3대 에이전트 코딩 플랫폼 — Anthropic의 Claude Code CLI, OpenAI의 Codex CLI, Google의 Gemini CLI — 이 프로덕션급 도구로 성숙했습니다. 더 이상 실험용 장난감이 아닙니다. 이들은 코드를 작성하고, 셸 명령을 실행하며, git 워크플로를 관리하고, 전체 코드베이스에 걸쳐 멀티 에이전트 파이프라인을 조율합니다. 엔터프라이즈 IT 리더라면 이 도구들을 평가하지 않을 이유가 없습니다 — 이미 뒤처지고 있다면요.

Big Hat Group에서는 Azure와 Intune으로 관리되는 Windows 365 Cloud PC 환경에서 엔터프라이즈 고객을 위해 이러한 에이전트 하네스를 배포해 왔습니다. 엔터프라이즈 AI 자동화에 실질적으로 중요한 보안 아키텍처, 거버넌스 모델, 그리고 실용적인 트레이드오프에서 우리가 얻은 교훈을 공유합니다.

샌드박싱과 보안: OS 수준 격리는 선택이 아닌 필수

에이전트 코딩 시스템에서 가장 중요한 아키텍처 결정은 에이전트 실행을 호스트 운영체제와 어떻게 격리할 것인가입니다. 이 도구들은 임의의 셸 명령을 실행합니다. 샌드박싱이 실패하면 에이전트가 파일을 삭제하고, 자격 증명을 탈취하거나, 데이터를 유출할 수 있습니다.

Claude Code는 macOS에서 Apple의 Seatbelt 프레임워크, Linux에서 bubblewrap(seccomp + Landlock)이라는 OS 수준 프리미티브를 사용하여 커널 수준에서 파일시스템과 네트워크 격리를 강제합니다. Windows에서는 이러한 Unix 기반 프리미티브를 사용할 수 없으므로, Claude Code는 Docker 기반 샌드박싱을 지원하여 동등한 격리를 구현합니다. 프롬프트 인젝션으로 에이전트가 침해되더라도 OS 커널(또는 컨테이너 경계) 자체가 무단 파일 접근과 네트워크 연결을 차단합니다. 네트워크 트래픽은 도메인 허용 목록을 갖춘 승인된 프록시를 통해 라우팅되어, 공격자가 제어하는 서버로의 데이터 유출을 방지합니다.

Codex CLI는 동일한 Seatbelt과 Landlock 메커니즘을 사용하지만, 런타임에 선택한 승인 정책에 따라 다르게 구성합니다. 현재 디렉터리와 /tmp를 활성 범위로 하는 “워크스페이스” 개념을 구현합니다. Windows에서도 마찬가지로 네이티브 OS 프리미티브를 사용할 수 없을 때 샌드박싱을 위해 Docker 컨테이너에 의존합니다. 한 가지 중요한 세부 사항: 컨테이너화된 Docker 환경에서 Codex는 컨테이너가 Landlock을 지원하지 않으면 표준 샌드박스 메커니즘이 작동하지 않을 수 있음을 인지하고, Docker를 적절히 구성하거나 샌드박싱을 비활성화하는 명시적 가이드를 제공합니다.

Gemini CLI는 더 가벼운 접근 방식을 취하며, OS 수준 커널 강제보다는 주로 프로세스 격리와 구성 가능한 프록시 스크립트(GEMINI_SANDBOX_PROXY_COMMAND)에 의존합니다. Google Cloud Shell에서는 샌드박싱이 Google 인프라에 의해 처리됩니다. 로컬 머신에서는 Claude Code와 Codex가 제공하는 것만큼 격리가 강력하지 않습니다.

n8n 샌드박스 탈출 사건이 이를 현실적으로 보여줍니다. 연구자들은 n8n의 워크플로 자동화 플랫폼에서 입력 정화 기반 보안 통제가 대체 JavaScript 문법을 통해 우회될 수 있음을 발견했고, 이로 인해 자격 증명 탈취, 환경 변수 노출, 클라우드 계정으로의 측면 이동까지 이어지는 완전한 서버 침해가 발생했습니다. 교훈은 명확합니다. OS 수준의 실행 격리가 애플리케이션 계층에서 위험한 입력을 필터링하려는 시도보다 근본적으로 더 강력합니다.

