

AI 계정 보안은 지금까지 주로 비밀번호, MFA, 피싱 방지 이야기로 다뤄졌습니다. 하지만 실제 사고는 로그인 이후에도 벌어집니다. 비밀번호를 바꿨더라도 이미 살아 있는 세션이 남아 있으면 일정 시간 접근이 이어질 수 있고, MFA를 켰더라도 기존 로그인 세션이 자동으로 사라지는 것은 아닙니다. OpenAI의 계정 보안 도움말도 MFA를 켜는 것만으로 기존 로그인이 취소되지 않으며, 이미 접근 중인 사용자를 막으려면 먼저 비밀번호를 재설정한 뒤 MFA를 켜라고 안내합니다.

Active sessions는 이 빈틈을 줄입니다. 사용자는 비밀번호 변경처럼 큰 조치를 하기 전에도 낯선 기기를 끊을 수 있고, 의심이 크면 전체 로그아웃을 통해 현재 세션까지 정리할 수 있습니다. 특히 AI 도구를 자주 쓰는 사람에게 이 기능은 “가끔 해보면 좋은 설정”이 아니라 월 1회 점검 루틴에 가깝습니다.

OpenAI가 2026년 4월 30일 발표한 Advanced Account Security와도 같은 방향입니다. 이 옵션은 더 강한 로그인 방식, 더 엄격한 복구, 짧아진 세션, 더 명확한 세션 관리, 자동 학습 제외를 묶습니다. OpenAI는 ChatGPT 계정이 시간이 지나며 민감한 개인·업무 맥락을 담고 연결된 도구와 워크플로우의 중심에 놓일 수 있다고 설명했습니다. Active sessions는 그 큰 흐름 중 일반 사용자에게 가장 바로 체감되는 조각입니다.

이미지 출처: 디자인 생성 이미지. OpenAI Help Center의 Active sessions 범위와 제외 대상을 바탕으로 재구성했다.

어떻게 확인하고 정리하나

가장 먼저 할 일은 ChatGPT 웹에서 Settings로 들어가 Security를 여는 것입니다. Active sessions가 보이면 해당 화면을 열고 다음 순서로 봅니다.

1. 현재 쓰는 기기와 브라우저가 무엇인지 확인합니다.
2. 오래된 노트북, 회사 공용 PC, 빌린 기기, 더 이상 쓰지 않는 휴대폰이 있는지 찾습니다.
3. 위치가 낯설거나 시간이 이상한 세션은 개별 Log out을 선택합니다.
4. 신뢰된 기기인데 더 이상 믿을 수 없다면 로그아웃과 함께 trusted device에서 제거합니다.
5. 의심이 크면 Log out of all sessions를 사용하고, 비밀번호와 MFA도 함께 점검합니다.

이때 “대략적인 위치”만 보고 바로 해킹이라고 단정하면 안 됩니다. VPN, 통신사망, 회사 네트워크, 클라우드 보안 프록시 때문에 위치가 실제와 다르게 보일 수 있습니다. 반대로 위치가 익숙하다고 안전하다고 단정해서도 안 됩니다. 기기 이름, 브라우저, 로그인 시각, 내가 그 시간에 실제로 썼는지를 함께 봐야 합니다.

직장인은 여기에 한 단계를 더 붙이는 편이 좋습니다. 회사 계정으로 ChatGPT Business나 관리형 워크스페이스를 쓰고 있다면 조직의 SSO 정책을 확인해야 합니다. OpenAI는 SAML 또는 OIDC 같은 조직 SSO 로그인에 연결된 계정에서는 Active sessions가 제공되지 않는다고 설명합니다. 이 경우 사용자가 직접 세션을 정리하는 대신 회사의 ID 관리, 기기 관리, SSO 세션 정책이 기준이 됩니다.

바로 쓰는 보안 체크리스트

• 한 달에 한 번 ChatGPT Settings > Security > Active sessions를 확인한다.
• 회사 PC, 공용 PC, 빌린 기기, 예전 휴대폰 세션은 바로 로그아웃한다.
• 낯선 위치보다 “기기·브라우저·시간” 조합을 우선 본다.
• 이상한 세션을 발견하면 해당 세션만 끊고 끝내지 말고 비밀번호, MFA, 패스키를 함께 점검한다.
• MFA를 새로 켜기 전, 이미 열린 세션을 막아야 한다면 비밀번호 재설정이나 전체 로그아웃을 먼저 고려한다.
• API Platform을 쓰는 개발자는 API 키, 사용량, spend limit, 키 로테이션도 같이 확인한다.
• third-party 앱 연결은 Active sessions에 안 보일 수 있으므로 별도 connected apps 화면과 각 서비스 설정에서 끊는다.
• Codex CLI 세션은 Active sessions가 관리하지 않는다고 명시되어 있으므로 로컬 기기와 토큰·설정 파일 관리까지 따로 본다.

리스크와 한계

첫 번째 한계는 표시 범위입니다. Active sessions는 first-party OpenAI 세션 관리에 초점을 둡니다. 서드파티 앱에서 “Sign in with ChatGPT”를 쓴 흔적, connected apps, Codex CLI 세션은 별도로 봐야 합니다. 사용자가 Active sessions 화면이 비었다고 해서 모든 연결이 정리됐다고 생각하면 위험합니다.

