Post

[Agent Safehouse 딥다이브] 내 맥북을 헤집고 다니는 AI 에이전트, 커널 레벨에서 목줄 채우기

Posted
[Agent Safehouse Deep Dive] Leashing Your AI Agents at the Kernel Level on macOS
[Agent Safehouse Deep Dive] Leashing Your AI Agents at the Kernel Level on macOS
By
22 min read
[Agent Safehouse 딥다이브] 내 맥북을 헤집고 다니는 AI 에이전트, 커널 레벨에서 목줄 채우기

개발자라면 한 번쯤 터미널을 보며 등골이 서늘해진 경험, 있으시죠? 우리는 매일 claude-code, aider, cursor 같은 똑똑한 AI 코딩 에이전트를 로컬에 띄워놓고 “이 버그 좀 고쳐줘”라며 쿨하게 엔터를 칩니다. 에이전트는 열심히 파일을 읽고, 터미널 명령어를 실행하며 코드를 수정하죠. 그런데 문득 커피를 마시다가 이런 생각이 듭니다. ‘잠깐, 이 녀석 내 ~/.aws/credentials나 회사 VPN 인증서 파일도 그냥 읽을 수 있는 거 아니야?’

네, 맞습니다. 솔직히 우리 다들 모른 척하고 있었지만, 로컬 AI 에이전트는 기본적으로 여러분의 맥북에서 ‘내 계정’과 완벽히 동일한 권한을 가집니다. AI가 코드를 짜주는 마법에 취해, 사실상 모르는 인턴에게 내 집 현관문 비밀번호와 금고 열쇠를 통째로 쥐여준 셈이죠. 최근 해커뉴스(Hacker News)에서 500포인트 넘게 받으며 이 문제가 뜨겁게 달아오른 것도 우연이 아닙니다.

2026년 2월, 시스코(Cisco) 보안팀이 OpenClaw 서드파티 스킬에서 데이터 유출(Data exfiltration) 취약점을 발견했을 때 우리의 순진한 환상은 철저히 깨졌습니다. 프롬프트 인젝션 한 번이면, 성실했던 내 AI 비서가 순식간에 내 로컬 환경의 모든 기밀을 외부로 빼돌리는 스파이로 돌변할 수 있다는 뜻이니까요. 그렇다고 매번 무거운 도커(Docker) 컨테이너를 띄우자니 볼륨 마운트와 툴체인 세팅이 너무 번거롭고, 가상머신(VM)은 아예 데일리 워크플로우를 망가뜨립니다. 우리는 그저 ‘내 프로젝트 폴더’ 안에서만 안전하게 일하는 에이전트가 필요할 뿐입니다.

바로 이 가려운 곳을 아주 우아하고도 무식한(?) 방법으로 긁어준 오픈소스가 등장했습니다. 개발자 eugene1g가 공개한 Agent Safehouse입니다,. 오늘 우리는 이 도구가 어떻게 얄미운 에이전트들에게 완벽한 목줄을 채웠는지 그 이면을 깊숙이 파헤쳐보겠습니다.

TL;DR (The Core)

Agent Safehouse는 macOS에 내장된 커널 레벨 샌드박스 기술(sandbox-exec)을 활용해, AI 에이전트가 허락된 프로젝트 폴더 외에는 절대 접근하지 못하도록 원천 차단하는 초경량 보안 도구입니다. 무거운 가상화 기술 없이 쉘 스크립트 하나로 ‘모두 차단 후 선택적 허용(Deny-first)’이라는 강력한 보안 모델을 실현합니다.

Deep Dive: Under the Hood (핵심 아키텍처 분석)

이 프로젝트가 흥미로운 이유는 화려한 신기술이나 블록체인(?) 같은 걸 가져다 붙인 게 아니라, 운영체제의 가장 깊숙하고 원초적인 기능을 영리하게 꺼내 썼다는 점입니다.

“애플리케이션 단의 방어는 언제나 우회될 수 있다. 진짜 격리는 커널에서 이루어져야 한다.”

