Bot Token
개념텔레그램·Slack·Discord 등의 봇이 해당 플랫폼의 API를 호출할 때 자기 신분을 증명하기 위해 제시하는 비밀 인증키. 사실상 봇의 비밀번호이므로 절대 공개해서는 안 된다.
동의어: 봇 토큰, 텔레그램 봇 토큰, Slack Bot Token
정의
Bot Token은 메시징 플랫폼(텔레그램, Slack, Discord 등)의 봇이 자신을 인증할 때 사용하는 긴 문자열 비밀키다. 사람 사용자의 비밀번호에 해당하는 자리를 봇에게는 이 토큰이 맡는다. 토큰 하나로 봇 계정의 모든 권한(메시지 전송, 채팅 기록 조회 등)에 접근할 수 있기 때문에, 유출되면 즉시 누구나 그 봇 행세를 할 수 있게 된다.
발급 방법 — 텔레그램 예시
- 텔레그램에서 @BotFather 와 대화 시작
/newbot명령 입력- 봇 이름과 username 설정 (username은
_bot으로 끝나야 함) - BotFather가 토큰을 발급해서 보여줌 — 형식:
1234567890:AAAAA-example-token(실제 토큰은 40자 내외의 긴 문자열) - 토큰을 즉시 env-var로 안전한 곳에 저장
chat_id와 함께 쓰기
토큰은 “누가 보내는가”를 증명할 뿐, “어디로 보내는가”는 별도로 지정해야 한다. 이 값이 chat_id다. 자기 자신에게 메시지를 보내려면 자기 chat_id를 알아내야 하는데, 스킬.잇다의 /tools/telegram-get-updates 도구를 쓰면 쉽게 추출할 수 있다.
활용 예 — Claude Cowork 작업 완료 알림
Claude Cowork이 긴 작업을 끝냈을 때 PC를 들여다보지 않아도 텔레그램으로 결과를 받을 수 있다.
# CLAUDE.md 에 한 번만 등록
TELEGRAM_BOT_TOKEN 은 환경변수에서 읽고,
작업이 끝나면 TELEGRAM_CHAT_ID 로 결과 요약을 전송할 것.이후 대화 중에 “끝나면 알려줘” 한 줄만 추가하면 충분하다.
절대 지켜야 할 수칙
- [HARD] 공개 저장소·슬라이드·블로그에 노출 금지 — 노출 시 악용 가능
- [HARD] 환경변수에 저장 — 코드에 하드코딩하지 않는다 (env-var 참고)
- [HARD] 노출되면 즉시 재발급 — BotFather
/revoke명령으로 기존 토큰 폐기 후 새로 발급 - [HARD] 공유 채널에 입력 금지 — 화면 공유 중에는 반드시 별도 창에서 입력
Slack·Discord와의 차이
- Slack — OAuth 기반. Bot Token + App Token + Signing Secret 등 여러 값이 필요
- Discord — 애플리케이션에서 봇 생성 후 토큰 복사. 권한 스코프가 세분화됨
- 텔레그램 — 가장 단순. 토큰 한 줄이면 기본 기능 대부분 가능 → 개인 알림 자동화에 가장 부담 없이 시작할 수 있다