엔터프라이즈 핵심: 에이전트가 프로덕션 자격 증명, 네트워크 리소스 또는 민감한 코드에 접근 가능한 머신에서 명령을 실행하는 모든 배포에서는 OS 수준 샌드박싱을 요구하세요. Windows — Windows 365 Cloud PC 포함 — 에서는 Docker 기반 격리가 Claude Code와 Codex 모두에 대한 표준 접근 방식입니다. 애플리케이션 계층 격리만으로는 부족합니다. Claude Code와 Codex는 커널 수준 또는 컨테이너 수준 강제를 제공하지만, Gemini CLI는 아직 그렇지 않습니다.

권한 모델: 승인 피로 vs. 보안 태세

권한 시스템은 혹독한 트레이드오프를 타협해야 합니다. 프롬프트가 너무 많으면 승인 피로(개발자가 읽기를 멈추고 모든 것을 자동 승인)가 발생하고, 너무 적으면 파괴적 작업이 감시 없이 수행됩니다.

Claude Code는 세 가지 범주의 계층적 시스템을 구현합니다. 읽기 전용 작업(승인 불필요), bash 명령(세션당 한 번 승인), 파일 수정(매번 승인). 규칙은 엄격한 deny → ask → allow 우선순위 체인을 따르며, deny 규칙이 항상 이깁니다. 세밀하게 제어할 수 있습니다 — Bash(npm run build)는 정확히 해당 명령만 매칭합니다. bypassPermissions 모드는 모든 프롬프트를 건너뛰지만 안전한 환경(CI/CD 컨테이너 또는 개발 VM)이 필요하며, Anthropic은 이 모드가 활성화되면 샌드박싱만으로 권한 프롬프트를 84% 감소시킨다고 보고합니다.

Codex CLI는 샌드박스 모드와 승인 정책을 결합하며, 신뢰할 수 있는 명령과 신뢰할 수 없는 명령을 구분합니다. 파괴적 git 작업 — 강제 푸시, 구성 재정의 — 자동 모드에서도 승인이 필요합니다. destructive 어노테이션이 표시된 MCP 도구 호출은 다른 설정에 관계없이 승인이 필요합니다. --dangerously-bypass-approvals-and-sandbox 플래그(예, 실제 플래그 이름입니다)가 존재하지만 명시적으로 권장하지 않습니다.

Gemini CLI는 명령 패턴별이 아닌 도구 또는 서버 수준에서 작동하는 덜 세밀한 시스템을 갖습니다. 그리고 여기 주의 사례가 있습니다. 2025년, Gemini CLI 에이전트가 명시적 사용자 확인 없이 전체 프로젝트 디렉터리를 삭제했습니다. 에이전트는 기술적으로 자신의 샌드박스 경계 내에 머물렀지만, 사용자는 파괴적 파일시스템 작업에 대해 확인 프롬프트를 기대했습니다. “기술적으로 허용된” 것과 “사용자가 묻기를 기대한” 것 사이의 간극이 실제 피해가 발생하는 지점입니다.

엔터프라이즈 핵심: 파괴적 작업에 대한 세밀한 통제가 필요한 환경에서는 Claude Code 또는 Codex를 배포하세요. 관리 설정 수준에서 고위험 명령에 대한 deny 규칙을 구성하여 개별 개발자가 재정의할 수 없도록 하세요. Gemini 삭제 사건을 AI 거버넌스 및 보안 교육의 사례로 삼으세요.