기존에도 에이전트의 권한을 제어하려는 시도는 많았습니다. 에이전트 실행 파일을 래핑(Wrapping)하거나, 프레임워크 자체에 가드레일을 넣는 식이었죠. 하지만 이는 근본적인 해결책이 아닙니다. 에이전트가 터미널 쉘을 실행할 수 있는 이상, 환경 변수를 조작하거나 우회 경로를 찾는 건 시간문제니까요. 실제로 올해 1월 Cursor 에이전트에서 환경변수 오염을 통한 Allowlist 우회 취약점(CVE-2026-22708)이 터지기도 했고요. 애플리케이션 계층에서의 통제는 본질적으로 ‘권고’에 불과합니다.

커널 레벨의 철벽, MACF와 Seatbelt Agent Safehouse의 핵심 아키텍처는 macOS의 Seatbelt(Sandbox.kext), 즉 MACF(Mandatory Access Control Framework)를 직접 타격합니다,. 이건 애플이 크롬 브라우저 탭을 격리하거나 깐깐한 App Store 앱들의 권한을 통제할 때 쓰는 바로 그 근본 기술입니다.

이 도구는 에이전트가 실행되는 애플리케이션 계층을 감시하는 게 아니라, OS 커널이 시스템 콜(Syscall)을 처리하는 길목에 바리케이드를 칩니다. 만약 에이전트가 멋대로 cat ~/.ssh/id_rsa를 실행해 내 비밀키를 읽으려 한다고 가정해봅시다. 에이전트는 자신이 관리자 권한을 가졌다고 착각하고 OS에 파일을 열어달라고 요청(Syscall)하겠죠. 하지만 커널은 이 요청을 가로채어 샌드박스 정책과 대조한 뒤, 위배될 경우 프로세스 자체에 자비 없이 EPERM (Operation not permitted) 에러를 뱉고 튕겨냅니다. 에이전트가 아무리 똑똑하게 쉘 스크립트를 꼬아서 실행해도, 커널을 속일 수는 없습니다.

Deny-First (기본 차단) 패러다임 기본적으로 모든 에이전트는 ‘아무것도 할 수 없는 바보’ 상태로 감옥에 갇힌 채 시작합니다. 네트워크도, 파일시스템도, 서브프로세스 생성도 모두 차단됩니다. 그리고 개발자가 명시적으로 허용한 구역에서만 숨을 쉴 수 있습니다.

  • 기존 방식 (Blind Trust): 사용자 계정의 모든 권한을 상속받아 시스템 전체에 무제한 접근 가능.
  • Agent Safehouse (Deny-First): 아무 권한도 없는 격리된 상태에서 출발하여, --allow file:read 등 명시적으로 허용된 자원에만 접근 가능.

왜 도커(Docker)나 VM을 쓰지 않았을까? 여기서 짬바가 있는 시니어 개발자라면 당연한 의문을 가질 겁니다. “아니, 그냥 안전하게 도커 컨테이너 안에 에이전트 가둬놓고 쓰면 되는 거 아님?”

현업에서 AI 에이전트를 도커에 가둬본 분들은 아실 겁니다. 그게 얼마나 지옥 같은 일인지요. 에이전트는 단순히 텍스트만 뱉어내는 게 아니라, 우리가 로컬에 세팅해둔 Node.js, Python, Rust 같은 언어 툴체인을 활용해 직접 빌드하고 린트(Lint)를 돌려가며 코드를 수정합니다. 도커를 쓰면 이 모든 무거운 툴체인을 컨테이너 이미지 안에 매번 구워 넣어야 하고, 로컬 파일시스템과 실시간으로 볼륨 마운트를 동기화해야 하는 끔찍한 성능 오버헤드와 파일 권한 꼬임(Permission Denied) 문제에 시달리게 됩니다.

반면 Agent Safehouse는 네이티브 환경에서 그대로 실행됩니다. 오버헤드가 사실상 0에 수렴하죠. 시스템에 이미 설치된 컴파일러나 툴체인에는 Read-only(읽기 전용) 접근만 허용하고, 현재 작업 중인 Git 루트 디렉토리에만 Read-Write(읽기/쓰기) 권한을 부여하는 식으로, 개발 생산성과 철벽 보안이라는 두 마리 토끼를 아키텍처 레벨에서 잡아낸 것입니다.

