오픈클로에 무슨 일이 있었나요?

오픈클로(OpenClaw)는 2026년 초 GitHub 역사상 가장 빠르게 성장한 오픈소스 프로젝트로 기록됐습니다. 단 수주 만에 GitHub 스타 18만 개를 넘겼고, 이후 지속적으로 성장해 현재 300만+ 스타를 달성했습니다(출처: OpenClaw GitHub, 2026.03 기준). 메시지 앱과 연동해서 스스로 할 일을 처리하는 “항상 켜진 AI 비서”라는 개념이 폭발적인 관심을 받았습니다.

문제는 빠른 확산만큼 보안 사고도 빠르게 따라왔다는 점입니다. 오픈클로가 핫해진 지 3주 만에 CVE-2026-25253이 공개됐습니다. CVSS 점수 8.8짜리 원클릭 원격 코드 실행 취약점으로, gatewayUrl 파라미터에 악성 링크를 심으면 인증 토큰이 탈취되는 구조였습니다(출처: Wiz Research, 2026.02). 보안 기업 Wiz의 보고에 따르면 이 시점에 4만~13만 5천 개 인스턴스가 인터넷에 무방비로 노출된 상태였고, 커뮤니티 플랫폼 Moltbook에서 150만 개 API 토큰이 평문으로 유출됐습니다.

Cisco AI 보안 연구팀이 ClawHub(스킬 마켓)을 스캔한 결과, 2,857개 스킬 중 341개(약 12%)가 악성으로 분류됐습니다(출처: Cisco AI Threat and Security Research, 2026.03). “ClawHavoc”으로 명명된 조직적 공격 캠페인이었습니다. 한국에서는 2026년 2월 8일, 네이버·카카오·당근이 공식적으로 사내 사용을 금지했습니다(출처: hyeonker.com, 2026.02.08). 이게 엔비디아가 네모클로를 들고 나온 배경입니다.

▲ 목차로 돌아가기

엔비디아 네모클로, 정확히 뭘 하는 건가요?

엔비디아는 2026년 3월 16일 GTC 2026 기조연설에서 NVIDIA NemoClaw를 공개했습니다(출처: NVIDIA 공식 보도자료, 2026.03.16). 젠슨 황은 발표에서 “오픈클로는 개인용 AI의 운영체제”라고 표현하며 Mac과 Windows에 비유했습니다. 네모클로는 그 위에서 돌아가는 보안 레이어입니다.

공식 정의는 이렇습니다: “NemoClaw is an open source stack that adds privacy and security controls to OpenClaw.”(출처: nvidia.com/nemoclaw) 핵심 구성 요소는 두 가지입니다. 첫째, NVIDIA OpenShell — Apache 2.0 라이선스 기반의 오픈소스 런타임으로, 에이전트와 인프라 사이에 위치해 에이전트의 실행 환경을 감시합니다. 둘째, NVIDIA Nemotron 모델 — 로컬에서 실행할 수 있는 엔비디아의 오픈 모델 패밀리로, 프라이버시 라우터를 통해 클라우드 모델과 로컬 모델을 정책에 따라 스위칭합니다.

설치는 터미널에서 명령어 한 줄로 시작합니다: curl -fsSL https://nvidia.com/nemoclaw.sh | bash. 이 명령어가 NVIDIA Agent Toolkit, OpenShell, Nemotron 모델을 한 번에 설정합니다. 단, “한 줄 설치”가 의미하는 바는 다음 섹션에서 구체적으로 짚겠습니다. 기대한 것과 다를 수 있습니다.

▲ 목차로 돌아가기

에이전트 내부가 아니라 외부를 잡는다는 게 왜 다른가요?

기존 AI 에이전트들이 보안을 다루던 방식은 “시스템 프롬프트에 금지 사항을 적어넣는 것”이었습니다. Claude Code나 Cursor가 좋은 예입니다. 내부에 가드레일이 있고, 모델이 그 가드레일을 따르도록 훈련됩니다. 하지만 엔비디아의 NVIDIA OpenShell 기술 블로그(출처: developer.nvidia.com, 2026.03.17)는 이 방식의 결정적인 취약점을 직접 짚습니다:

“If capable and autonomous with full access, you’ve got a long-running process policing itself — guardrails living inside the same process they’re supposed to be guarding.”

