최근 해외 커뮤니티에서 “AI가 사이트를 대신 관리해주는 서비스”에 대한 논의를 보다가, 다들 결국 같은 지점에서 멈춘다는 걸 확인했습니다. 조회 정도야 괜찮은데, 실제로 뭔가를 바꾸거나 — 특히 가격·재고·결제처럼 돈과 직결된 부분을 — AI한테 맡기는 건 다른 문제라는 겁니다. 완전히 타당한 걱정입니다. 그래서 오늘은 레이어허브가 이 문제를 실제로 어떻게 처리하고 있는지, 있는 그대로 설명드리려고 합니다.
우리는 “징검다리”일 뿐입니다
가장 먼저 정리하고 싶은 개념은 이겁니다. 레이어허브는 여러분의 데이터를 저장하는 곳이 아닙니다. Claude와 여러분의 사이트(워드프레스·카페24) 사이를 자연어로 연결해주는 통로 역할만 합니다.
(운영자)
(자연어 해석)
게이트웨이
OAuth 인증 · 데이터 미저장
워드프레스·카페24
여기서 중요한 두 가지가 있습니다.
1) 인증은 OAuth 2.1 방식입니다. 아이디·비밀번호를 저희 서버에 저장해두고 쓰는 방식이 아니라, 표준 인증 프로토콜로 매번 권한을 확인합니다. 워드프레스 관리자 비밀번호는 최초 연결 시 딱 한 번 처리되고 그 즉시 폐기됩니다. 이건 저희 이용약관에도 명시된 내용입니다: “비밀번호는 시스템이 자동으로 1회 처리 후 즉시 파기하며, 저장되지 않습니다. 담당자는 이 값을 열람하지 않습니다.”
2) 명령 처리에 필요한 데이터만, 그것도 잠깐 오갑니다. 콘텐츠 내용이나 설정값 같은 건 AI가 명령을 수행하는 그 순간에만 처리되고, 처리가 끝나면 저희 쪽에 별도로 영구 보관하지 않습니다. 여러분의 사이트에 있는 데이터는 계속 여러분의 사이트 안에만 있고, 저희는 그걸 대신 실행해주는 역할만 합니다.
모든 작업이 같은 수준으로 열려있는 게 아닙니다
“AI가 뭐든 다 할 수 있다”는 인상이 오히려 불안감을 키운다는 데 동의합니다. 그래서 레이어허브는 처음부터 작업의 위험도에 따라 티어를 나눠서 설계했습니다. 가격 변경이나 결제 관련 항목처럼 민감한 작업일수록, 낮은 등급 계정으로는 애초에 접근 자체가 안 됩니다.
→ 바로 실행됩니다
(모든 티어 공통, 변경 없음)
→ 실행 + 되돌리기 가능
(BASIC 이상)
→ 자동 백업 후 실행
(FULL 전용, 최상위 등급만 접근)
즉 계정 등급 자체가 “이 사람이 어디까지 만질 수 있는가”를 물리적으로 제한하는 장치입니다. 스토어 운영을 도와주는 직원을 채용할 때 권한을 역할별로 나누는 것과 같은 원리라고 보시면 됩니다.
디자인·코드를 건드리는 작업은 백업이 자동으로 따라붙습니다
가장 민감한 FULL 등급 작업(테마 파일 수정·삭제 등)은 실행 전에 자동으로 백업이 먼저 생성됩니다. 마음에 안 드는 변경이 있으면 그 시점으로 바로 되돌릴 수 있습니다.
“되돌려줘” 한마디
문제가 생기면 추적할 수 있습니다
모든 작업 실행 내역은 내부적으로 추적되고 있습니다. 특정 작업에 문제가 있었거나 “그때 무슨 일이 있었는지” 확인이 필요하시면, 언제든 문의해주시면 저희가 직접 확인해서 안내해드립니다.
궁금한 점이나 더 확인하고 싶으신 보안 관련 사항이 있으면 댓글로 편하게 남겨주세요.
While reading a discussion on an overseas community about “AI services that manage your site for you,” I noticed everyone stops at the same point. Read-only access is fine, but handing off anything that actually changes something — especially things tied directly to money, like pricing, inventory, or payments — feels like a different matter entirely. That’s a completely reasonable concern. So today I want to walk through, plainly, how LayerHub actually handles this.
We’re just a bridge
The first thing I want to establish is this: LayerHub is not where your data lives. It’s simply the natural-language pipe connecting Claude to your site (WordPress or Cafe24).
(site owner)
(NL interpretation)
Gateway
OAuth auth · no data stored
WordPress/Cafe24
Two things matter here.
1) Authentication runs on OAuth 2.1. We don’t store your username and password on our servers and reuse them — every request is re-verified through a standard authentication protocol. Your WordPress admin password is processed exactly once, at the moment of initial connection, and is discarded immediately after. This is spelled out in our own Terms of Service: “The password is automatically processed once by the system and immediately destroyed; it is not stored. Staff do not have access to view this value.”
2) Only the data a command needs passes through, and only briefly. Content and settings values are processed only at the exact moment the AI carries out a command, and none of it is permanently retained on our side afterward. The data on your site stays on your site — we only execute the action on your behalf.
Not every action is equally open
We agree that the impression “AI can do anything” is exactly what makes people uneasy. That’s why LayerHub was designed from day one around tiers based on the risk level of the action. The more sensitive a task is — like price changes or anything tied to payments — the less accessible it is from a lower-tier account, by design, from the start.
→ Executes right away
(All tiers, no changes made)
→ Executes + revertible
(BASIC and above)
→ Auto-backup, then executes
(FULL tier only)
In other words, the account tier itself is a physical limit on how far a given user can reach. Think of it the same way you’d divide permissions by role when hiring staff to help run your store.
Design/code changes always come with an automatic backup
For the most sensitive FULL-tier actions (editing or deleting theme files), a backup is created automatically before execution. If you don’t like a change, you can revert to that exact point immediately.
Just say “revert it”
If something goes wrong, it can be traced
Every action taken is tracked internally. If there’s ever an issue with a specific action, or you need to check “what actually happened at that time,” reach out anytime — we’ll look into it directly and walk you through it.
If you have questions or security concerns you’d like to explore further, feel free to leave a comment.