NVIDIA OpenClaw NemoClaw:
“무료 에이전트” 믿으면
기업 망하는 이유
3주 만에 바이럴→보안 위기→NVIDIA 개입. 그 전말과 지금 당장 해야 할 것.
2026년 3월 17일 새벽(한국 시간), 엔비디아 CEO 젠슨 황은 GTC 2026 키노트 무대에서 OpenClaw를 “개인 AI의 운영체제”라 부르며 NVIDIA NemoClaw 공식 지원을 선언했습니다. 바로 그 OpenClaw는 출시 3주 만에 심각도 8.8 취약점과 13만 5천 건의 무인증 노출 사태를 겪었던 바로 그 도구입니다. “NVIDIA가 붙었으니 이제 안전하다”고 생각하는 순간, 정작 위험한 지점을 놓치게 됩니다.
GitHub 역사를 다시 쓴 도구, 그런데 정체가 뭔가요?
NVIDIA OpenClaw NemoClaw를 제대로 이해하려면 먼저 OpenClaw가 무엇인지부터 알아야 합니다. OpenClaw는 오스트리아 소프트웨어 엔지니어 피터 슈타인베르거가 2025년 11월 ‘Clawdbot’이라는 이름으로 처음 공개한 자율 AI 에이전트입니다. 앤트로픽의 상표 분쟁을 거쳐 Moltbot → OpenClaw로 두 차례 이름을 바꿨지만, 본질은 달라지지 않았습니다. 메신저 앱(WhatsApp·Telegram·Slack·Discord)을 통해 명령을 받고, 이메일 발송·파일 관리·터미널 명령 실행·웹 브라우징을 자율적으로 수행하는 도구입니다.
이 도구가 세상의 주목을 받은 것은 2026년 1월 말 단 하루에 GitHub 스타를 25,000개나 쌓으면서부터입니다. 이후 Linux를 추월해 GitHub 역사상 가장 많은 스타를 받은 오픈소스 프로젝트가 되었습니다. (출처: openclaw.report, 2026.02) 이것이 의미하는 바는 단순한 인기 이상입니다. 전 세계 개발자 수백만 명이 동시에 설치했다는 뜻이고, 그만큼 공격 표면도 폭발적으로 넓어졌다는 뜻입니다.
💡 이 섹션에서만 볼 수 있는 관점: OpenClaw의 폭발적 성장은 사실 몰트북(Moltbot) 프로젝트의 바이럴 인기와 맞물린 결과입니다. AI 에이전트들만 입장 가능한 SNS ‘몰트북’이 화제가 되면서 “내 에이전트를 직접 만들어 올리고 싶다”는 수요가 OpenClaw 설치로 이어졌습니다. 즉, OpenClaw의 성장 경로는 기술적 우수성이 아닌 커뮤니티 바이럴이었다는 점이 이후 보안 사태의 씨앗이 됩니다.
3주 만에 무너졌다: 실제 수치로 본 OpenClaw 보안 사태
OpenClaw가 폭발적으로 성장한 것과 거의 동시에 보안 연구자들이 경고를 쏟아내기 시작했습니다. 가장 치명적이었던 것은 CVE-2026-25253 (CVSS 8.8)입니다. 이 취약점의 작동 방식은 다음과 같습니다. OpenClaw는 localhost에서 오는 연결은 신뢰할 수 있다고 잘못 가정했습니다. 그런데 웹 브라우저도 localhost로 연결을 시작할 수 있습니다. 공격자가 만든 악성 웹페이지를 방문하기만 해도 JavaScript가 OpenClaw 게이트웨이로 WebSocket 연결을 열고, 인증 토큰을 탈취해 인스턴스 전체를 장악할 수 있었습니다. (출처: AdminByRequest 보안 분석, 2026.03) 이것은 사용자가 아무것도 클릭하지 않아도 당하는 원클릭 원격코드실행(RCE)입니다.
SecurityScorecard의 조사 결과를 직접 확인해 보겠습니다. 82개국에 걸쳐 공개된 OpenClaw 인스턴스 수는 135,000개 이상이었으며, 그 중 50,000개 이상이 RCE에 취약했습니다. 더 심각한 것은 이 수치가 “설정을 제대로 안 했기 때문”이 아니라 기본 설치 상태 자체가 인증이 꺼져 있기 때문이라는 점입니다. 기본값이 무방비라는 것은, 평범한 사용자일수록 더 위험하다는 뜻입니다.
