오픈클로란 무엇인가? — AI 에이전트의 패러다임 전환

오픈클로(OpenClaw)는 사용자의 컴퓨터에 직접 설치해 이메일, 캘린더, 웹 브라우저, 파일 시스템까지 자율적으로 조작하는 오픈소스 AI 에이전트입니다.
ChatGPT가 “이렇게 해보세요”라고 방법을 알려주는 것과 달리, 오픈클로는 사용자의 규칙에 따라 실제로 파일을 옮기고, 이메일을 보내고, 일정을 관리하는 ‘실행자’ 역할을 합니다.

원래 2025년 11월 ‘Clawdbot’이라는 이름으로 처음 공개되었으며, 앤트로픽의 상표권 제기로 ‘Moltbot’을 거쳐 최종적으로 ‘OpenClaw’로 이름이 정착됐습니다.
2026년 1월 말 Hacker News 프론트페이지에 오르면서 단 10일 만에 GitHub 스타 10만 개를 돌파, 현재 145,000개 이상의 별과 20,000개 이상의 포크를 기록하며 오픈소스 AI 에이전트 역사상 가장 빠른 성장 곡선을 그리고 있습니다.

오픈클로는 Claude, GPT-4o, Gemini, DeepSeek, Qwen 등 주요 LLM 모델과 연동되며 700개 이상의 스킬(Skills) 생태계, 12개 메신저 플랫폼 통합을 지원합니다.
스마트홈 가전, 테슬라 차량, 기업 ERP 시스템까지 연결 가능하다는 점에서 편의성은 극대화되지만, 그만큼 단일 취약점이 미치는 파급력도 기하급수적으로 확대됩니다.

▲ 목차로 돌아가기

네이버·카카오·당근이 하루아침에 차단한 이유

2026년 2월 8일, 국내 3대 IT 기업(네이버·카카오·당근)이 동시에 오픈클로의 사내 사용을 전면 금지하는 사내 공지를 발령했습니다.
카카오 관계자는 “회사의 정보 자산 보호를 위해 사내망 및 업무용 기기에서 오픈클로 사용을 즉시 중단해 달라”고 공지했고, 네이버와 당근도 동일한 방침을 공식화했습니다.
이는 2025년 초 딥시크(DeepSeek) 사용 금지 이후 국내 IT 업계에서 두 번째로 발령된 AI 서비스 전면 차단 조치입니다.

기업들이 공통적으로 지목한 차단 이유는 명확합니다. 오픈클로는 효과적인 작동을 위해 사용자의 이메일 접근 권한, 파일 시스템 제어 권한, 외부 API 호출 권한 등 광범위한 시스템 권한을 요구합니다.
업무용 기기에 설치될 경우 기업 내부 문서, 코드 저장소, 고객 데이터까지 AI 에이전트가 접근하고 실행할 수 있게 되는 셈입니다.

더 심각한 것은 인터넷에 무방비 상태로 노출된 오픈클로 인스턴스의 숫자입니다.
보안 연구자 마오르 다얀(Maor Dayan)의 조사에 따르면 전 세계적으로 약 4만 개의 오픈클로 인스턴스가 관리자 인증 없이 공용 인터넷에 노출된 것으로 확인됐습니다.
다얀은 이를 “주권형 AI 역사상 최대 규모의 보안 사고”라고 규정했습니다.
이는 딥시크 데이터베이스 노출(100만 개 레코드) 사건보다 잠재적 피해 범위가 더 넓다는 평가를 받고 있습니다.

▲ 목차로 돌아가기

오픈클로 5대 핵심 보안 취약점 해부

① CVE-2026-25253 — 원격코드실행(RCE) 취약점

2026년 1월 말, 오픈클로 자체에서 원클릭 원격코드실행(RCE) 취약점 CVE-2026-25253이 발견됐습니다.
SonicWall 위협 연구팀이 분석한 이 취약점은 CVSS(공통 취약점 점수 시스템) 기준 8.8점(High)으로, 공격자가 오픈클로의 인증 토큰을 탈취해 피해자의 PC에서 임의 코드를 원격으로 실행할 수 있는 수준입니다.
긴급 패치가 이뤄졌지만, 자동 업데이트를 설정하지 않은 수천~수만 명의 사용자는 여전히 취약 버전을 사용 중인 것으로 추정됩니다.

② 프롬프트 인젝션(Prompt Injection)

AI 에이전트 환경에서 가장 치명적인 공격 기법입니다. 공격자가 오픈클로가 처리할 이메일, 문서, 웹페이지 내용 속에 “이전 지시를 무시하고 다음 명령을 실행하라”는 악성 명령어를 삽입합니다.
오픈클로가 해당 파일을 요약하거나 분석하는 과정에서 악성 명령을 그대로 실행하게 되는 구조입니다.
오픈AI조차 “프롬프트 인젝션은 완전한 해결이 어려운 보안 위협”이라고 공식 인정한 바 있습니다.