— NVIDIA, OpenShell 공식 블로그, 2026.03.17

에이전트 스스로 자기 보안을 지킨다는 게 문제입니다. 에이전트가 해킹되는 순간, 그 안에 있는 가드레일도 함께 해킹됩니다. OpenShell은 이 문제를 “프로세스 외부 정책 적용(out-of-process policy enforcement)“으로 해결합니다. 에이전트 밖에서 실행 환경 자체를 제어하는 구조입니다.

구체적으로 OpenShell은 세 가지 레이어로 작동합니다. 첫째, 샌드박스: 에이전트를 격리된 실행 환경에서 돌리며, 에이전트가 샌드박스를 부수더라도 호스트에는 영향이 없습니다. 둘째, 정책 엔진: 파일시스템, 네트워크, 프로세스 레이어에서 모든 행동을 이진(binary), 목적지, 방법, 경로 수준으로 평가합니다. 셋째, 프라이버시 라우터: 민감한 데이터는 로컬 Nemotron 모델에서 처리하고, 정책이 허용할 때만 Claude나 GPT 같은 클라우드 모델로 라우팅합니다(출처: developer.nvidia.com, 2026.03.17). 이 세 레이어가 에이전트 바깥에서 동작한다는 것이 핵심입니다.

▲ 목차로 돌아가기

명령어 한 줄, 실제로는 이 조건이 먼저입니다

엔비디아는 NemoClaw 설치를 “단 한 줄의 명령어”로 소개합니다. 발표만 보면 curl -fsSL https://nvidia.com/nemoclaw.sh | bash가 전부인 것처럼 느껴집니다. 막상 설치 문서를 확인해보면 이야기가 달라집니다. AlphaSignal AI의 설치 가이드(출처: alphasignalai.substack.com, 2026.03.18)와 공식 secondtalent.com 가이드(출처: 2026.03.19)에 명시된 사전 요구 사항은 다음과 같습니다.

설치 완료 후 첫 에이전트가 동작하기까지는 30분 이내가 가능하다고 나와 있습니다(출처: secondtalent.com, 2026.03.19). 그러나 이건 Ubuntu 환경에서 위 조건이 모두 갖춰졌을 때의 수치입니다. macOS에서는 추가 환경 설정이 필요할 수 있고, Windows 지원 여부는 “확인 필요” 상태입니다(2026.03.19 기준, 공식 문서에 Windows 설치 가이드가 별도 명시되지 않음).

또한 NemoClaw는 현재 얼리 프리뷰(early preview) 상태입니다. 엔비디아 공식 보도자료에 명시된 문구입니다(출처: nvidia.com/nemoclaw, 2026.03.16): “Try NemoClaw now in early preview.” 이 말은 기능이 변경되거나 일부 기능이 아직 완성되지 않았을 가능성이 있다는 뜻입니다. 프로덕션 환경에 바로 적용하기 전 이 점을 먼저 고려할 필요가 있습니다.

▲ 목차로 돌아가기

한국 환경에서 네모클로가 닿지 않는 부분

오픈클로가 처음 화제가 됐을 때 한국 커뮤니티에서 가장 많이 올라온 사용 사례는 “쿠팡 생수 주문”, “SRT 예매”, “네이버 예약 자동화”였습니다. 실제로 시도해본 결과는 달랐습니다. 디지털투데이의 실사용 테스트에서 직접 측정한 수치를 보면, 쿠팡 생수 1개 구매 자동화 1회에 토큰 188,000개가 소요됩니다(출처: digitaltoday.co.kr). Claude Sonnet 분당 3만 토큰 제한을 기준으로 하면, 페이지 4~5회 전환이 필요한 구매 과정에 약 5분이 소요되고 비용도 만만치 않습니다. 이게 오픈클로의 한국 실사용 한계였고, 이 문제는 NemoClaw가 추가된다고 해서 해결되지 않습니다.

NemoClaw는 보안·프라이버시 레이어를 추가하는 도구이지, 한국 서비스와의 API 통합 문제를 해결해주지 않습니다. 네이버 예약, 카카오 서비스, KTX/SRT 예매는 공식 API가 닫혀있거나 제한적입니다. 브라우저 자동화 방식은 JS 기반 SPA 구조로 인해 토큰 소모가 많고 불안정합니다. 이 한계는 OpenShell의 정책 엔진과 무관합니다.

한국에서 현실적으로 오픈클로와 NemoClaw를 활용할 수 있는 영역은 한국투자증권 API 기반 주식 리포트 자동화, 뉴스 모니터링 + 요약, 사내 Slack/Teams 봇 연동 정도입니다(출처: 실사용 사례 정리, medium.com/@dndb3599, 2026.02.24). 그나마도 “오픈클로가 아니면 못하는 것”보다는 기존 스케줄러와 AI API로도 가능한 작업들입니다.