ClawHub(스킬 마켓플레이스)에 대한 보안 감사 결과도 놀랍습니다. Koi Security가 2,857개 스킬을 전수 감사한 결과 341개의 악성 스킬이 발견되었고, 이 중 335개는 단일 공격 조직의 소행으로 추정됩니다. 이들 스킬은 맥OS에서 브라우저 자격증명·키체인·SSH 키·암호화폐 지갑을 훔치고, 윈도우에서는 리버스 쉘을 심는 방식으로 작동했습니다. 스킬은 에이전트의 권한 전체로 실행되기 때문에, 하나의 악성 스킬이 터미널 접근권과 OAuth 토큰을 포함한 모든 연결 서비스에 접근할 수 있습니다.
⚠️ 기업 환경 실태: Bitdefender의 기업 텔레메트리 분석에 따르면, 직원들이 IT 부서의 허가 없이 개인 노트북에 OpenClaw를 직접 설치한 사례가 다수 확인되었습니다. Token Security가 기업 고객을 조사한 결과 22%의 기업에서 직원이 OpenClaw를 사용하고 있었습니다. 그 인스턴스들은 터미널 접근권과 이메일·캘린더·파일시스템 OAuth 토큰을 모두 가진 상태였습니다. (출처: DarkReading, 2026.02)
젠슨 황이 직접 선언한 NemoClaw: 실제로 무엇이 달라지나요?
2026년 3월 16일(현지시각), GTC 2026 키노트에서 젠슨 황은 “OpenClaw는 개인 AI의 운영체제다. Mac과 Windows가 PC의 OS라면, OpenClaw는 개인 AI의 OS다”라고 선언했습니다. 그리고 즉시 NVIDIA NemoClaw를 발표했습니다. (출처: NVIDIA 공식 보도자료, 2026.03.16) NemoClaw는 한 줄의 명령어로 NVIDIA Nemotron 모델과 OpenShell 런타임을 동시에 설치하는 오픈소스 스택입니다.
NemoClaw가 기존 OpenClaw와 다른 핵심은 NVIDIA OpenShell 런타임입니다. OpenShell은 에이전트가 데이터에 접근하고 도구를 사용하는 방식에 정책 기반 보안 경계를 씌우는 격리 샌드박스입니다. 에이전트가 “무엇을 할 수 있는지”를 정의하고, 네트워크 경계와 개인정보 라우팅을 강제합니다. 기존 OpenClaw에서 기본값이 “모두 허용”이었다면, NemoClaw+OpenShell의 기본값은 “정책 내에서만 허용”으로 바뀝니다.
NemoClaw는 어떤 코딩 에이전트와도 결합할 수 있으며, NVIDIA GeForce RTX PC·노트북, RTX PRO 워크스테이션, DGX Station, DGX Spark 등 전용 컴퓨팅 환경에서 24시간 상시 실행됩니다. 클라우드 모델을 쓸 때는 개인정보 라우터를 통해 프론티어 모델에 연결하고, 로컬 모델(Nemotron 포함)을 쓸 때는 완전히 오프라인으로 작동합니다.
💡 공식 changelog와 보안 사태를 교차 분석한 관점: NVIDIA가 NemoClaw를 발표한 시점은 OpenClaw 보안 위기가 최고조에 달했을 때입니다. CVE 패치(2026.1.29), ClawHavoc 공급망 공격(2026.02), ClawSecure 감사 결과(2026.03) 이후 바로 GTC에서 공식 지원을 선언했습니다. 이것은 NVIDIA가 단순히 인기 있는 오픈소스를 포옹한 게 아니라, 보안 생태계 부재로 위기에 처한 에이전트 플랫폼을 자사 인프라로 흡수하는 전략적 선택이었습니다. NemoClaw는 기술이 아니라 NVIDIA의 에이전트 OS 생태계 장악 선언입니다.
