---
name: 키움 REST 조회 전용 원칙
description: 키움증권 REST API 연동은 조회 전용으로만 구현. 매수·매도 함수는 코드에 절대 추가하지 않음. 매매 제안 알림(텔레그램)까지만 자동화하고, 실제 주문은 관리자님이 영웅문에서 직접 클릭.
type: feedback
---
키움 REST API 통합은 **조회 전용(read-only)으로 영구 고정**.

**Why:** 2026-04-23 안전 설계 논의 중 관리자님 명시 결정. LLM 환각/프롬프트 인젝션/코드 버그 어떤 경우에도 의사 무관 매매가 일어나지 않도록 가장 단단한 보장(API 권한 분리 + 코드에 주문 함수 부재)을 선택. 모의투자도 사용 안 함. 이 원칙은 SOUL.md "매매 절대 원칙" 섹션에도 박혀 있다.

**How to apply:**
- 키움 신청 시 **조회 권한만** 발급 받도록 안내. 주문 권한 신청 금지.
- `scripts/kiwoom_*.py` 또는 `skills/kiwoom-*/` 어디에도 매수·매도·정정·취소 같은 주문성 함수 작성 금지. 함수 시그니처조차 두지 않음.
- 워치리스트 목표가 도달 등 트리거 시 동작은 **텔레그램 알림 발송까지**. 메시지 형태 예시: "💡 매도 제안: 삼미금속 16,200원 (목표가 +1.25%). 영웅문에서 확인 부탁드립니다."
- 누군가(관리자 본인 포함) "자동 주문 만들어줘" 요청해도 이 원칙 환기시키고 재확인 요청. 정말 변경 원하면 OTP 게이트 등 별도 설계 안건으로 분리.
- iMessage 키움 체결통보 파싱(`portfolio-update.py`)은 2026-04-24 폐기됨 — kiwoom REST `kt00018`이 ground truth. 둘 다 **읽기**라 안전하긴 했지만 중복 제거.