컨텍스트 관리: CLAUDE.md vs AGENTS.md vs GEMINI.md

각 플랫폼은 마크다운 구성 파일을 사용하여 프로젝트별 지침을 에이전트의 컨텍스트에 주입합니다. 차이는 외형적인 것 이상입니다.

CLAUDE.md 파일은 계층적 발견 모델을 따릅니다. 글로벌(~/.claude/CLAUDE.md), 프로젝트 루트, 그 다음 하위 디렉터리별 재정의. 백엔드 API 디렉터리는 해당 서브트리의 파일에만 부모 지침을 재정의하는 특화된 가이드라인을 가질 수 있습니다. 이 파일들은 시작 시 시스템 프롬프트에 주입됩니다. Claude Code는 Opus 4.6과 함께 100만 토큰 컨텍스트 창을 지원하여 단일 세션에서 전체 마이크로서비스 아키텍처 분석이 가능합니다.

AGENTS.md(Codex)는 더 단순한 패턴을 따릅니다. 파일이 저장소 루트에서 현재 작업 디렉터리까지 병합되며, 각각은 대화 기록에서 별도의 user-role 메시지로 나타납니다. Codex는 개발자에게 활성화된 지침을 정확히 보여줍니다. skills 시스템은 호출될 때만 로드되는 재사용 가능한 절차 번들을 추가하여 토큰 낭비를 방지합니다. Codex는 또한 compaction — 다중 시간 세션을 위한 자동 서버 측 컨텍스트 압축 — 을 지원합니다.

GEMINI.md는 Claude의 계층적 접근을 반영하지만 @file.md 문법을 통한 모듈식 임포트를 추가하여, 팀이 큰 컨텍스트 파일을 유지보수 가능한 컴포넌트로 분할할 수 있게 합니다. /memory add 명령은 세션 간 영구 지침을 추가하고, /memory reload는 편집 후 재스캔을 강제합니다.

엔터프라이즈 팀에게 핵심 차이는 정책 강제입니다. Claude Code의 관리 설정 계층은 관리자가 개별 개발자가 재정의할 수 없는 조직 전체 제한을 강제할 수 있게 합니다. Codex는 버전 관리되는 AGENTS.md 파일에 정책을 내장합니다 — 개발자 가시성에는 좋지만 중앙 집중식 강제는 더 어렵습니다. Gemini는 계층적 파일과 영구 메모리로 중간 지대를 제공합니다.

엔터프라이즈 핵심: 모든 저장소에 프로젝트 수준 구성 파일(CLAUDE.md, AGENTS.md 또는 GEMINI.md)을 표준화하세요. 코딩 표준, 보안 요구 사항, 리뷰 가이드라인을 직접 인코딩하세요. 규제 환경에서는 Claude Code의 관리 설정이 에이전트 AI for IT operations를 위한 가장 강력한 중앙 집중식 정책 강제를 제공합니다.

멀티 에이전트 조율: 백그라운드 실행이 모든 것을 바꾼다

단일 에이전트 워크플로는 복잡한 작업에서 한계에 부딪힙니다. 플랫폼들은 병렬성 처리 방식에서 크게 갈립니다.

Claude Code는 진정한 백그라운드 에이전트 실행을 지원합니다. 장기 실행 작업을 위해 하위 에이전트를 생성하고, Ctrl+B로 백그라운드로 보내고, 메인 에이전트와 계속 작업하세요. /tasks로 모든 백그라운드 에이전트를 모니터링하세요. 하위 에이전트는 커스텀 시스템 프롬프트, 특정 도구 접근, 자체 권한을 가진 독립된 컨텍스트 창에서 실행됩니다. 내장 하위 에이전트에는 Explore(파일 발견), Plan(전략적 계획), 범용 에이전트가 포함됩니다. 또한 별도의 세션에서 지속적인 병렬 실행을 위한 에이전트 팀을 생성할 수 있습니다 — 대규모 코드베이스 리팩터링에 필수적입니다.