두 번째 한계는 전파 시간입니다. OpenAI는 전체 세션 로그아웃이 최대 30분 걸릴 수 있다고 설명합니다. 계정 탈취가 의심되는 상황이라면 “버튼을 눌렀으니 즉시 끝났다”고 보지 말고, 비밀번호 재설정, MFA, 패스키, API 키 삭제, 결제·사용량 확인을 함께 진행해야 합니다.

세 번째 한계는 복구 책임입니다. Advanced Account Security를 켜면 보안은 강해지지만 계정 복구는 더 엄격해집니다. OpenAI 도움말은 이 기능이 비밀번호 로그인, 이메일·SMS 코드, 이메일 계정 복구를 비활성화하고, 복구 키를 잃으면 계정 접근을 잃을 수 있다고 안내합니다. 보안 키와 패스키를 잘 관리할 자신이 없다면 무작정 켜기보다 MFA와 세션 점검부터 습관화하는 편이 현실적입니다.

네 번째 한계는 조직 계정입니다. 기업 SSO 환경에서는 사용자가 보는 ChatGPT 설정보다 회사의 ID 정책이 우선입니다. 개인이 Active sessions를 찾지 못한다고 기능이 고장났다고 판단하기보다, 회사 관리자에게 세션 만료, 기기 신뢰, MFA, 로그 감사 정책을 확인해야 합니다.

누가 지금 바로 써야 하나

가장 먼저 확인할 사람은 ChatGPT를 유료로 쓰고, 여러 기기에서 로그인하며, 업무 자료를 자주 붙여 넣는 사용자입니다. 회사 노트북과 개인 노트북을 오가거나, 모바일 앱으로 계속 이어 쓰는 사람도 해당합니다. “나는 중요한 건 안 넣는다”고 생각해도 대화 기록에는 생활 패턴, 계정 이름, 파일명, 고객명, 코드 조각이 쌓일 수 있습니다.

개발자는 더 적극적으로 봐야 합니다. ChatGPT, Codex, API Platform이 같은 OpenAI 계정으로 이어질수록 세션 하나의 의미가 커집니다. 계정 세션을 정리하는 날에는 API 키 대시보드와 사용량, spend limit도 함께 보는 편이 좋습니다. OpenAI의 계정 보안 문서도 API 키가 유출되면 무단 사용과 비용 문제가 생길 수 있다고 경고합니다.

보안이 특히 중요한 사람은 Advanced Account Security도 검토할 만합니다. 기자, 연구자, 정치·사회 활동가, 보안 담당자, 민감한 업무를 다루는 프리랜서라면 패스키나 FIDO 보안 키 기반 로그인, 짧은 세션, 자동 학습 제외가 의미 있을 수 있습니다. 다만 복구 키 관리 책임까지 감당할 수 있을 때만 켜야 합니다.

관전 포인트

첫째, Active sessions가 모바일 앱과 각 지역 계정에서 얼마나 일관되게 보이는지 봐야 합니다. OpenAI 문서는 모든 ChatGPT 계정과 워크스페이스 유형에서 제공된다고 설명하지만, SSO 계정은 예외입니다. 실제 사용자는 계정 생성 방식, 조직 연결, 지역, 앱 버전에 따라 체감이 다를 수 있습니다.

둘째, third-party 연결 관리가 다음 단계입니다. ChatGPT가 더 많은 외부 앱, 파일, 업무 도구와 연결될수록 “로그인 세션”과 “앱 연결 권한”은 분리해서 봐야 합니다. Active sessions가 첫 번째 문이라면, connected apps와 API 키 관리는 두 번째 문입니다.

셋째, AI 계정 보안은 기업 도입의 기본 체크리스트가 될 가능성이 큽니다. 모델 성능이나 가격만 보고 도입하던 시기는 지나가고 있습니다. 누가 로그인했는지, 어느 기기에서 접근했는지, 세션이 얼마나 오래 유지되는지, 퇴사자와 외주 인력의 세션을 어떻게 끊는지가 실제 운영 리스크가 됩니다.

결론은 간단합니다. ChatGPT를 진지하게 쓰기 시작했다면, 대화 잘하는 모델을 고르는 것만큼 로그인된 세션을 정리하는 습관도 중요합니다. AI 보안의 시작은 거창한 프롬프트 방어가 아니라, 지금 내 계정이 어디에서 열려 있는지 확인하는 일일 수 있습니다.

출처와 더 읽을 거리

• OpenAI Help Center — Managing active sessions in ChatGPT: Active sessions의 표시 항목, 확인 경로, 개별·전체 로그아웃 방법, 제외 범위, SSO 예외를 확인할 수 있는 공식 도움말이다.
• OpenAI Help Center — How do I log out of all of my devices?: ChatGPT와 OpenAI developer platform에서 전체 세션을 로그아웃하는 절차와 최대 30분 전파 시간을 설명하는 공식 문서다.
• OpenAI — Introducing Advanced Account Security: OpenAI가 2026년 4월 30일 발표한 계정 보안 강화 정책 원문으로, 짧아진 세션과 더 명확한 세션 관리가 왜 등장했는지 배경을 확인할 수 있다.
• OpenAI Help Center — Advanced Account Security: Advanced Account Security의 적용 대상, 패스키·보안 키 요건, 복구 키 책임, 모델 학습 제외 효과를 확인할 수 있는 공식 도움말이다.
• OpenAI Help Center — How can I keep my OpenAI accounts secure?: API 키 유출 방지, MFA, 전체 세션 로그아웃, 계정 탈취 대응 순서를 함께 정리한 공식 계정 보안 가이드다.