2026 OpenClaw 프로덕션 하드닝: 노출면, 게이트웨이 토큰, 샌드박스, Mac 클라우드 격리 체크리스트
openclaw dashboard가 열린다고 프로덕션이 아닙니다. 기본 리스닝, 약한 인증, 로그 속 비밀, 과도한 아웃바운드는 2026년에 그대로 사고로 이어집니다. 첫 5단계 배포와 Docker/npm/소스 비교를 마친 팀을 위해 5가지 노출 유형 표, 토큰 최소 권한·6단계 로테, 워크로드별 샌드박스/아웃바운드, Mac 클라우드에서 역할 분리·스냅샷 롤백, 일반 오류 진단과의 교차 점검을 담았습니다.
1. 흔한 5가지 노출면
인터넷에 노출된 게이트웨이에 강한 인증이 없으면 원격 제어 표면이 됩니다. 18789를 전체 개방하면 스캔이 빠르게 도착합니다. 아래 표를 내부 체크리스트로 쓰고 오류 가이드와 함께 검토하세요.
| 유형 | 징후 | 심각도 | 1차 조치 |
|---|---|---|---|
| 리스닝 범위 | 18789 공인망 접근 | 높음 | 루프백/사설만, SG 기본 거부 |
| 인증 | 토큰 없음·약한 공유 비밀 | 높음 | 고엔트로피 토큰, 서비스별 키, 로테이션 |
| 디스커버리/디버그 | mDNS·디버그 API 잔존 | 중간 | 프로덕션 비활성화 |
| 아웃바운드 | 임의 URL·메타데이터 IP | 높음 | 도메인 허용 목록, 프록시 |
| 비밀 유출 | DEBUG에 토큰, .env 이미지 포함 | 높음 | 로그 마스킹, 런타임 주입 |
컨테이너는 호스트 마운트나 Docker 소켓 공유 시 샌드박스가 무력화될 수 있습니다. 업그레이드 후 기본값이 바뀌므로 설정을 Git으로 관리하세요.
기술 포인트: 방화벽에서 18789는 명시적 거부가 기본.openclaw doctor JSON을 불변 스토리지에 저장해 드리프트를 감지합니다.
2. 게이트웨이와 토큰
프로덕션은 127.0.0.1 바인딩 + SSH 터널 또는 mTLS 리버스 프록시를 권장합니다.
- 토큰 소비자 목록
- 신규 발급과 폐기 시간창(예: 72시간)
- 스테이징 또는 단일 Mac 노드 카나리아
- 401/403 증가 모니터링
- 기간 만료 후 구 토큰 제거
- 티켓 연동 감사
3. 샌드박스와 아웃바운드
기본 차단 후 업무별 허용입니다. 외부 지원 봇은 SaaS 도메인만, 내부 운영은 사내 API만 허용하는 식의 매트릭스를 사용합니다.
| 워크로드 | 샌드박스 | 아웃바운드 |
|---|---|---|
| 외부 지원 봇 | FS 읽기 전용, 셸 금지 | 허용 SaaS 도메인만 |
| 내부 운영 | 로그 읽기 마운트 | 사내 API만 |
| 개발 보조 | 작업별 임시 작업 디렉터리 | Git·패키지 미러만 |
4. Mac 클라우드 격리·백업
프로덕션 에이전트는 전용 Mac 클라우드에 두고 노트북과 분리합니다. 설정·스크립트·버전을 백업하고, 업그레이드는 신규 노드 검증 후 전환, 48시간 관찰. 빠른 검증은 5분 배포 글과 역할을 나눕니다. 다중 인스턴스는 포트·데이터 디렉터리·로그 접두어를 분리합니다.
미승인 IP에서 18789, 잘못된 토큰으로 API를 호출해 거부와 알림이 동작하는지 점검하세요.
5. 전용 Mac 노드를 권장하는 이유
Windows/WSL 장기 실행은 시그널·락 이슈가 잦고, Docker는 네임스페이스·볼륨으로 장애 분석이 길어집니다. 7×24 감사 가능 운영에는 SSH·스냅샷 가능한 Mac 클라우드가 현실적입니다. VPSMAC M4 Mac 클라우드를 임대하면 전력·회선은 플랫폼이, 정책·로테·모니터링은 팀이 담당합니다.
6. FAQ
업그레이드 후 설정 드리프트?
유효 설정과 doctor 출력을 버전 관리하고 업그레이드 후 diff로 리스너·도구 권한 변경을 감지합니다.
한 호스트에 두 인스턴스?
포트·데이터 디렉터리 분리, 게이트웨이 토큰은 감사를 위해 공유하지 마세요.
네이티브 Mac vs Docker?
네이티브가 운용·launchd 연동에 유리합니다. 비교는 Docker/npm/소스 문서를 참고하세요.