“무료니까 괜찮다”는 생각이 기업을 위험에 빠뜨리는 진짜 이유
많은 분들이 OpenClaw를 무료 도구라고 생각합니다. 소프트웨어 자체는 MIT 라이선스로 무료인 것이 맞습니다. 하지만 기업 환경에서 제대로 배포하려면 전혀 다른 이야기가 됩니다. Docker 컨테이너 격리, Python 환경 구성, 샌드박싱, 스킬 검증, 보안 감사 — 이 모든 것이 전문 인력의 시간 비용으로 환산됩니다. 보안 컨설팅 없이 그냥 설치한 인스턴스가 바로 135,000개 노출 사태를 만든 주범입니다.
한 가지 계산을 해보겠습니다. CVE-2026-25253으로 인해 공격자가 에이전트를 장악하면 어떻게 될까요? OpenClaw는 기본적으로 이메일·캘린더·파일시스템·Slack·터미널에 OAuth 토큰을 가집니다. 공격자는 이 토큰으로 이메일을 열람하고, 파일을 외부로 전송하고, 터미널 명령으로 SSH 키와 환경변수(.env 파일)의 API 키를 모두 탈취할 수 있습니다. 중소기업 한 곳의 .env 파일 하나에는 AWS 자격증명·결제 API 키·데이터베이스 접속 정보가 담길 수 있습니다. 이것이 “무료 도구” 한 번 잘못 설치한 결과입니다.
NemoClaw가 바꾸는 것과 바꾸지 못하는 것
NemoClaw와 OpenShell은 정책 기반 경계를 추가하지만, 그것이 모든 위험을 없애주지는 않습니다. ClawHub 스킬 마켓플레이스에서 악성 스킬을 설치하는 것은 여전히 사용자의 책임입니다. 2026년 3월 기준, ClawHub에는 10,700개 이상의 패키지가 있고 그 중 1,184개 이상이 악성으로 확인되었습니다. 스킬 하나하나를 검증하지 않는 한, NemoClaw를 써도 공급망 공격은 막기 어렵습니다. (출처: Koi Security 감사 결과, 2026.03)
| 항목 | 기존 OpenClaw | NemoClaw + OpenShell |
|---|---|---|
| 기본 인증 | ❌ 꺼짐(기본값) | ✅ 정책 기반 |
| WebSocket 출처 검증 | ❌ 없음 | ✅ OpenShell 격리 |
| 스킬 검증 | ❌ 사용자 책임 | ⚠️ 여전히 사용자 책임 |
| 로컬 모델 실행 | ⚠️ 수동 설정 | ✅ Nemotron 원클릭 |
| 개인정보 라우팅 | ❌ 없음 | ✅ 프라이버시 라우터 |
| 비용 | 무료(SW) | 무료(SW) / DGX 하드웨어 별도 |
(출처: NVIDIA 공식 NemoClaw 발표, 2026.03.16 / AdminByRequest 보안 분석, 2026.03)
OpenClaw vs Claude Code: 같은 “AI 에이전트”지만 완전히 다른 도구입니다
OpenClaw와 Claude Code는 둘 다 “에이전트”라고 불리지만 목적이 전혀 다릅니다. Claude Code는 앤트로픽의 CLI 도구로, 터미널에서 코드를 작성·수정·실행하는 전문 개발 도구입니다. Claude Opus 4.6 기반으로 작동하며 SOC2 인증 데이터 보안과 컨텍스트 압축을 통한 장시간 작업을 지원합니다. 반면 OpenClaw는 코딩을 넘어 이메일·캘린더·메신저·파일시스템까지 연결하는 “생활 OS” 지향 도구입니다. (출처: DataCamp OpenClaw vs Claude Code 비교, 2026.03)
DataCamp의 직접 비교 결과를 보면: 복잡한 코드 리팩토링은 Claude Code가 압도적으로 우위입니다. Opus 4.6의 추론 능력과 Context Compaction이 결합해 코드를 깨뜨릴 가능성이 OpenClaw보다 현저히 낮습니다. 반면 일상 자동화(이메일·알림·앱 연동)는 OpenClaw가 유리합니다. Claude Code는 기본적으로 개발 도구이기 때문에 WhatsApp 메시지 자동화 같은 기능은 지원하지 않습니다. 이 차이를 이해하면 NemoClaw가 Claude Code를 대체하는 것이 아니라 서로 다른 층위에서 작동한다는 것을 알 수 있습니다.
어떤 상황에서 무엇을 선택해야 할까요?
