AI가 짠 파이썬 코드, 어떻게 안전하게 실행할까 — MicroPython + WASM 샌드박스

무슨 일이냐면

요즘 ChatGPT나 Claude 같은 LLM한테 "이 데이터 좀 계산해줘" 하면 파이썬 코드를 척척 짜주죠. 그런데 그 코드를 진짜로 실행해서 결과까지 보여주려면 한 가지 큰 고민이 생겨요. "이 코드, 믿고 돌려도 되나?" 하는 문제예요. AI가 짠 코드든 사용자가 입력한 코드든, 내 서버에서 그냥 실행했다가 파일을 지워버리거나, 외부로 데이터를 빼돌리거나, 서버 자원을 다 잡아먹으면 큰일이잖아요.

Simon Willison(파이썬 웹 프레임워크 Django의 공동 창시자이자 유명 개발자예요)이 이 문제에 대한 깔끔한 해법을 정리해서 소개했어요. 바로 MicroPython을 WebAssembly로 컴파일해서, 신뢰할 수 없는 파이썬 코드를 안전한 모래상자(샌드박스) 안에서 돌리는 방법이에요.

어떻게 동작하는 걸까

하나씩 풀어볼게요. 먼저 "MicroPython이 뭐냐면", 원래는 메모리가 아주 적은 초소형 마이크로컨트롤러(아두이노 같은 작은 기기)에서 돌리려고 만든 초경량 파이썬이에요. 우리가 쓰는 일반 파이썬(CPython)에 비하면 아주 가볍고 작죠.

그리고 "샌드박스가 뭐냐면", 위험할 수 있는 코드를 바깥세상과 완전히 격리된 작은 방 안에 가둬서 실행하는 걸 말해요. 그 방 안에서는 무슨 짓을 하든 바깥(내 진짜 파일 시스템, 네트워크, 다른 프로세스)에는 손을 댈 수 없게 막는 거죠.

여기서 핵심은 WebAssembly(Wasm) 예요. 앞서 말한 MicroPython을 Wasm으로 컴파일하면, 이 파이썬 인터프리터 자체가 Wasm 가상 환경 안에서만 돌게 돼요. Wasm은 태생적으로 '바깥에 명시적으로 권한을 주지 않으면 아무것도 못 건드리는' 구조예요. 파일을 열 수도, 네트워크에 접속할 수도, 시스템 명령을 실행할 수도 없죠. 우리가 허락한 것만 통로(import)로 열어줄 수 있어요. 그래서 그 안에서 도는 파이썬 코드는 아무리 악의적이어도 샌드박스 벽을 넘지 못합니다.

게다가 Wasm 모듈은 메모리 사용량과 실행 시간(연산 횟수)에 상한을 걸 수 있어서, 무한 루프를 돌리거나 메모리를 폭발시키는 코드도 "여기까지" 하고 끊어버릴 수 있어요. 이걸 보통 'fuel(연료)' 제한이라고 부르는데, 정해진 연료를 다 쓰면 실행이 멈추는 방식이죠. 신뢰할 수 없는 코드를 돌릴 때 가장 무서운 게 자원 고갈 공격인데, 이걸 깔끔하게 막아주는 거예요.

업계 맥락에서 보면

비슷한 접근으로 가장 유명한 건 Pyodide예요. CPython 전체를 Wasm으로 컴파일한 프로젝트라 NumPy, Pandas 같은 무거운 라이브러리까지 브라우저에서 돌릴 수 있죠. 다만 그만큼 덩치가 커요. 처음 불러올 때 수십 메가바이트를 받아야 하고 시작도 느린 편이에요.

반면 MicroPython을 쓰는 이 방식은 가볍고 빠르게 뜨는 게 강점이에요. 용량이 수백 킬로바이트 수준이라 순식간에 시작하죠. 대신 표준 라이브러리가 제한적이고 일부 파이썬 문법·기능이 빠져 있어요. 그러니까 "무거운 데이터 분석까지 다 해야 한다"면 Pyodide, "가벼운 코드 조각을 빠르고 안전하게 많이 돌려야 한다"면 MicroPython, 이렇게 상황에 맞게 고르면 됩니다.

이런 흐름은 LLM 시대에 점점 더 중요해지고 있어요. AI가 코드를 생성하는 건 쉬워졌는데, 그걸 '안전하게 실행하는' 인프라가 새로운 과제로 떠올랐거든요. 그래서 요즘 도커 컨테이너로 격리하거나, gVisor·Firecracker 같은 경량 가상화를 쓰거나, 아예 이렇게 Wasm 샌드박스를 쓰는 등 여러 갈래의 시도가 동시에 일어나고 있습니다.

한국 개발자에게 주는 시사점

실무에서 바로 떠오르는 쓸모가 많아요. 예를 들어 사용자가 직접 수식이나 스크립트를 입력하는 기능을 만든다고 해보세요. 노코드 툴의 커스텀 로직, 데이터 분석 플랫폼의 사용자 정의 함수, 교육용 코딩 실습 사이트 같은 거요. 이럴 때 사용자 코드를 서버에서 그냥 eval 하는 건 보안상 절대 안 되는데, Wasm 샌드박스를 쓰면 무거운 컨테이너 없이도 안전하게 처리할 수 있어요.

특히 매력적인 건, Wasm은 브라우저에서도 서버에서도 똑같이 돈다는 점이에요. 클라이언트 쪽(사용자 브라우저)에서 코드를 실행하면 서버 자원을 아예 안 쓰니까 비용도 아끼고 확장성도 좋아지죠. AI 챗봇에 '코드 실행기'를 붙이고 싶은 분이라면 진지하게 검토해볼 만한 선택지예요.

마무리

정리하면, "믿을 수 없는 파이썬 코드를, 가볍고 빠른 MicroPython을 Wasm 샌드박스에 가둬서 안전하게 실행하는" 똑똑한 패턴이에요. 여러분은 사용자나 AI가 만든 코드를 실행해야 하는 상황을 만나본 적 있나요? 그때 보안 문제는 어떻게 해결하셨어요? 도커, Wasm, 아니면 또 다른 방법이 있을까요?