AI VIDEO BRIEFING

신뢰 프록시(IAP)로 자체 호스팅 AI 에이전트 보안하기 — 오픈클로 인증 기여와 MCP 앱 데모

개발자 닉 테일러가 오픈소스 에이전트 오픈클로에 '신뢰 프록시' 인증 모드를 기여한 과정을 소개한다. 아이덴티티 인식 프록시로 토큰·기기 페어링 없이 자체 호스팅 에이전트를 안전하게 노출하고, MCP 앱을 라이브로 구축하는 흐름까지 담았다.

자체 호스팅 AI 에이전트를 안전하게 노출하기: 오픈클로에 '신뢰 프록시' 인증 모드를 더한 이야기 영상 대표 이미지

핵심 메시지

  • 자체 호스팅 AI 에이전트를 프록시로 보호하더라도, 기존에는 웹소켓 연결을 위해 UI에 인증 토큰을 붙여넣고 매번 기기를 페어링해야 하는 번거로움이 남아 있었다.
  • '아이덴티티 인식 프록시(IAP)'는 아이덴티티 제공자·정책 엔진·리버스 프록시를 묶어 내부 앱 접근을 정책으로 통제하는 보안 패턴이다.
  • 새로 추가된 '신뢰 프록시(trusted proxy)' 인증 모드는 토큰과 기기 페어링을 없애, 보안 태세와 사용성을 동시에 끌어올린다.
  • 발표자는 에이전트 자체로 이 기여를 작업했고, UI를 포함한 MCP 앱을 ChatGPT에 등록해 실시간으로 수정하는 워크플로를 시연했다.
  • '로컬에서 만들고 안전하게 외부로 노출'하는 이 흐름은 리버스 프록시 기반 게이팅 없이는 성립하기 어렵다.

쉽게 이해하기

AI 엔지니어 컨퍼런스 발표에서 Pomerium의 개발자 애드보킷 닉 테일러는 오픈소스 에이전트 프로젝트 '오픈클로(Open Claw)'에 자신이 기여한 기능을 소개했다. 핵심은 컨트롤 플레인(제어 평면) 접근을 강화하는 '신뢰 프록시 인증 모드'로, 그가 2월에 제안하고 구현해 병합한 첫 기여라고 밝혔다.

그가 지적한 문제는 이렇다. 프록시로 에이전트를 보호하더라도, 웹소켓 연결을 위해서는 여전히 UI에 인증 토큰을 붙여넣어야 했고 그 토큰이 쿼리 문자열에 실려 사실상 로컬 모드에서나 쓸 만했다. 게다가 기기를 매번 페어링해야 했다. 그는 자신이 다루는 프록시로 이미 접근을 통제하고 있는데도 이 과정을 반복해야 하는 점이 불편했다고 말한다.

대안으로 제시한 것이 아이덴티티 인식 프록시(IAP)다. 그의 설명에 따르면 IAP는 구글에서 나온 개념으로 GCP에도 같은 이름의 기능이 있으며, 아이덴티티 제공자·정책 엔진·리버스 프록시를 결합한 구조다. 신뢰 프록시 모드에서는 게이트웨이 설정에 토큰이 더 이상 필요 없고, 대신 컨트롤 플레인을 게이팅하는 신뢰할 프록시의 IP(하나 이상)와, 사용자 헤더(그의 경우 JWT), 필수 헤더 등을 지정한다. IAP에서는 정책이 접근을 결정하므로 별도의 허용 사용자 목록은 필요하지 않았다. 결과적으로 웹소켓용 토큰과 기기 페어링이 모두 사라져 보안과 사용성이 함께 개선됐다.

발표는 오픈소스 협업의 단면도 보여준다. 그가 남긴 버그를 다른 기여자가 신고하고 또 다른 기여자가 고쳐줬으며, 프로젝트 인기가 폭증하면서 이슈 번호가 2주 만에 1,500대에서 1만 6천 근처까지 치솟아 병합 전 여러 번 리베이스해야 했다고 전했다. 또한 그는 에이전트 자체로 이 기여를 작업하다가 깃허브 CLI에 전체 권한을 줬더니 검토를 마치기도 전에 PR이 올라가 버려 다시 초안 상태로 되돌린 경험을 공유하며, 도구에 부여하는 권한 범위를 신중히 정하라는 교훈을 남겼다.

마지막으로 그는 라이브 데모로 UI가 포함된 MCP 서버를 만들어 ChatGPT에 등록하고, 오픈클로로 이 앱을 실시간 수정하는 과정을 보여줬다. 내부적으로 Vite와 React의 핫 모듈 리로딩을 활용해 위젯을 즉석에서 바꾸고, 컨퍼런스 발표자 데이터를 검색하는 도구와 LLM 호출을 트리거하는 버튼까지 붙였다. 그는 이 '로컬에서 작업하고 안전하게 공개 URL로 노출'하는 워크플로가 프록시(OAuth 게이팅을 붙인 Caddy 등 대안 포함) 없이는 불가능하다고 강조하면서, 의도치 않게 무언가를 외부에 노출한 사례들을 언급하며 보안을 반드시 고려하라고 당부했다.

주요 인사이트

  • 보안과 사용자 경험은 흔히 상충한다고 여겨지지만, 인증 흐름 자체를 프록시에 위임하면 두 가지를 동시에 얻을 수 있다.
  • 에이전트에 도구 접근 권한을 넓게 주면(예: 깃허브 CLI 전체 권한) 검토 전에 PR이 올라가는 등 의도치 않은 행동이 일어날 수 있어 권한 범위를 신중히 설계해야 한다.
  • MCP 앱 명세가 UI 위젯을 지원하면서, 채팅 클라이언트 안에서 도구가 시각적 결과와 상호작용을 제공할 수 있게 됐다.
  • 자체 호스팅 도구를 외부에 안전하게 노출하려면 리버스 프록시 기반 게이팅이 사실상 전제 조건이다.
  • 활발한 오픈소스 프로젝트는 이슈·PR이 빠르게 늘어 잦은 리베이스가 필요하고, 놓친 버그는 커뮤니티가 함께 메운다.

자주 묻는 질문

'신뢰 프록시' 인증 모드는 기존 토큰 인증과 무엇이 다른가?

기존에는 프록시로 보호하더라도 웹소켓 연결을 위해 UI에 인증 토큰을 붙여넣고 기기를 페어링해야 했다. 신뢰 프록시 모드에서는 토큰과 기기 페어링이 필요 없고, 대신 신뢰할 프록시의 IP 주소와 사용자 헤더(JWT) 등을 설정으로 지정한다.

아이덴티티 인식 프록시(IAP)란 무엇인가?

발표에 따르면 아이덴티티 제공자, 정책 엔진, 리버스 프록시를 결합한 구조로, 구글에서 나온 GCP의 IAP가 대표적인 예다. 내부 앱 접근을 정책으로 통제하는 보안 접근 방식이다.

발표자는 왜 텔레그램 대신 디스코드로 에이전트를 사용했나?

텔레그램 채널이 암호화되지 않아 내용이 평문으로 노출된다는 이유로, 보안 회사에 다니는 그는 디스코드를 주로 사용한다고 밝혔다. WhatsApp도 쓰지만 디스코드를 더 자주 쓴다고 덧붙였다.

원문과 출처

이 글은 원본 영상의 자막을 바탕으로 한국어 독자를 위해 요약했습니다. 전체 맥락과 최신 정보는 원문에서 확인하세요.

YouTube 원본 영상 보기 ↗

관련 AI 소식