GTC 2026 발표 직후
⚠ Alpha 단계
NemoClaw 설치했다고 다 된 건 아닙니다
명령어 하나로 AI 에이전트 보안이 끝난다는 말, 공식 문서를 직접 보면 다릅니다. CVE가 이미 6개 쌓였고, GitHub 저장소엔 ‘alpha software’라고 딱 적혀 있습니다.
NemoClaw가 뭔지, 결론부터
NemoClaw는 NVIDIA가 2026년 3월 16일 GTC 키노트에서 공개한 오픈소스 스택입니다. 요약하면 OpenClaw 위에 보안과 프라이버시 레이어를 얹은 것입니다. OpenClaw는 개발자 Peter Steinberger가 만든 AI 에이전트 플랫폼으로, 현재 역사상 가장 빠르게 성장한 오픈소스 프로젝트라고 젠슨 황이 키노트에서 직접 말했습니다. (출처: NVIDIA GTC 2026 키노트, 2026.03.16)
OpenClaw는 강력하지만 기업 환경에서 그대로 쓰기엔 너무 무방비입니다. 파일·브라우저·쉘·API에 접근 가능한 에이전트가 보안 정책 없이 돌아가는 구조이기 때문입니다. NemoClaw는 그 빈자리를 채우겠다는 NVIDIA의 선언입니다.
설치 방법은 터미널 명령어 한 줄입니다.
이게 전부처럼 보이지만, 막상 공식 GitHub 저장소를 열면 맨 위에 이렇게 적혀 있습니다. “alpha software — early-stage, not yet production-ready”. (출처: NVIDIA/NemoClaw GitHub, 2026.03.16)
알파 스테이터스라는 말은 아직 프로덕션에서 쓰지 말라는 뜻입니다.
진짜 핵심은 NemoClaw가 아닙니다 — OpenShell 이야기
💡 공식 발표문과 실제 동작 구조를 같이 놓고 보니 이런 차이가 보였습니다
NemoClaw라는 이름이 화제를 독차지하고 있지만, 실제 보안 작동 원리는 그 안에 설치되는 OpenShell에 있습니다. 브랜딩과 기술 핵심이 분리돼 있는 구조입니다.
NVIDIA 공식 개발자 블로그를 보면 이렇게 나옵니다. OpenShell은 에이전트 프로세스 바깥에서 정책 집행(out-of-process policy enforcement)을 담당하는 런타임입니다. (출처: NVIDIA Developer Blog, 2026.03.16)
이게 왜 중요하냐면, 기존 AI 에이전트의 보안 방식은 대부분 에이전트 내부의 프롬프트나 지시문으로 “하면 안 된다”고 가르치는 식입니다. 그런데 에이전트가 조작되거나 잘못 추론하면 그 내부 규칙은 그냥 무시됩니다. OpenShell은 그 규칙을 에이전트 밖에 두어, 에이전트가 아무리 설득당해도 실행 자체를 막습니다.
OpenShell의 3가지 핵심 구성 요소
| 구성 요소 | 역할 | 기존 방식과 차이 |
|---|---|---|
| 샌드박스 | 에이전트 실행 공간 격리 | 개발자 VM 수준이 아닌 에이전트 특화 격리 |
| 정책 엔진 | 파일·네트워크·프로세스 접근 통제 | 에이전트 외부에서 커널 레벨 격리 적용 |
| 프라이버시 라우터 | 로컬 추론 vs 클라우드 추론 라우팅 | 민감 정보의 클라우드 전송 정책 기반 제어 |
OpenShell은 OpenClaw뿐 아니라 Claude Code, Codex 등 다른 에이전트도 동일한 환경에서 제어 가능합니다. 이 점이 중요합니다. NemoClaw는 OpenClaw 전용처럼 보이지만 OpenShell 자체는 에이전트 종류를 가리지 않습니다.
명령어 하나면 끝? 공식 문서가 아니라는 쪽에 서 있습니다
솔직히 말하면, GTC 직후 나온 많은 글들이 “한 줄 명령어로 AI 에이전트 보안 완성”이라는 식으로 썼습니다. 매력적인 문장이지만 사실과 거리가 있습니다.
💡 NemoClaw 출시 이전에도 OpenClaw 보안 문제는 이미 진행 중이었습니다
SecurityScorecard는 2026년 2월 초에 인터넷에 노출된 OpenClaw 인스턴스를 4만 건 이상 발견했습니다. 이 중 35.4%가 취약 판정을 받았습니다. (출처: SecurityScorecard, 2026.02.11)
4만 건 노출 중 35.4% 취약. 숫자로 보면 실험용으로 세팅해 두고 잊어버린 인스턴스가 공격 표면이 됐다는 뜻입니다.