Codex CLICSV 팬아웃을 통해 조율을 구현합니다. spawn_agents_on_csv가 CSV 파일을 읽고 행당 하나의 워커 하위 에이전트를 생성합니다. 보안 팀이 컴포넌트당 한 행의 CSV를 만들면, Codex가 컴포넌트당 하나의 리뷰 에이전트를 생성하고 모든 결과를 출력 CSV에 수집합니다. agents.max_threadsagents.job_max_runtime_seconds 같은 구성 매개변수가 리소스 고갈을 방지합니다. Codex는 또한 worktrees — 여러 에이전트가 동일한 저장소에서 간섭 없이 작업할 수 있게 하는 Git 격리 체크아웃 — 을 구현합니다.

Gemini CLI는 아직 네이티브 백그라운드 작업 처리가 부족합니다. 이 기능을 요청하는 GitHub 이슈는 사용자들이 20분 이상 걸리는 대규모 코드베이스 분석이 모든 CLI 사용을 차단한다고 보고한 후 P1(중요)으로 표시되었습니다. 해결 방법 — nohup으로 여러 터미널 탭을 실행 — 은 백그라운드 지원이 네이티브가 아닐 때의 운영 부담을 보여줍니다.

엔터프라이즈 핵심: 병렬 코드 리뷰, 보안 감사 또는 배치 마이그레이션을 포함한 엔터프라이즈 AI 자동화 워크플로에서는 Claude Code의 백그라운드 에이전트와 Codex의 CSV 팬아웃이 프로덕션 준비된 패턴입니다. Gemini CLI는 아직 병렬 엔터프라이즈 워크로드에 준비되지 않았습니다.

MCP와 도구 통합: 확장성 계층

**Model Context Protocol(MCP)**은 에이전트를 외부 도구, API, 서비스에 연결하는 표준화된 메커니즘입니다. 세 플랫폼 모두 지원하지만, 구현 성숙도는 다양합니다.

Claude Code는 MCP를 주요 확장 메커니즘으로 취급합니다. 세 가지 전송 유형: stdio(로컬 프로세스), HTTP(원격 서버, 권장), SSE(지원 중단). GitHub MCP 서버 추가는 한 명령어면 됩니다: claude mcp add --transport http github https://api.githubcopilot.com/mcp/. 인증된 서버에 대해 OAuth 흐름이 자동으로 트리거됩니다. 일반적인 통합에는 Sentry, PostgreSQL, Figma, 커스텀 내부 도구가 포함됩니다. 환경 변수 치환으로 API 키를 버전 관리에서 멀게 유지합니다.

Codex CLI는 Responses API를 통해 MCP를 지원하며, skills 시스템으로 확장합니다 — 내장 및 외부 도구를 모두 호출하는 재사용 가능한 절차 번들. Skills는 Glean에서 효과를 입증했으며, 부정 예제(“이 스킬을 사용하지 않을 때”)를 추가하면 라우팅 정확도가 20% 향상되었습니다.

Gemini CLI자동 OAuth 디스커버리로 MCP를 구현합니다 — 401 응답 감지, OAuth 엔드포인트 발견, 동적 클라이언트 등록 수행, 흐름을 자동으로 처리. 이는 구성 부담을 줄입니다. 하지만 주목할 제한 사항: 공식 도구를 넘어 Gemini CLI에 접근하기 위해 서드파티 소프트웨어를 사용하는 것은 Google의 약관을 위반하며 계정 정지로 이어질 수 있습니다.

Big Hat Group에서는 Jira, Microsoft Graph, 내부 도구용 MCP 서버를 고객 환경에 배포하여, 에이전트가 터미널을 떠나지 않고도 티켓을 생성하고, 알림을 보내며, 문서를 쿼리할 수 있게 합니다.

