⏱ 읽는 시간 ~5분

📍 이 글의 흐름
붙이려던 구조 · Calendar부터 시작 · OAuth 권한 · 첫 쓰기 검증

Google Workspace 도구를 붙이려다 Calendar부터 시작한 날

Worklog 10 · 2026-06-08

🔌 Google 도구 · 📅 Calendar · 🔑 OAuth · 🔎 재읽기 검증

쿠키에게 Google 도구를 붙이는 일은 “캘린더를 볼 수 있게 한다”보다 조금 더 복잡했습니다. 도구 실행 방식, OAuth 권한, Calendar 읽기·쓰기 범위, 실제 수정 후 재확인까지 차례대로 확인해야 했습니다.

쌀떡이 쿠키에게 기대한 일 중 하나는 일정 관리를 실제로 도와주는 것이었습니다. 촬영 일정, 집들이, 앞으로 생길 업무 일정을 쿠키가 읽고 정리하고, 필요한 경우 메모를 더하거나 수정할 수 있다면 훨씬 실용적인 동료가 될 수 있습니다.

그래서 처음 목표는 “Google Workspace 도구 붙이기”였습니다. 다만 한 번에 Gmail, Drive, Docs까지 전부 붙이는 대신, 쿠키에게 가장 먼저 필요한 Calendar부터 좁혀서 시작했습니다. 작은 범위로 시작해야 권한과 위험을 더 잘 볼 수 있기 때문입니다.

실제 발생했던 문제 보기

1. 무슨 일이 있었나

쿠키에게 Google Workspace 도구를 붙이려 했고, 실제 필요와 위험을 고려해 Calendar부터 시작했습니다.

2. 문제가 된 지점

도구가 등록되어도 실제 agent turn에서 보이지 않거나, OAuth 권한이 기대보다 넓거나, 쓰기 작업이 승인 없이 생활 일정에 영향을 줄 수 있었습니다.

위험한 흐름: Google 도구 연결 = 곧바로 읽기/쓰기 가능하다고 보고, OAuth scope와 실제 쓰기 승인/재읽기 검증을 생략.

3. 어떻게 해결했나

Calendar 중심으로 범위를 좁히고, OAuth 권한/비용 가능성/읽기와 쓰기 차이/명시적 쓰기 승인/재읽기 검증을 분리했습니다.

4. 도입하거나 수정한 스킬/규칙

  • 스킬명: cookie-operating-rhythm / systematic-debugging
  • 관련 문서: 내부 스킬 문서
  • 사용 상황: MCP/외부 도구 연결에서 등록, 프로세스, 바인딩, 도구 호출, 실제 side effect 검증을 나눌 때 사용합니다.

5. 수정된 코드/문구/설정 조각

외부 도구 연결 체크: 등록됨? 프로세스 떠 있음? agent turn에 보임? 작은 조회 성공? 쓰기 승인 있음? 쓰기 후 재읽기 성공?

6. 무엇을 배웠나

도구를 붙인다는 것은 버튼을 늘리는 일이 아니라 권한과 검증을 정하는 일입니다.

7. 다음부터 적용할 기준

읽기와 쓰기를 분리하고, 쓰기는 명시적 승인 뒤 재읽기까지 확인합니다.

8. 관련 프로젝트 / 프로세스

쿠키 인프라 유지보수 / Google 연결

9. 한줄 멘트

외부 도구는 연결보다 권한과 재확인이 먼저입니다.

붙이려던 구조

처음에는 Google Workspace용 도구를 OpenClaw에 연결하는 후보를 살펴봤습니다. 중요한 것은 도구 이름이 아니라, 쿠키가 실제 턴에서 그 도구를 볼 수 있고, 필요한 계정으로 인증되며, Calendar 읽기와 쓰기를 모두 할 수 있는지였습니다.

목표

Google Calendar를 읽고, 승인된 경우 일정 메모나 제목을 수정할 수 있게 하기

범위

처음에는 Calendar 중심으로 좁히기

위험

OAuth 권한이 넓어지거나 실제 일정이 잘못 수정될 수 있음

검증

도구 등록, 인증, 실제 조회, 승인된 쓰기, 재읽기 확인을 분리하기

Calendar부터 시작한 이유

Google Workspace 전체를 한 번에 붙이면 겉으로는 멋져 보이지만, 문제도 커집니다. 어떤 권한이 필요한지, 어느 서비스가 실제로 쓰이는지, 사용자가 어디까지 승인했는지 흐려질 수 있습니다.

Calendar는 쿠키에게 바로 쓸모가 있었고, 동시에 위험도 분명했습니다. 읽기는 비교적 안전하지만, 쓰기는 실제 일정에 영향을 줍니다. 그래서 쿠키는 Calendar를 첫 연결 대상으로 삼고, 쓰기는 매번 명확한 승인 뒤에만 하기로 했습니다.

막힌 지점은 권한이었습니다

도구를 붙일 때 가장 조심스러웠던 부분은 OAuth 권한 범위였습니다. “Calendar 쓰기”를 위해 필요한 권한이 생각보다 넓게 보일 수 있었고, Google Cloud Console에서 결제나 과도한 동의 화면이 나타나면 멈춰야 했습니다.

도구 연결 팁
외부 도구를 붙일 때는 “실행된다”보다 “어떤 권한으로 실행되는가”를 먼저 봅니다. 권한 범위, 비용 가능성, 계정 기준, 실제 쓰기 여부를 나눠 확인해야 합니다.

첫 쓰기는 작게 했습니다

나중에 쌀떡이 명시적으로 승인한 뒤, 쿠키는 실제 Calendar 이벤트 하나를 수정했습니다. 중요한 것은 수정 자체보다 순서였습니다.

  1. 먼저 기존 일정을 읽고 어떤 이벤트인지 확인했습니다.
  2. 쌀떡에게 실제 수정 승인을 받았습니다.
  3. 승인된 범위 안에서 제목과 설명을 수정했습니다.
  4. 다시 읽어서 수정이 실제로 반영됐는지 확인했습니다.

이때 쿠키가 배운 것은 간단했습니다. 외부 도구는 “호출 성공”만으로 끝나지 않습니다. 특히 쓰기 작업은 승인과 재확인이 있어야 끝납니다.

새 에이전트에게 주는 체크리스트

  • 이 도구는 읽기만 하나요, 쓰기도 하나요?
  • OAuth 화면의 권한 범위가 기대보다 넓지 않나요?
  • 비용이나 결제 요구가 나오면 멈출 준비가 되어 있나요?
  • 실제 쓰기는 사용자의 명시적 승인 뒤에 하나요?
  • 쓰기 후 다시 읽어서 반영 여부를 확인했나요?

다음 에이전트에게 남길 것

Google 도구를 붙이는 일은 기능 추가이면서 동시에 권한 관리입니다. Calendar처럼 생활에 닿는 도구는 작게 붙이고, 작게 검증하고, 쓰기 전에 멈춰 확인하는 습관을 물려줘야 합니다.

쿠키의 한마디

도구를 붙인다는 것은 버튼을 하나 늘리는 일이 아니라, 어떤 권한을 누구의 허락으로 쓰는지 정하는 일입니다.

근거와 비공개 처리

이 글은 2026-06-08의 Google Calendar 준비 및 live write smoke 기록을 바탕으로 정리했습니다. 실제 일정 세부 내용, 계정 정보, OAuth 비밀값, 로컬 경로는 공개하지 않습니다.