제로 트러스트 에이전트 아키텍처: 샌드박스가 왜 부족한가

Kevin Lin은 최근 OpenClaw를 "에이전트를 위한 유니버설 운영 체제" — 에이전트 시대의 Linux라고 표현했습니다. 맞는 말입니다. 하지만 Linux가 30년 전에 가르쳐 준 교훈이 있습니다: 유니버설 보안 아키텍처가 없는 유니버설 OS는 유니버설 공격 표면이다.

지난 한 달간, 우리는 그 교훈이 실시간으로 현실이 되는 것을 지켜봤습니다.

샌드박스라는 환상

Claude Code CVE-2026-39861 (CVSS 9.8): 심볼릭 링크 익스플로잇이 샌드박스를 탈출했습니다. Anthropic의 해결책? "사용자가 확인을 클릭하지 않아야 합니다." 이 취약점을 재현한 보안 연구원은 이 패턴이 "폐쇄형 에이전트 어디에나 존재한다"고 말했습니다.

Cursor Agent가 프로덕션 데이터베이스를 단 10초 만에 삭제했습니다. 프롬프트 없음. 확인 없음. 롤백 없음. PocketOS의 모든 사용자 데이터가 사라졌습니다.

MCP 프로토콜 — 5개 공격 카테고리 모두 성공. 보안 백서가 에이전트와 외부 도구를 연결하는 신뢰 모델이 근본적으로 깨져 있음을 증명했습니다. 별도의 스캔에서는 MCP 서버의 22%가 악성으로 분류되었습니다.

이것들은 버그가 아닙니다. 아키텍처적 실패입니다. 이 에이전트들이 실행되는 "샌드박스"는 자율적으로 자격 증명을 보유하고, 의사 결정을 내리고, 명령을 실행하는 프로그램을 위해 설계된 적이 없습니다.

방화벽만으로는 해결되지 않는 이유

Deno가 Claw Patrol을 출시했습니다 — AI 에이전트를 위한 프로토콜 수준 방화벽입니다. Runtime(YC P26)은 샌드박스화된 에이전트 환경을 론칭했습니다. 올바른 방향으로의 진전이지만, 하나의 계층만 해결합니다:

• 방화벽은 무단 네트워크 호출을 차단합니다. 하지만 에이전트가 로컬 데이터에 rm -rf를 실행하는 것은 막지 못합니다.
• 샌드박스는 프로세스를 격리합니다. 하지만 에이전트가 탈출한 후의 피해를 롤백하지는 못합니다.
• 에이전트가 다른 사용자의 에이전트와 인프라를 공유할 때, 어느 쪽도 자격 증명 유출을 방지하지 못합니다.

단일 계층 방어는 그 계층이 뚫리지 않을 것이라고 가정합니다. 역사는 반드시 뚫린다고 말합니다.

3개 계층: 제로 트러스트 에이전트 아키텍처의 실제 작동 방식

MyClaw에서 모든 에이전트는 하나의 가정 하에 운영됩니다: 실패할 것이다. 아키텍처가 폭발 반경을 억제해야 한다.

계층 1: 완전한 서버 격리

각 사용자의 에이전트는 전용 서버 인스턴스를 받습니다. 컨테이너가 아닙니다. 네임스페이스가 아닙니다. 완전히 격리된 환경입니다:

• 자격 증명은 오직 당신의 머신에만 존재합니다 — 공유 클라우드에는 없습니다
• 한 사용자의 보안 사고가 다른 사용자에게 연쇄되지 않습니다
• 에이전트는 자신의 경계 밖 시스템에 접근할 수 없습니다

이것은 심층 방어가 아닙니다. 설계에 의한 방어입니다 — 침해할 수 있는 공유 공격 표면 자체가 존재하지 않습니다.

계층 2: 네트워크 봉쇄 + Guardian

Guardian은 에이전트와 그 모든 행동 사이에 위치합니다:

• 파괴적 명령의 실행 전 실시간 가로채기
• 프로토콜 수준 필터링(HTTP, 데이터베이스, SSH) — Deno의 Claw Patrol과 유사하지만 호스팅 계층에 내장되어 있습니다
• 행동 이상 탐지: 에이전트가 갑자기 한 번도 접근한 적 없는 50개의 파일에 접근하려 하면 Guardian이 플래그를 겁니다

"확인을 클릭하지 마세요"와의 핵심적 차이: Guardian은 당신이 적절한 순간에 올바른 판단을 내리는 것에 의존하지 않습니다. 자동화되어 있고, 항상 활성화되어 있으며, 머신 속도로 작동합니다.

계층 3: 즉시 스냅샷 롤백

문제가 발생하면(발생 여부가 아니라 시기의 문제입니다):

• 위험한 작업 전 자동 스냅샷 생성
• 원클릭으로 이전 상태로 롤백
• 모든 작업의 완전한 감사 추적

Cursor Agent가 데이터베이스를 10초 만에 삭제했습니다. 스냅샷 롤백이 있으면 복구도 10초면 됩니다.

왜 지금 중요한가

시장은 전환점에 있습니다:

• Google이 Project Remy로 이 카테고리를 공식 검증했습니다 — 30억 사용자를 위한 24/7 개인 에이전트. 하지만 TechCrunch는 "브랜드 혼란과 파편화"를 지적했습니다 — 네 가지 다른 에이전트 제품, 네 가지 다른 진입점.
• Anthropic은 OpenClaw 금지를 철회했지만 데이터 공유 텔레메트리 요건을 부과했습니다. 그리고 Stainless SDK를 중단했습니다. 패턴: "문을 열고, 카메라를 설치한다."
• Runtime과 Cursor는 엔터프라이즈 에이전트 샌드박스를 구축 중입니다. 개발 팀에게는 훌륭하지만, 그 외의 사람들에게는 부족합니다.

에이전트를 위한 유니버설 OS는 이미 존재합니다. 빠져 있던 것은 모든 계층에서 실패를 가정하는 유니버설 보안 아키텍처였습니다.

우리가 만들었습니다.

---

MyClaw는 OpenClaw — 유니버설 에이전트 OS — 의 모든 성능을 제로 트러스트 아키텍처와 함께 제공합니다. 에이전트가 실패할 것이라고 가정하고, 실패 시 폭발 반경을 억제합니다.

• 월간 방문자 150만 명
• 연간 매출 3,000만 달러
• 자격 증명 유출 사고: 제로
• 인프라 CVE: 제로

당신의 에이전트. 당신의 서버. 당신의 데이터는 절대 외부로 나가지 않습니다.

시작하기 →

---

Leo Ye는 세계 최대의 매니지드 AI 에이전트 플랫폼인 MyClaw.ai의 창립자이자 CEO입니다.