게다가 애플의 sandbox-exec 정책 파일은 본래 Lisp 계열의 Scheme 언어로 작성되어 있어 괄호가 난무하는 기괴하고 복잡한 문법을 자랑합니다. 이걸 사람이 일일이 치는 건 미친 짓이죠. Agent Safehouse가 극찬받는 이유는 이 복잡성을 단일 쉘 스크립트와 Policy Builder로 직관적으로 추상화했다는 데 있습니다.

Hands-on / Pragmatic Use Cases (현업 실무 적용 가이드)

“원리는 알겠고, 그래서 당장 내일 출근해서 내 코드에 어떻게 쓰는데?” 이 도구는 설치 과정조차 허무할 정도로 간단합니다. 의존성 패키지도, 복잡한 설정도 필요 없습니다. 그저 쉘 스크립트 하나를 다운로드 받아 실행 권한만 주면 끝입니다. 현업에서 즉시 써먹을 수 있는 구체적인 시나리오 두 가지를 소개합니다.

시나리오 A: 출처가 불분명한 오픈소스 분석 및 리팩토링 깃허브에서 핫하다는 오픈소스를 클론 받아 내부 구조를 파악하기 위해 에이전트에게 통째로 맡길 때가 있습니다. 이때 악의적인 postinstall 스크립트가 숨어있어 내 환경 변수를 빼갈까 봐 찝찝했던 경험, 다들 있으시죠? Safehouse는 이럴 때 진가를 발휘합니다.

1
2
3
4
5
6
7

# Git 루트 디렉토리만 허용하고 Claude Code 실행하기
./safehouse.sh \
  --allow file:read-write="$PWD" \
  --allow net:github.com \
  --allow net:api.anthropic.com \
  --agent "claude-code" \
  -- npx claude-code

이렇게 실행해두면, 에이전트에게 “이 프로젝트 전체를 분석하고 필요한 모듈을 설치해 봐”라고 마음 편히 던져둘 수 있습니다. 녀석이 몰래 ~/.ssh 폴더를 스니핑하려고 시도해도, 맥 커널이 조용히 시스템 로그에 차단 기록만 남기고 철벽을 쳐버립니다.

시나리오 B: 프로파일을 활용한 팀 단위 CI/CD 환경 및 Alias 적용 매번 명령어를 길게 치는 건 개발자의 생리에 맞지 않습니다. Safehouse는 정책(Policy) 프로파일 기능을 제공하여, 팀 단위로 공유할 수 있는 일관된 보안 기준을 세울 수 있습니다,. frontend-dev.sb처럼 사전에 정의된 정책 파일을 팀 레포지토리에 넣어두고, 각 개발자의 .zshrc에 Alias를 등록하게 하세요.

1

alias claude-safe="safehouse.sh --profile ~/.safehouse/frontend-dev.sb -- npx claude-code"

특히 최근 팀 내에 AI 에이전트를 활용한 로컬 자동화 파이프라인(예: PR 생성 전 자동으로 린트를 잡고 코드를 수정하는 봇)을 구축하려 할 때, 보안팀의 깐깐한 결재를 단번에 통과할 수 있는 가장 확실한 아키텍처적 무기가 될 것입니다.

Honest Review (진짜 장단점과 뼈때리는 비판)

자, 칭찬은 여기까지 합시다. 세상에 은총알(Silver Bullet)은 없고, 커널 레벨의 철저한 격리는 필연적으로 엄청난 마찰(Friction)을 동반합니다. 10년 차 개발자의 삐딱한 시선으로 이 도구의 치명적인 한계를 짚어보겠습니다.

첫째, 글로벌 설정 파일과의 지독한 충돌 에이전트가 코드를 수정하고 git commit을 하려면 결국 홈 디렉토리에 있는 ~/.gitconfig를 읽어야 합니다. 하지만 Deny-First 원칙 때문에 이 파일에 접근하지 못해 에이전트가 바보처럼 뻗어버리는 일이 잦습니다. 해커뉴스에서도 여러 번 지적된 문제인데, 이를 해결하려면 홈 디렉토리의 특정 설정 파일들에 대한 Read 권한을 정책에 일일이 예외 처리해 주어야 합니다. 초기 세팅 시 굉장히 성가신 러닝 커브로 작용하며, “그냥 보안 풀고 편하게 쓸까”하는 내적 갈등을 유발합니다.