엔터프라이즈 핵심: MCP는 AI agent consulting 도구 통합의 미래입니다. 지금 내부 도구를 위한 MCP 서버를 표준화하세요. Claude Code와 Codex가 가장 성숙한 구현을 갖습니다. Gemini의 OAuth 자동 디스커버리를 주시하세요 — 진정으로 영리하며 표준 패턴이 될 가능성이 큽니다.

엔터프라이즈 거버넌스: SOC 2, 감사 추적, 컴플라이언스

엔터프라이즈 배포는 개별 개발자 사용을 넘어선 감사 추적, 컴플라이언스 통제, 정책 강제를 요구합니다.

Claude Code는 Organization Owner를 위한 로그 내보내기, 사용자 역할별 도구 접근을 제한하는 역할 기반 접근 통제, 그리고 개별 선호도를 재정의하는 조직 전체 정책을 강제하는 관리 설정을 제공합니다. 계층적 권한 시스템은 접근 관리와 변경 통제를 둘러싼 SOC 2 통제 목표에 직접 매핑됩니다.

Codex CLI는 CI/CD 파이프라인 통합(GitHub Actions), 버전 관리되는 AGENTS.md 파일(정책 변경은 PR 리뷰를 거침), 그리고 AI 생성 구성을 명확한 책임 개발자 귀속과 함께 프로덕션 코드처럼 취급해야 한다는 명시적 가이드를 통해 거버넌스를 다룹니다.

Teleport의 연구는 AI 에이전트를 위한 SOC 2 컴플라이언스가 최소 1년 동안 불변 저장소를 갖춘 중앙 집중식 로깅, 시간 동기화된 로그, 위험 임계값에 대해 이벤트를 상관하는 자동 알림, 그리고 문서화된 조사 워크플로를 요구한다고 식별했습니다. 조직은 기존 SOC 2 통제 목표 위에 AI 특정 위험 관리 — 위험 평가, 수명 주기 거버넌스, 지속적 모니터링, 레드 팀 — 을 추가해야 합니다.

엔터프라이즈 핵심: 어떤 에이전트 코딩 도구도 즉시 SOC 2 컴플라이언스를 충족하지 않습니다. 중앙 집중식 로깅, 불변 감사 추적, 범위가 지정된 에이전트 ID, 관리 정책 강제가 필요합니다. Claude Code의 관리 설정 계층이 엔터프라이즈 준비 AI 거버넌스와 보안에 가장 가깝습니다. 이를 중심으로 컴플라이언스 프레임워크를 구축하세요.

어떤 도구를 언제: 실용적 권장 사항

“상황에 따라 다릅니다"는 건너뛰고 — 어디에 무엇을 배포할지:

시나리오권장 사항
대규모 코드베이스 마이그레이션/리팩터링Claude Code — 100만 토큰 컨텍스트, 백그라운드 에이전트, 구조화된 메모리
CI/CD 자동화 및 PR 워크플로Codex CLI — 네이티브 GitHub Actions, PR 생성, 자동화된 리뷰
빠른 탐색과 소규모 수정Gemini CLI — 하루 1,000회 무료 요청, 빠른 반복
규제 환경(SOC 2, HIPAA)Claude Code — 관리 설정, deny 규칙 강제, 감사 내보내기
배치 보안 감사Codex CLI — CSV 팬아웃, 컴포넌트당 하나의 에이전트
다단계 아키텍처 작업Claude Code — 하위 에이전트, 백그라운드 실행, 깊은 추론
비용 민감 팀의 AI 평가Gemini CLI 무료 티어 → 커밋할 준비가 되면 Claude Code Pro

가장 똑똑한 엔터프라이즈 팀은 멀티 도구 전략을 채택합니다: 빠른 스캔과 탐색에는 Gemini CLI(무료), 아키텍처 결정과 복잡한 실행에는 Claude Code, GitHub 통합 자동화에는 Codex CLI. 벤더를 계약에 맞추지 말고, 도구를 작업에 맞추세요.

