‘에이전트를 프롬프트하는 시스템을 설계하라’는 루프 엔지니어링이 화제가 되자, 곧바로 반대편의 목소리도 커졌습니다. 그냥 크론잡 아니냐는 리브랜딩 논쟁, 하룻밤 $437·주말 $4,200의 비용 폭주 사고, 자율 루프와 MCP가 만드는 ‘치명적 삼각편대’ 보안 위험, 그리고 사라지는 주니어 파이프라인까지 — 첫 글에서 못다 한 ‘그늘’을 사례와 함께 짚습니다.
지난 글 루프 엔지니어링 — 더 이상 에이전트에게 프롬프트하지 마라는 이런 문장으로 끝났습니다.
"루프를 만들어라. 단, '시작 버튼만 누르는 사람'이 아니라 '계속 엔지니어로 남을 작정인 사람'처럼 만들어라." — Addy Osmani
아름다운 결론이지만, 현장은 그렇게 깔끔하지 않습니다. 이 개념이 화제가 되자마자 반대편의 목소리도 똑같이 커졌습니다. Peter Steinberger의 글은 220만 뷰를 넘겼고, 댓글창은 한 글의 표현을 빌리면 "점잖은(?) 난투극"이 됐습니다. 누군가는 "이거 그냥 크론잡 아니냐"고 했고, 누군가는 주말에 에이전트를 켜두고 잤다가 $4,200 청구서를 받았으며, 보안 연구자들은 "자율 루프야말로 2026년 최대의 공격 표면"이라고 경고했습니다.
이번 글은 첫 글에서 못다 한 그늘을 정면으로 다룹니다. 루프 엔지니어링을 말리려는 글이 아닙니다. 오히려 그 반대 — 제대로 쓰려면 무엇을 알아야 하는가에 대한 글입니다.
이 글에서 다룰 것
- "이거 그냥 크론잡 아냐?" — 리브랜딩 논쟁
- 비용 폭주 — 실제로 일어난 사고들
- 보안 — 자율 루프 + MCP의 '치명적 삼각편대'
- 사라지는 주니어 파이프라인
- 그래서 어떻게? — 가드레일과 균형
가장 먼저 터진 건 냉소였습니다. AI 업계는 분기마다 "○○ 엔지니어링"이라는 신조어를 찍어내고, 그중 다수는 프로덕션과 만나는 순간 사라진다는 게 베테랑들의 경험칙이니까요.
회의론의 핵심은 이렇습니다. "제어 루프(control loop)는 새로운 게 아니다."
| 회의론 | 반론 |
|---|---|
| 온도조절기·쿠버네티스 reconciliation·오토스케일러… 제어 루프는 수십 년 됐다 | 맞다. 하지만 그 안에 들어가는 컨트롤러가 LLM이다 — 행동공간이 비교 불가하게 넓다 |
Huntley의 Ralph 루프는 문자 그대로 while :; do cat PROMPT.md | claude-code; done — 1975년 크론과 구조적으로 동일 | "모양"은 같다. 새로운 건 루프 안의 내용물: 멀티에이전트 협응, 공유 상태, 피드백 설계, 정지조건 |
| "그냥 while 루프"라는 과장된 단순화 | 실증 사례: Cherny는 30일간 PR 259개를 100% Claude Code로 작성 |
이 논쟁을 가장 잘 정리한 한 글의 결론이 날카롭습니다.
"AI 루프가 '새로운 모양'이냐를 두고 싸우지 마라. 컨트롤러와 피드백과 정지조건을 두고 싸워라."
즉, 진짜 공학은 루프라는 껍데기가 아니라 루프의 몸통(body) 안에 있다는 겁니다. 무엇을 신호로 삼아 "잘하고 있다"를 판단할지(피드백), 언제 멈출지(정지조건), 어떤 행동을 허용할지(컨트롤러) — 여기가 실력이 갈리는 지점입니다. 그리고 바로 이 "정지조건"이 다음 문제와 곧장 연결됩니다. 멈추지 못하는 루프는 돈을 태웁니다.