NemoClaw + OpenClaw를 선택해야 하는 경우: 코딩을 넘어 업무 전반을 자동화하고 싶고, 보안 설정을 직접 관리할 역량이 있으며, 오픈소스 모델을 로컬에서 구동해 비용을 최소화하고 싶을 때입니다. 다만 반드시 NemoClaw 기반으로 설치하고, ClawHub 스킬은 설치 전 소스코드를 직접 검토하는 습관이 필요합니다. Claude Code를 선택해야 하는 경우: 팀 단위 개발 환경에서 코드 품질과 보안이 최우선이고, 설정 없이 바로 작동하는 도구가 필요하며, 엔터프라이즈 보안 준수가 필수일 때입니다.
지금 당장 확인해야 할 것: NemoClaw 도입 전 4가지 체크포인트
GTC 2026 공식 발표 이후 많은 조직에서 NemoClaw 도입을 검토할 것입니다. 그 전에 반드시 확인해야 할 것이 있습니다.
현재 조직 내 무허가 OpenClaw 인스턴스 점검
Moltbot, Clawdbot이라는 이름으로도 설치되어 있을 수 있습니다. 엔드포인트 인벤토리에서 세 가지 이름 모두 검색하세요. Token Security 조사 기준 기업의 22%에서 발견되었습니다.
버전 확인: 반드시 v2026.2.26 이상
이 버전 미만은 CVE-2026-25253(ClawJacked)에 여전히 취약합니다. 패치는 2026.2.26에 완료되었으므로, 그 이전 버전이 실행 중이라면 즉시 업데이트 또는 격리하세요.
ClawHub 스킬: 2026년 2월 이전 설치분 전수 검토
2월 이전 ClawHub에서 받은 스킬은 신뢰할 수 없습니다. ClawSecure 감사 결과 스킬의 41%에 취약점이 있었으며, 출처 불명 스킬은 삭제 후 공식 검증 버전으로 재설치하는 것이 안전합니다.
NemoClaw는 OpenShell 정책 설정을 반드시 직접 구성
NemoClaw의 OpenShell도 정책을 직접 구성하지 않으면 효과가 없습니다. “설치만 했다”는 것이 안전을 보장하지 않습니다. NVIDIA 공식 문서에 따라 에이전트별 권한 범위를 명시적으로 제한하세요.
자주 묻는 질문 5가지
마치며 — NVIDIA의 에이전트 판이 깔렸다, 하지만 서두르지 마세요
NVIDIA가 GTC 2026에서 OpenClaw를 “AI의 운영체제”로 공식 포옹하고 NemoClaw를 발표한 것은 에이전트 시대의 기반이 깔렸다는 신호입니다. Feynman 아키텍처, DGX Spark 클러스터, OpenShell 정책 엔진이 결합하면 자율 에이전트가 기업 인프라 전반에 스며드는 시대가 올 것입니다.
그러나 지금 이 순간 서두를 필요는 없습니다. OpenClaw는 3주 만에 보안 위기를 겪었고, NemoClaw도 출시 직후입니다. 스킬 생태계의 신뢰성 문제는 소프트웨어 패치만으로 해결되지 않습니다. 지금 가장 현명한 접근은 “내 조직에 이미 들어와 있는 OpenClaw를 먼저 파악하고, 있다면 패치 버전으로 교체하는 것”입니다. 그다음에 NemoClaw의 OpenShell 정책을 공식 문서대로 직접 구성한 뒤, 소규모 파일럿으로 시작하는 것이 맞습니다.
“NVIDIA가 지원한다”는 사실은 에이전트 플랫폼의 장기적 생존 가능성을 높여주지만, 오늘의 보안 설정을 대신해주지는 않습니다. 그 차이를 명확히 구분하는 것이 이 흐름을 제대로 활용하는 시작점입니다.
📚 본 포스팅 참고 자료
※ 본 포스팅 작성 이후 서비스 정책·UI·기능이 변경될 수 있습니다. NVIDIA OpenClaw, NemoClaw, OpenShell은 현재 출시 초기 단계의 제품 및 오픈소스 소프트웨어로, 기능과 보안 정책이 지속적으로 업데이트됩니다. 모든 수치는 본문에 명시된 출처 및 날짜 기준이며, 최신 정보는 각 공식 문서에서 확인하시기 바랍니다. 본 포스팅은 특정 소프트웨어의 사용을 권장하거나 보증하지 않습니다.
댓글 남기기