▲ 목차로 돌아가기

네모클로를 쓰면 오픈클로 스킬 문제가 해결될까요?

ClawHub에서 악성 스킬이 발견됐다는 보안 이슈는 아직도 가장 큰 걱정 중 하나입니다. Koi Security 감사에서 341개가 악성으로 분류됐고, 그 중 하나인 “What Would Elon Do?” 스킬은 데이터 외부 전송과 프롬프트 인젝션을 동시에 수행하는 기능성 악성코드였습니다(출처: Cisco AI Threat and Security Research, 2026.03). NemoClaw의 OpenShell이 이 문제를 완전히 해결한다고 보기는 어렵습니다.

OpenShell 정책 엔진은 에이전트가 실행하는 행동을 이진·경로·네트워크 수준에서 제어합니다. 즉, 악성 스킬이 curl을 통해 외부 서버로 데이터를 전송하려 하면, 정책이 해당 네트워크 호출을 차단할 수 있습니다(출처: developer.nvidia.com, 2026.03.17). 이 부분은 기존 오픈클로 대비 개선입니다.

그러나 정책 설정이 기본값으로 충분히 촘촘하게 구성되어 있는지는 현재 얼리 프리뷰 단계에서 직접 검증이 필요합니다(확인 필요, 2026.03.19 기준). 스킬 설치 자체를 막는 게 아니라, 스킬이 실행한 결과의 네트워크 호출을 제어하는 방식이기 때문에, 스킬이 에이전트의 내부 컨텍스트를 프롬프트 인젝션으로 조작하는 시나리오에서의 방어력은 아직 실측 데이터가 없는 상황입니다.

※ 위 표는 NVIDIA 공식 보도자료(2026.03.16) 및 developer.nvidia.com 기술 블로그(2026.03.17)를 기반으로 정리한 것입니다.

▲ 목차로 돌아가기

자주 묻는 질문

▲ 목차로 돌아가기

마치며 — 네모클로가 열어놓은 것과 아직 닫힌 것

솔직히 말하면, NemoClaw는 오픈클로의 보안 공백을 메우는 중요한 시도입니다. 에이전트 내부가 아닌 외부에서 정책을 강제한다는 아키텍처 원칙은 기술적으로 올바른 방향입니다. 젠슨 황이 오픈클로를 “개인용 AI의 운영체제”에 비유하며 엔비디아가 이 생태계에 본격적으로 뛰어들었다는 신호이기도 합니다.

다만 현시점에서 주의해야 할 것들도 명확합니다. 얼리 프리뷰 상태이고, 설치 조건이 “명령어 한 줄”보다 복잡하며, 한국 서비스와의 통합 문제는 NemoClaw가 해결해주지 않습니다. ClawHub의 악성 스킬 문제는 정책 엔진으로 부분적으로 완화되지만, 프롬프트 인젝션에 대한 완전한 방어는 아직 실증 데이터가 없습니다. 이 부분은 앞으로 커뮤니티와 보안 연구자들이 채워야 할 영역입니다.

개인적으로는 NemoClaw의 등장보다 OpenShell의 아키텍처 원칙 자체가 더 의미 있다고 봅니다. 에이전트가 얼마나 강력해지든, 그 실행 환경을 에이전트 외부에서 통제한다는 발상은 AI 에이전트 보안의 기본 원칙으로 자리잡을 가능성이 높습니다. 오픈클로를 지금 당장 쓸 게 아니더라도 이 흐름은 주목할 만합니다.

▲ 목차로 돌아가기

본 포스팅 참고 자료

1. NVIDIA 공식 보도자료 — NemoClaw 발표 (nvidianews.nvidia.com, 2026.03.16)
2. NVIDIA 공식 제품 페이지 — NemoClaw 소개 및 설치 (nvidia.com/nemoclaw, 2026.03.16)
3. NVIDIA 개발자 블로그 — OpenShell 아키텍처 심층 분석 (developer.nvidia.com, 2026.03.17)
4. Cisco AI Threat and Security Research — OpenClaw 보안 위험 분석 (blogs.cisco.com, 2026.03)
5. Wiz Research — OpenClaw 취약점 노출 인스턴스 보고 (출처 내 인용, 2026.02)
6. Medium — OpenClaw 홈서버 실사용 분석 (medium.com/@dndb3599, 2026.02.24)