개인 AI 서버는 개인 노트북보다 위험하다
맥미니 한 대라도 AI 에이전트가 파일, 메신저, 브라우저, API key, 고객 데이터에 접근한다면 이미 작은 서버입니다. 편의성을 위해 WebUI나 bot token을 대충 열어두면, 자동화가 아니라 공격 표면을 만든 셈이 됩니다.
1. WebUI를 public internet에 바로 열지 않는다
가장 안전한 기본값은 Tailscale 같은 private network입니다. 꼭 외부 접속이 필요하다면 인증, 접근 제한, 로그 확인이 먼저입니다. 포트포워딩으로 바로 여는 방식은 피하는 편이 좋습니다.
2. 봇 토큰은 스크린샷에도 나오면 안 된다
Discord/Telegram bot token은 비밀번호와 같습니다. 블로그 글, 강의 자료, 터미널 로그, 화면 공유에 노출되지 않도록 합니다. 한 번 노출됐다고 의심되면 바로 rotate해야 합니다.
3. 실제 chat id와 workspace 경로를 숨긴다
chat id, thread id, 고객명이 들어간 폴더명, 홈 디렉터리 전체 경로는 작은 정보처럼 보이지만 공격자에게는 단서입니다. 공개 글에서는 항상 예시 값으로 바꿉니다.
4. API key는 파일에 직접 쓰지 않는다
환경변수, 1Password CLI, secret manager를 씁니다. 특히 에이전트가 읽는 프로젝트 폴더 안에 key를 두면, 나중에 요약/로그/스크린샷에 섞일 수 있습니다.
5. 외부 side effect는 승인 단계를 둔다
이메일 발송, 결제 취소, 소셜 포스팅, 배포, 삭제는 에이전트가 혼자 실행하지 않도록 합니다. 자동화할 수 있어도 승인 단계를 두는 것이 운영 품질을 지킵니다.
6. 로그를 보관하되 공개하지 않는다
로그는 문제 해결에 필요합니다. 하지만 로그에는 프롬프트, 이메일 주소, API 응답, 내부 URL이 들어갈 수 있습니다. 보관 위치와 공유 방식을 분리해야 합니다.
7. seed 테스트와 모니터링을 작게 시작한다
새로운 자동화는 전체 사용자에게 바로 보내지 않습니다. seed label, 내부 메일함, 작은 세그먼트로 먼저 검증합니다. 성공 기준과 rollback 기준도 함께 정합니다.
공개 전 체크리스트
- 주소창에 실제 내부 URL이 보이지 않는가
- 터미널 출력에 token/key/chat id가 없는가
- 스크린샷에 고객명/프로젝트명이 없는가
- 본문 예시가 실제 경로가 아니라 일반화된 경로인가
- 봇 토큰과 API key를 rotate할 절차가 있는가
AI 에이전트 서버의 보안은 거창한 보안 제품에서 시작하지 않습니다. 공개하지 말아야 할 것을 공개하지 않고, 멈춰야 할 순간에 멈추는 운영 습관에서 시작합니다.