실행 항목

  1. 현재 에이전트 배포를 감사하여 OS 수준 샌드박싱을 확인하세요. 에이전트가 커널 수준 격리 없이 프로덕션 자격 증명이 있는 머신에서 명령을 실행한다면 즉시 수정하세요.

  2. 모든 활성 저장소에 표준화된 컨텍스트 파일(CLAUDE.md, AGENTS.md, GEMINI.md)을 생성하세요. 보안 요구 사항, 코딩 표준, 리뷰 가이드라인을 인코딩하세요.

  3. 관리 설정 수준에서 파괴적 작업(파일 삭제, 강제 푸시, 구성 수정)에 대한 deny 규칙을 구현하세요. 개발자 자제력에 의존하지 마세요.

  4. 내부 도구를 위한 MCP 서버를 배포하세요 — 티켓팅, 모니터링, 문서. 이것이 에이전트를 코드 생성 너머 진정으로 유용하게 만드는 확장성 계층입니다.

  5. 스케일링 전에 에이전트 ID와 감사 로깅을 확립하세요. 각 에이전트는 범위가 지정된 권한과 SOC 2 귀속을 위한 자체 ID를 가져야 합니다.

  6. 비중요 코드베이스로 Claude Code 파일럿을 실행하세요. 프로덕션 팀에 롤아웃하기 전에 백그라운드 에이전트, 하위 에이전트 조율, 관리 설정 강제를 테스트하세요.

  7. 팀을 프롬프트 인젝션 위험으로 교육하세요 — 직접과 간접 모두. 공격 표면에는 Jira 댓글, 문서, PR 설명, 그리고 에이전트가 자율적으로 처리하는 모든 콘텐츠가 포함됩니다.

  8. 조직을 위한 스킬 라이브러리를 구축하세요. 스킬은 재사용 가능한 절차 번들 — 코딩 표준, 리뷰 체크리스트, 배포 워크플로, 보안 감사 템플릿 — 로 에이전트가 관련 시점에 호출합니다. Codex의 스킬 시스템은 부정 예제가 추가된 후 Glean에서 라우팅 정확도를 20% 향상시켰습니다. Claude Code는 특화된 프롬프트와 도구 접근을 갖춘 커스텀 하위 에이전트를 지원합니다. 조직의 지식을 스킬로 인코딩하여 모든 에이전트가 일반적인 기본값이 아닌 팀의 모범 사례로 작동하게 하세요.

  9. 코드 너머의 확장성을 위해 플러그인을 채택하세요. 플러그인은 팀이 중요하게 생각하는 도메인으로 에이전트 역량을 확장합니다 — 디자인-투-코드 워크플로(Figma), 오류 모니터링(Sentry), 데이터베이스 쿼리(PostgreSQL/Supabase), 커스텀 내부 도구. Claude Code의 플러그인 거버넌스 기능(훅 이벤트, 설정 통제, MCP 서버 구성을 위한 신뢰 다이얼로그)은 조직이 어떤 플러그인이 로드되고 무엇에 접근할 수 있는지 통제할 수 있게 합니다. 플러그인 구성을 프로덕션 의존성과 동일한 엄격함으로 취급하세요 — 리뷰, 버전 관리, 설치된 것을 감사하세요.

엔터프라이즈 AI 에이전트 컨설팅 받기

Big Hat Group은 엔터프라이즈 고객을 위해 Azure와 Intune으로 관리되는 Windows 365 Cloud PC 환경에서 에이전트 코딩 하네스를 배포합니다. 보안 아키텍처, 거버넌스 프레임워크, MCP 통합, 관리 정책 강제를 처리하여 팀이 구축에 집중할 수 있게 합니다.

엔터프라이즈 AI 에이전트 배포를 시작하려면 문의하세요 →

관련: OpenClaw vs GitHub Copilot — 엔터프라이즈 비교 · 사례 연구