OpenClaw 공식 보안 문서도 솔직합니다. “완벽하게 안전한 설정은 없다(there is no perfectly secure setup)”고 적혀 있고, 기본 설정인 gateway.bind: loopback을 유지하라고 강조합니다. (출처: OpenClaw 공식 보안 문서)
NemoClaw 설치 자체는 보안 설정의 시작점일 뿐입니다. 설치 후에도 아래 조건을 직접 구성해야 합니다.
- 게이트웨이를 외부 IP에 노출하지 않기 — 기본값인 loopback 유지
- 프로덕션 계정 자격증명 주입 금지 — 별도 테스트 계정 사용
- 스킬(Skills) 설치 전 검토 의무화 — 서명 없는 스킬은 격리 환경 테스트 필수
- 네트워크 이그레스 정책 명시적 허용리스트 작성 — 기본 deny 유지
이것들은 NemoClaw가 자동으로 해주지 않습니다. NVIDIA 자신도 GeForce RTX에서 OpenClaw를 실행하는 가이드에 “별도 클린 PC 또는 VM 사용, 실계정 사용 금지”를 권장합니다. (출처: NVIDIA GeForce 공식 가이드, 2026.03)
CVE 6개가 말해주는 것
2026년 들어 OpenClaw 에코시스템에서 NVD(국가 취약점 데이터베이스)에 등록된 CVE만 6건입니다. 종류가 다양해서 주목할 만합니다.
| CVE 번호 | 발행일 | 취약점 유형 | 핵심 교훈 |
|---|---|---|---|
| CVE-2026-25253 | 2026.02.04 | 토큰 노출·자동 연결 | 브라우저 UI도 공격 표면 |
| CVE-2026-24763 | 2026.02.02 | Docker 샌드박스 명령 인젝션 | “Docker 안에서 돌린다”가 보안이 아님 |
| CVE-2026-25475 | 2026.02.04 | 임의 파일 읽기 (MEDIA 경로) | 파일 파서 하나가 전체 파일시스템 노출 가능 |
| CVE-2026-28472 | 2026.03.05 | 게이트웨이 인증 우회 | 컨트롤 플레인 인증 검증 필수 |
| CVE-2026-22179 | 2026.03.17 | macOS allowlist 우회 | 허용리스트도 쉘 파싱 실수로 뚫림 |
| CVE-2026-30741 | 2026.03.11 | 프롬프트 인젝션 → RCE | 프롬프트 오염이 코드 실행으로 연결 |
마지막 CVE-2026-30741이 핵심입니다. 프롬프트 인젝션이 원격 코드 실행(RCE)으로 이어진 사례입니다. (출처: NVD, 2026.03.11) NemoClaw가 출시된 같은 달에 이미 발행됐습니다.
Trend Micro는 2026년 2월 23일에 악성 OpenClaw 스킬을 통해 Atomic macOS Stealer가 배포된 사례를 문서화했고, GitHub에서 악성 스킬 2,200개 이상을 식별했다고 밝혔습니다. (출처: Trend Micro, 2026.02.23) 스킬 설치가 공급망 공격의 입구가 된 것입니다.
NemoClaw가 실제로 개선하는 것 3가지
비판만 하면 불공평합니다. NemoClaw가 실질적으로 개선하는 부분은 분명히 있습니다.
네트워크 이그레스 기본값 deny
NVIDIA DGX Spark 공식 플레이북에 OpenShell이 아웃바운드 네트워크 정책을 기본 차단(deny-by-default)으로 설정한다고 나옵니다. (출처: NVIDIA NIM APIs 공식 문서) 허용하지 않은 외부 주소로의 데이터 전송을 차단하므로, 악성 스킬이 공격자 서버로 정보를 빼내려 할 때 실제로 막히는 경우가 생깁니다.
로컬 추론으로 민감 정보 유출 경로 축소
NemoClaw는 NVIDIA Nemotron 모델을 로컬에서 돌리고, 프라이버시 라우터가 클라우드 추론 허용 여부를 정책 기반으로 결정합니다. 코드·고객 데이터·내부 문서가 무심코 외부 API로 흘러가는 상황을 줄일 수 있습니다. 단, Nemotron 모델을 돌릴 수 있는 전용 하드웨어(RTX GPU 또는 DGX Spark)가 필요합니다.