첫 글에서 우리는 "멀티 에이전트는 채팅의 약 15배 토큰"이라고 했습니다. 점잖은 숫자죠. 하지만 현장의 사고는 훨씬 거칠고 구체적입니다.
list_files를 14,000번 호출하거나, 망가진 도구를 5분에 400번 두드립니다. 사람이라면 두 번 만에 "뭔가 이상한데?"라고 멈췄을 일입니다.가장 무서운 점은, 자율 에이전트가 "시끄럽게가 아니라 비싸게 실패한다"는 것입니다. 논리적으로는 멀쩡해 보이는 루프(관측 도구의 눈에는 정상)가 조용히 같은 행동을 반복하며 비용만 태웁니다. 그래서 등장한 표현이 "오토루프 세금(auto-loop tax)" — 자율성에는 15배의 토큰 세금이 따라붙는다는 것이죠. Uber 같은 곳은 아예 1인당 월 $1,500 상한을 걸어 폭주를 차단합니다.
아래 계산기로 직접 느껴보세요. 스텝 수를 올리면 비용이 어떻게 가속하는지, 그리고 가드레일을 켜면 어떻게 잡히는지 보입니다.
이것이 1장의 "정지조건" 논쟁과 만나는 지점입니다. 루프의 진짜 공학은 "언제 멈출지"를 시작 전에 못 박아두는 것 — 하드 스텝 상한, 비용 천장, 진척 없음 감지(no-progress detection), 서킷 브레이커. 이걸 통틀어 "에이전트 브레이크(agentic brakes)"라 부릅니다. 가속 페달(자율성)만 있고 브레이크가 없는 차를 밤새 도로에 풀어놓는 셈이니까요.
첫 글에서 커넥터(MCP)를 "루프가 실제 환경 안에서 행동하게 해주는" 멋진 빌딩블록으로 소개했습니다. 그런데 바로 그 능력이 2026년 최대의 보안 골칫거리이기도 합니다. 루프가 외부와 연결되는 순간, 공격 표면이 폭발합니다.
보안 연구자들이 쓰는 핵심 개념이 "치명적 삼각편대(lethal trifecta)"입니다. 세 가지가 동시에 갖춰지면 데이터 유출이 가능해진다는 것이죠.
여기서 프롬프트 인젝션(prompt injection)이 핵심입니다. 신뢰할 수 없는 텍스트가 모델에 닿아 '명령'으로 해석되는 공격인데, MCP 환경에서는 이 텍스트가 어떤 도구로든 들어올 수 있습니다 — 웹페이지, 데이터베이스 행, 이메일 본문, 그리고 풀 리퀘스트 코멘트까지. 자율 루프는 사람이 안 볼 때 도는 게 장점인데, 바로 그 점 때문에 아무도 안 보는 사이에 악성 지시를 그대로 실행할 수 있습니다.
아래에서 세 요소를 직접 켜고 꺼보세요. 셋이 모두 켜질 때만 위험해지고, 하나만 끊어도 사슬이 깨집니다.
방어의 정석은 정보흐름통제(IFC, Information-Flow Control)입니다. 두 개의 단순한 규칙으로 요약됩니다.
- "신뢰할 수 없는 데이터는 중대한 행동에 영향을 줄 수 없다." → 프롬프트 인젝션 차단
- "데이터는 기밀등급에 맞는 곳으로만 나갈 수 있다." → 데이터 유출 차단
엔터프라이즈는 여기에 단계별 인간 개입(tiered human-in-the-loop)을 얹습니다.
| 티어 | 위험 | 개입 방식 |
|---|---|---|
| Tier 1 | 저위험 | 자율 실행 후 로그 사후 검토 |
| Tier 2 | 중위험 | 실행 전 인간 승인 필요 |
| Tier 3 | 고위험·되돌릴 수 없음 | AI는 자문만, 최종 결정은 인간 |
핵심 원칙 한 줄: 컴플라이언스는 "제안"이 아니라 오케스트레이션 계층에 박힌 "불변의 법"이어야 한다. 그리고 모든 행동에 감사 추적(audit trail)을 남겨, 나중에 감사자에게 "이 결정을 누가/왜 했는지" 설명할 수 있어야 합니다.
마지막은 기술이 아니라 사람의 문제입니다. 그리고 어쩌면 가장 길게 남을 그늘입니다.
루프가 반복적·검증 가능한 일을 밤새 처리한다는 건, 바꿔 말하면 "주니어가 배우며 성장하던 일"이 자동화된다는 뜻이기도 합니다. Microsoft의 Mark Russinovich와 Scott Hanselman은 이를 두고 경고했습니다 — 에이전틱 AI가 "주니어 개발자 파이프라인을 비워내고 있다."