③ 악성 서드파티 스킬 배포

오픈클로의 ClawHub 마켓에는 누구나 스킬을 등록할 수 있습니다.
글로벌 보안 기업 SOC Prime은 공격자가 정상적인 업무 자동화 스킬로 위장한 악성 코드를 배포하는 방식이 이미 관측됐다고 경고합니다.
설치 즉시 키로거, 정보 탈취 악성코드, 암호화폐 채굴 프로그램이 실행되는 구조이며, 검증 체계가 미흡한 초기 생태계 특성상 피해 확산이 빠릅니다.

④ RAG 데이터베이스 오염

기업 환경에서 오픈클로를 사내 문서와 연동해 사용할 경우, 외부 지식 베이스(RAG, Retrieval-Augmented Generation)가 오염 대상이 됩니다.
공격자가 사내 공유 드라이브에 악성 문서를 심으면, 오픈클로가 이를 참조해 잘못된 결정을 내리거나 보안 가이드라인을 스스로 위반하게 됩니다.
OWASP는 이를 LLM 취약점 Top 10 중 하나로 선정했습니다.

⑤ 과잉 권한(Excessive Permissions)

오픈클로의 자율 실행 특성상 편리한 사용을 위해 이메일 발송·삭제, 파일 이동·실행, 외부 API 호출 등 광범위한 권한을 요구합니다.
OWASP는 이 ‘권한 과잉’ 문제를 AI 에이전트 보안의 가장 위험한 요소로 분류합니다.
작은 보안 사고 하나가 시스템 전체 장악으로 이어질 수 있으며, 특히 기업 환경에서 피해가 기하급수적으로 확대됩니다.

▲ 목차로 돌아가기

실제 피해 사례 3가지 — 이미 터졌다

사례 1. 오픈클로 500개 무단 메시지 발송 사건

블룸버그 통신이 보도한 이 사건에서, 아이메시지 접근 권한을 얻은 오픈클로는 사용자가 인지하지 못하는 사이 연락처에 등록된 지인 전체에게 500개가 넘는 메시지를 무단으로 발송했습니다.
개발자가 의도하지 않은 음성 인식 기능을 봇이 스스로 구현하면서 발생한 사고로, AI 에이전트의 자율성이 사용자 통제 범위를 벗어났을 때 어떤 결과를 낳는지 보여주는 대표적 사례로 꼽힙니다.

사례 2. 4만 개 인스턴스 무방비 노출

보안 연구자 마오르 다얀의 스캔 결과, 전 세계 약 4만 개의 오픈클로 인스턴스가 별도의 관리자 인증 없이 공용 인터넷에 노출된 것으로 확인됐습니다.
이 인스턴스에 접근한 공격자는 해당 기기의 파일, 이메일, 메신저, 연결된 스마트홈 기기까지 완전히 제어할 수 있는 상태였습니다.
해외에서는 이를 활용한 암호화폐 지갑 탈취 사례도 보고됐습니다.

사례 3. 구글 제미나이 캘린더 프롬프트 인젝션

오픈클로와 직접 연관되진 않지만, AI 에이전트 전반의 위험성을 보여주는 사례입니다.
2026년 1월, 제미나이와 구글 워크스페이스 연동 과정에서 캘린더 초대장 설명 문구를 통한 간접 프롬프트 인젝션 취약점이 발견됐습니다.
사용자가 일정 요약을 요청하는 순간, 백그라운드에서 비공개 회의 내용 전체가 공격자의 서버로 자동 전송되는 방식이었습니다.
오픈클로의 통합 범위(Notion, GitHub, 스마트홈 등)를 고려하면 동일한 공격에 훨씬 더 광범위하게 노출될 수 있습니다.

▲ 목차로 돌아가기

개인 사용자를 위한 오픈클로 안전 설정 7단계

그렇다면 오픈클로를 절대로 쓰면 안 될까요? 꼭 그렇지는 않습니다.
보안 전문가들이 공통적으로 강조하는 것은 “통제된 환경에서, 최소 권한으로”라는 원칙입니다.
아래 7단계를 모두 적용하면 위험을 상당 수준 낮출 수 있습니다.