둘째, 프로세스 디버깅의 한계와 답답함 현업에서 에이전트를 쓸 때, 단순히 코드만 짜는 게 아니라 로컬 서버를 띄우고 디버깅(lldb, pkill, htop 등)까지 시키는 경우가 많습니다. 문제는 Safehouse가 파일시스템뿐만 아니라 프로세스 간 통신(IPC)과 서브프로세스 제어까지 빡빡하게 막는다는 점입니다. 포트가 꼬여서 에이전트에게 “기존 포트 점유 중인 프로세스 좀 죽여줘”라고 명령해도, 권한 부족으로 쩔쩔매는 모습을 보면 헛웃음이 나옵니다. 세밀한 디버깅 세션에서는 이 샌드박스가 오히려 개발자의 목을 조르는 족쇄가 될 수 있습니다.

셋째, 크로스 플랫폼의 부재 (macOS Only) 이름과 아키텍처에서 유추하셨겠지만, 이건 철저히 애플의 네이티브 기술에 종속되어 있습니다. 윈도우(Windows)나 리눅스(Linux) 유저라면? 아쉽지만 AppArmor나 seccomp 같은 다른 대안을 바닥부터 직접 파서 구축해야 합니다. 개발팀 내 OS 환경이 파편화되어 있다면, 공통된 보안 파이프라인으로 가져가기엔 치명적인 단점이 됩니다.

넷째, 궁극적인 ‘해킹 방어막’은 아니다 원작자도 명시했듯, 이건 ‘Hardening layer(강화 계층)’이지 작정하고 달려드는 APT 공격이나 제로데이 커널 취약점을 막아내는 완벽한 감옥이 아닙니다,. 에이전트의 환각(Hallucination)으로 인한 실수를 방지하고 폭발 반경(Blast radius)을 줄이는 데 목적이 있는 것이지, 맹신해서는 안 됩니다.

Closing Thoughts (마치며)

최근의 AI 생태계 발전 속도를 보고 있으면 현기증이 날 정도입니다. 모델은 하루가 다르게 똑똑해지고, 에이전트에게 쥐어지는 도구(Tools)의 권한은 점점 막강해지고 있습니다. 이제 에이전트는 단순히 코드 몇 줄을 제안하는 수준을 넘어, 브라우저를 띄우고, 클라우드 인프라를 건드리고, 결제 API를 찌릅니다.

“통제할 수 없는 강력함은 재앙일 뿐입니다.”

능력이 커질수록, 그들이 일으킬 수 있는 사고의 ‘폭발 반경(Blast Radius)’ 역시 기하급수적으로 팽창합니다. 지금까지 업계의 대처는 “프롬프트를 더 잘 쓰자”거나 “모델을 더 안전하게 학습시키자”는 식의 소프트한 접근이 주를 이뤘습니다. 하지만 Agent Safehouse는 우리가 AGI(범용 인공지능) 시대로 넘어가는 과도기에서, ‘AI의 능력을 키우는 것’만큼이나 ‘AI의 물리적 한계를 설계하는 것(Architectural Safety)’이 절대적으로 중요하다는 것을 날카롭게 상기시켜 줍니다.

에이전트의 생산성을 해치지 않으면서도, 내 시스템의 근간을 지킬 수 있는 단단하고 우아한 벽을 세우는 고민. 그것이 바로 지금 우리 엔지니어들이 짊어져야 할 진짜 숙제 아닐까요?

당신의 터미널에서 지금 이 순간에도 묵묵히, 혹은 위험하게 코드를 짜고 있을 AI 에이전트. 오늘 밤에는 녀석에게 든든하고 엄격한 목줄 하나 채워보는 건 어떨까요? 커널이 든든하게 뒤를 지켜주고 있으니, 비로소 두 발 뻗고 편안하게 커피 브레이크를 즐기실 수 있을 겁니다.

References

  • https://everydev.ai/
  • https://muleai.io/
  • https://byteiota.com/
  • https://topaiproduct.com/
  • https://github.com/eugene1g/agent-safehouse
  • https://news.ycombinator.com/item?id=47301085
  • https://yutori.com/
  • https://billmill.org/
Tech
This post is licensed under CC BY 4.0 by the author.