프로세스 외부 정책 집행으로 자기 우회 차단
에이전트가 조작되어 “이 규칙은 이 상황에서 예외야”라고 스스로 판단하는 상황이 있습니다. OpenShell은 그 규칙을 에이전트 프로세스 밖에 두어, 에이전트가 뭐라고 추론하든 파일시스템·네트워크·프로세스 접근 자체를 커널 수준에서 막습니다. 이게 가장 구조적인 개선입니다.
NemoClaw가 여전히 못 막는 것
💡 보안 발표 직후 가장 쉽게 놓치는 부분을 공식 CVE와 실제 공격 사례로 짚어봤습니다
NemoClaw로 해결되지 않는 문제들이 있습니다. 1Password의 SCAM 벤치마크 결과가 이것을 잘 보여줍니다. 고성능 모델이 피싱 도메인을 인식했음에도 그냥 클릭하고, 실제 자격증명을 제출했습니다. “인식(recognition)이 억제(restraint)가 아니다”라는 결론이 나왔습니다. (출처: 1Password SCAM 벤치마크, 2026)
① 프롬프트 인젝션은 여전히 위험합니다
OWASP AI Agent Security Cheat Sheet는 프롬프트 인젝션을 에이전트 시스템의 1순위 위험으로 분류합니다. OpenShell이 폭발 반경(blast radius)을 줄이긴 하지만, 에이전트가 악성 콘텐츠를 처음 보는 것 자체를 막지는 않습니다. 웹페이지 본문, 이메일, 문서 첨부 파일 어디서든 인젝션은 들어올 수 있습니다. (출처: OWASP AI Agent Security Cheat Sheet)
② 신원(Identity) 문제는 외부에서 해결해야 합니다
에이전트에 넓은 권한을 가진 API 키나 클라우드 계정을 붙여 두면, 에이전트 자체가 완벽하게 격리돼도 공격자는 그 자격증명을 통해 원하는 걸 합니다. Microsoft는 자격증명 관리를 에이전트 런타임 보안의 세 축 중 하나로 명시합니다. (출처: Microsoft Security Blog, 2026.02.19) NemoClaw는 이 부분을 건드리지 않습니다.
③ 악성 스킬 공급망 문제는 사람이 해결해야 합니다
Trend Micro가 발견한 2,200개 이상의 악성 스킬처럼, 설치 전 검토를 건너뛰면 샌드박스 안에서도 피해가 납니다. 스킬은 코드처럼 취급하고, 서명 확인·정적 분석·격리 환경 테스트를 거쳐야 합니다. 이건 도구가 아니라 운영 규율의 문제입니다.
Q&A
마치며
NemoClaw는 에이전틱 AI 시대에 필요한 방향을 제대로 짚었습니다. 에이전트 내부에 “조심해”라고 가르치는 것을 넘어, 외부에서 행동 자체를 통제하는 구조를 만든 것은 기술적으로 올바른 선택입니다.
다만 GTC 발표 직후의 흥분 속에서 “명령어 하나로 AI 에이전트 보안 끝”이라는 인식이 퍼지는 건 문제입니다. 공식 GitHub에 alpha라고 적혀 있고, 같은 달에 CVE-2026-30741(프롬프트 인젝션 → RCE)이 발행됐습니다. 보안은 설치가 아니라 운영 규율에서 완성됩니다.
써볼 만한 도구인 건 맞습니다. 단, 가이드라인을 따르고, 프로덕션에는 안정화 이후를 기다리는 게 현명합니다.
본 포스팅 참고 자료
- NVIDIA Newsroom — NVIDIA Announces NemoClaw (2026.03.16)
- NVIDIA Blog — GTC 2026 Live Updates (2026.03.16~19)
- NVIDIA Developer Blog — OpenShell 아키텍처 (2026.03.16)
- NVIDIA NemoClaw 공식 페이지
- NVIDIA/NemoClaw GitHub — Alpha 스테이터스 명시
- Penligent — NemoClaw가 바꾸는 것과 못 바꾸는 것 (2026.03)
- SecurityScorecard — 4만 건 OpenClaw 노출 인스턴스 연구 (2026.02.11)
- Trend Micro — 악성 OpenClaw 스킬 AMOS 배포 분석 (2026.02.23)
- OWASP AI Agent Security Cheat Sheet
- Microsoft Security Blog — OpenClaw 안전 실행 가이드 (2026.02.19)
- 1Password SCAM 벤치마크 — 에이전트 보안 실패 사례
본 포스팅은 2026년 3월 21일 기준으로 작성되었습니다. 본 포스팅 작성 이후 서비스 정책·UI·기능이 변경될 수 있습니다. NemoClaw는 현재 alpha 단계이며, NVIDIA 공식 문서를 통해 최신 상태를 확인하시기 바랍니다.
댓글 남기기