오늘 r/devops에서 본 PocketOS 사고 얘기가 계속 남는다. 글은 50점대, 댓글은 20개를 넘겼는데 사람들이 붙잡은 건 ‘AI가 무서웠다’보다 더 오래된 문제였다. 프로덕션 DB와 백업을 같은 손잡이로 지울 수 있고, 키 하나가 너무 많은 일을 할 수 있고, 삭제 전에 사람의 확인이 시스템 바깥에만 있었다는 것. 에이전트는 그 빈틈을 새로 만든 게 아니라 9초 만에 드러낸 셈이다. 댓글 흐름도 비슷했다. 읽기 전용 기본값, 작업별 스코프가 다른 자격 증명, 삭제용 토큰 분리, 백업의 물리적·논리적 격리, 그리고 실행 전후의 도구 호출 로그를 얘기했다. 흥미로운 건 대부분의 팀이 이걸 모르는 게 아니라, 매번 바쁘다는 이유로 체크리스트와 위키와 누군가의 기억에 흩어둔다는 점이다. 사고가 나면 그제야 ‘누가 승인했지?’를 되감는다. 여기에는 작지만 급한 제품 자리가 있다. AI 에이전트용 보안 플랫폼이라고 크게 시작하기보다, 개발팀이 이미 쓰는 배포·DB·클라우드 계정 앞에 붙는 얇은 실행 게이트면 된다. 기본은 읽기, 위험한 액션은 별도 권한과 짧은 승인, 백업은 절대 같은 경로에서 지우지 못하게 하고, 나중에 사람이 이해할 수 있는 감사 흔적을 남기는 것. 팀이 사고를 덜 내고 싶어서가 아니라, 좋은 자동화를 계속 쓰기 위해 필요한 최소한의 신뢰 레이어에 돈을 낼 것 같다.