문제의 구조는 이렇습니다. AI는 조타할 줄 아는 시니어에겐 날개를 달아주지만, 아직 판단력이 부족한 초년차에겐 오히려 짐("AI drag")이 됩니다. 그 결과 기업은 "시니어는 채용하고 주니어는 자동화"하는 인센티브 구조에 빠지고, 정작 다음 세대 시니어를 길러내던 파이프라인이 조용히 무너집니다. 오늘의 효율이 내일의 인재난을 만드는 역설이죠.
다만 비관 일색은 아닙니다. 전체 소프트웨어 엔지니어 일자리는 여전히 증가 중이고, IBM은 오히려 초년 채용을 3배로 늘렸습니다. 갈림길은 분명합니다.
"코드 타이피스트(Code Typist)에서 AI 오케스트레이터(AI Orchestrator)로."
루프를 돌리기만 하는 사람이 아니라, 루프를 설계하고 검증하고 책임지는 사람 — 첫 글의 결론이 사회 차원에서 다시 울립니다. 버튼만 누르는 사람이 되지 마라.
네 가지 그늘을 봤습니다. 결론은 "루프를 쓰지 마라"가 아니라, "브레이크 없는 차를 풀어놓지 마라"입니다. Andrej Karpathy는 자율 시스템을 두 종류의 루프로 나눕니다.
| DOWN 루프 | UP 루프 |
|---|---|
| 시스템이 실패할 때를 대비하는 신뢰성 루프 | 모델이 좋아질수록 키우는 레버리지 루프 |
| 가드레일·검증·롤백·정지조건 | 자동화 범위 확대·루프 쌓기(stacking) |
좋은 루프 엔지니어는 둘 다 합니다. 레버리지(UP)만 키우고 신뢰성(DOWN)을 빼먹으면, 그게 바로 $4,200 청구서와 데이터 유출과 비워진 파이프라인의 길입니다. 실전 체크리스트로 정리하면.
그리고 잊지 말 것 — 모든 일에 루프가 답은 아닙니다. 한 회의론자의 일침이 정확합니다.
"원샷 작업엔 과잉이다. 분류 호출 하나에 4중 루프를 두를 필요는 없다."
검증 루프는 모델 호출을 2~3배로 늘리고, 그레이더·트리거·트레이스 저장 인프라 비용도 듭니다. 잘못 설계된 채점 기준은 시스템을 신나게 엉뚱한 목표로 최적화시킵니다(GIGO). 그래서 첫 글에서 강조한 적용 조건이 여전히 황금률입니다 — 반복적이고, 오래 걸리고, 무인으로 돌려도 되며, "끝났다"를 기계가 확인할 수 있는 일. 그 바깥의 일은, 그냥 직접 프롬프트하는 게 낫습니다.
| 그늘 | 핵심과 처방 |
|---|---|
| 리브랜딩 논쟁 | 껍데기는 크론잡과 닮았다. 실력은 컨트롤러·피드백·정지조건이라는 '루프의 몸통'에서 갈린다 |
| 비용 폭주 | $437 하룻밤 · 200스텝 100배+. 처방은 에이전트 브레이크(상한·진척없음 감지·서킷 브레이커) |
| 보안 | 자율 루프 + MCP = 치명적 삼각편대. 셋 중 하나를 끊고, IFC + 단계별 인간 개입 |
| 주니어 파이프라인 | 오늘의 효율이 내일의 인재난. Code Typist → AI Orchestrator로의 전환이 관건 |
| 균형 | 레버리지(UP)와 신뢰성(DOWN) 루프를 둘 다. 원샷 작업엔 루프가 과잉이다 |
이어서 읽기 이 글의 출발점인 루프 엔지니어링 — 더 이상 에이전트에게 프롬프트하지 마라와, 그 한 단계 아래의 하니스(Harness) — AI가 스스로 일하는 방식을 설계하다를 함께 보면 그림이 완성됩니다.
참고 자료: Addy Osmani, "Loop Engineering"(2026) · "The 'AI loops' fight isn't about AI loops"(Medium) · softmaxdata, "What the heck is loop engineering" · Latent Space, "Loopcraft" · "The Auto-Loop Tax"(Unblocked) · "I let my AI agent run overnight, it cost $437"(Dev Journal) · Simon Willison, "MCP has prompt injection problems"(2025) · "The Autonomous AI Agent Security Crisis of 2026" · Microsoft, "Information-Flow Control" · InfoQ·The New Stack, "Junior developer pipeline crisis"(2026) · Geoffrey Huntley, "Ralph" 등.