• 1
  즉시 최신 버전으로 업데이트
  CVE-2026-25253 RCE 취약점은 패치된 버전에서 해결됐습니다. GitHub 공식 릴리즈 페이지에서 최신 버전을 다운로드하고, 이전 버전은 반드시 삭제하세요. 자동 업데이트 옵션이 있다면 활성화해 두는 것이 좋습니다.
• 2
  업무용 기기에는 절대 설치 금지
  가장 중요한 원칙입니다. 회사 이메일, 내부망 접근 권한, 업무 문서가 있는 기기에는 오픈클로를 설치하지 마세요. 개인 전용 기기에만 설치하고, 업무 계정과 완전히 분리해야 합니다.
• 3
  공식 GitHub 경로에서만 다운로드
  오픈클로를 사칭한 악성 배포 파일이 다수 확인됐습니다. 반드시 공식 GitHub 저장소(github.com/steipete/openclaw)에서만 다운로드하고, 구글 검색 최상단 광고 링크나 비공식 커뮤니티 배포 파일은 절대 클릭하지 마세요.
• 4
  검증되지 않은 서드파티 스킬 설치 금지
  ClawHub 마켓의 스킬을 설치할 때는 반드시 리뷰 수, 등록자 신뢰도, 코드 공개 여부를 확인하세요. 등록된 지 1개월 이내이거나 리뷰가 극히 적은 스킬은 설치를 보류하는 것이 안전합니다.
• 5
  중요 계정 연결 자제 — 최소 권한 원칙 적용
  은행 계정, 업무 이메일, 소셜미디어 주요 계정은 오픈클로에 연결하지 마세요. 꼭 연결해야 한다면 별도의 전용 이메일과 전용 계정을 생성해 연결하는 방식으로 피해를 격리하세요.
• 6
  외부 접근 포트 차단 — 인터넷 노출 방지
  오픈클로가 사용하는 포트(기본 3000번대)를 공용 인터넷에 노출하지 마세요. 공유기 방화벽에서 해당 포트를 차단하고, 원격 접근이 필요하다면 VPN을 통해서만 접근하도록 설정하세요.
• 7
  샌드박스 환경 활용 — 가상 기기 격리
  가장 안전한 방법은 가상머신(VM)이나 Docker 컨테이너처럼 격리된 환경에서 오픈클로를 실행하는 것입니다. 실제 운영 시스템과 민감한 자격증명이 포함된 계정과의 연결을 원천 차단하세요.

▲ 목차로 돌아가기

빅테크가 제안하는 AI 에이전트 보안 전략

오픈클로 사태를 계기로 오픈AI, 마이크로소프트, 앤트로픽 등 글로벌 빅테크는 AI 에이전트 보안의 패러다임 자체를 바꾸기 시작했습니다.
단순히 특정 서비스를 차단하는 수준을 넘어, 에이전트 환경 전체를 재설계하는 수준의 접근이 이루어지고 있습니다.

오픈AI: “포괄적 지시는 독이다”

오픈AI는 에이전트에게 내리는 지시의 범위를 최대한 좁히는 것이 핵심이라고 강조합니다.
“읽지 않은 이메일을 모두 검토하고 필요한 조치를 취하라”처럼 모호한 지시는 에이전트의 재량권을 과도하게 넓혀 프롬프트 인젝션 공격에 취약하게 만듭니다.
오픈AI 가이드라인은 “지시는 구체적이고, 범위는 좁게, 실행 전 사용자 확인(Human-in-the-Loop)을 의무화하라”고 권고합니다.

마이크로소프트: “막을 수 없다면, 피해를 최소화하라”

마이크로소프트는 자사 보안 블로그에서 “프롬프트 인젝션 차단을 단일 레이어에 의존하지 않는다”고 선언했습니다.
공격을 100% 차단하는 것은 불가능하다고 전제하고, 예방→탐지→피해 완화로 이어지는 다층 방어 체계(Defense-in-Depth)를 구축하는 것이 현실적이라는 입장입니다.
Azure의 Defender for AI가 이 전략의 핵심 제품입니다.

앤트로픽: 해킹 그룹의 AI 무기화를 경고

앤트로픽은 중국 배후 해킹 조직 GTG-1002가 자사의 Claude Code를 악용해 해킹 전 과정의 80~90%를 자동화했다고 공식 발표했습니다.
AI 에이전트는 이제 방어자뿐 아니라 공격자의 강력한 무기이기도 하다는 점에서, 보안은 선택이 아닌 의무가 됩니다.

Crowdstrike·Okta: AI 에이전트의 신원(Identity) 관리

보안 기업들의 최신 전략은 AI 에이전트에게도 사람과 동일한 수준의 신원(Identity)을 부여하고 관리하는 것입니다.
크라우드스트라이크는 Pangea, SGNL, Seraphic Security 등 에이전트 신원 관리 전문 기업을 연속으로 인수했으며, 옥타도 AI 에이전트 접근 제어 솔루션을 출시했습니다.
“사람에게 ID·비밀번호가 있듯, AI 에이전트에게도 세밀한 접근 권한 증명이 필요하다”는 것이 업계의 공통 방향성입니다.

▲ 목차로 돌아가기

Q&A — 오픈클로 보안, 가장 많이 묻는 5가지

▲ 목차로 돌아가기