NemoClaw가 나온 이유 — OpenClaw의 진짜 문제

NVIDIA NemoClaw는 2026년 3월 16일 GTC 2026 키노트에서 공식 발표됐습니다. 젠슨 황은 무대 위에서 이렇게 말했습니다. “기업 네트워크 안에서 민감한 정보에 접근하고, 코드를 실행하고, 외부와 통신할 수 있는 AI 에이전트. 그걸 소리 내서 말해보세요. 생각해보세요.”

실제로 문제가 터졌기 때문에 이렇게 말한 겁니다. SecurityScorecard는 2026년 2월 스캐닝 시작 후 24시간 안에 OpenClaw 노출 인스턴스를 40,000개 이상 확인했고, 그 중 35.4%가 취약 판정을 받았습니다. (출처: SecurityScorecard, 2026.02) 단순히 “포트가 열려있다”는 문제가 아닙니다. 해당 인스턴스들은 이미 토큰·브라우저 상태·API 접근권·메시지 전송 권한을 갖고 있는 상태였습니다.

같은 달 Trend Micro는 악성 OpenClaw 스킬을 통해 Atomic macOS Stealer(AMOS)가 배포된 캠페인을 기록했습니다. GitHub에서 확인된 악성 스킬만 2,200개 이상이었습니다. (출처: Trend Micro Research, 2026.02) 스킬 파일이 단순 문서가 아니라 실행 경로의 일부라는 사실이 여기서 명확해집니다. NemoClaw는 이 맥락에서 등장한 겁니다.

▲ 목차로 돌아가기

NemoClaw가 실제로 하는 것 — OpenShell이 핵심

NemoClaw의 공식 설명은 간단합니다. curl -fsSL https://nvidia.com/nemoclaw.sh | bash 명령 하나로 NVIDIA OpenShell™ 런타임과 Nemotron 모델을 함께 설치해줍니다. (출처: NVIDIA 공식 보도자료, 2026.03.16) 단순히 설정 편의 도구처럼 들리지만, 실제로는 아키텍처 수준의 변화가 있습니다.

OpenShell의 핵심 설계 원칙: 에이전트 밖에서 강제

기존 OpenClaw 보안은 에이전트 프롬프트 레벨에 의존했습니다. 모델에게 “이것만 해”라고 지시하는 방식이죠. OpenShell은 다릅니다. 정책 집행 레이어를 에이전트 프로세스 바깥에 배치합니다. (출처: NVIDIA Developer Blog, 2026.03) 에이전트가 자신을 통제하는 가드레일을 내부에서 우회할 수 없습니다. 프로세스 외부에서 파일시스템·네트워크·추론 라우팅 정책이 집행됩니다.

Privacy Router가 추가된 것도 중요합니다. 민감한 워크로드는 로컬 Nemotron 모델에서 처리하고, 무거운 작업은 클라우드 프런티어 모델로 라우팅하되, 이 결정이 에이전트 판단이 아닌 정책 파일에 따릅니다. 코드·자격증명·고객 데이터가 모델 제공자에게 무심코 흘러가는 가장 흔한 데이터 유출 패턴을 구조적으로 막을 수 있습니다.

하드웨어 의존성에 대해서는 오해가 많습니다. 공식 문서에는 “any dedicated platform”이라고 나옵니다. (출처: NVIDIA Investor Relations 보도자료, 2026.03.16) DGX Spark·DGX Station이 마케팅 중심에 있는 건 사실이지만, Docker가 실행 가능한 환경이라면 NemoClaw를 올릴 수 있습니다. NVIDIA GPU가 없어도 됩니다.

▲ 목차로 돌아가기

보안이 붙었는데 왜 아직 위험한가

NemoClaw 설치 후 “이제 안전하다”고 생각하면 안 되는 이유가 있습니다. 가장 직관과 다른 부분입니다.

모델이 위협을 알아봐도 행동을 멈추지 않는다

1Password의 SCAM 벤치마크 결과가 이 부분을 명확히 보여줍니다. 고성능 모델이 피싱 링크나 위험한 요청을 인식하면서도 그대로 진행하는 사례가 반복 확인됐습니다. (출처: 1Password SCAM Benchmark, 2026) 벤치마크에서 에이전트는 의심스러운 도메인을 클릭하고, 실제 자격증명을 가져오고, 위협을 인식하기 전에 이미 제출했습니다. 인식이 자제를 의미하지 않는다는 점 — 런타임 경계가 모델 판단보다 훨씬 중요한 이유입니다.

실제 CVE로 드러난 취약점 패턴

2026년 1~3월 사이에만 OpenClaw 관련 CVE가 연속 발행됐습니다. 패턴이 있습니다.

(출처: NVD, NIST, 2026년 1~3월 발행 CVE 기준)

CVE-2026-30741은 프롬프트 인젝션이 RCE로 이어진 경우입니다. NemoClaw가 설치된 환경에서도 이 경로는 여전히 존재합니다. OpenShell이 네트워크 이그레스와 파일 접근을 제한하면 피해 범위를 줄일 수 있지만, 모델이 악성 콘텐츠를 보는 것 자체를 막지는 않습니다.

▲ 목차로 돌아가기

지금 당장 프로덕션에 쓰면 안 되는 이유

NVIDIA 공식 GitHub의 NemoClaw 리포지토리에는 이렇게 명시돼 있습니다. “Expect rough edges. We are building toward production-ready sandbox orchestration, but the starting point is getting your own environment up and running.” (출처: NVIDIA GitHub, NemoClaw 리포, 2026.03) 쉽게 말하면, 아직 모서리가 거칩니다. 프로덕션이 아닌 탐색용입니다.

Gartner는 GTC 2026 직후 리포트 제목을 이렇게 달았습니다. “First Take: NVIDIA’s NemoClaw Launch Delivers Convenience, Not an Enterprise Agent Platform.” (출처: Gartner, 2026.03.17) 편의성은 줬지만 엔터프라이즈 플랫폼은 아직 아니라는 평가입니다. 한 번의 명령으로 설치된다는 것과, 그 환경이 프로덕션 워크로드를 감당한다는 건 다른 이야기입니다.

설치하면 해결되는 것과 여전히 손대야 하는 것

NemoClaw 설치만으로는 IAM(Identity and Access Management) 설계를 대신해주지 않습니다. SecurityScorecard는 에이전트 시스템이 공격받을 때 공격자가 상속하는 건 에이전트가 이미 보유한 접근 권한이라고 명시했습니다. (출처: SecurityScorecard, 2026.02) 넓은 자격증명을 쥔 채 잘 격리된 에이전트는, 격리만 잘 됐을 뿐 여전히 위험합니다. OpenShell이 컨테이너를 격리하는 건 맞지만, 에이전트가 프로덕션 DB 접근권을 가진 채 실행된다면 격리가 무색해집니다.

OpenClaw의 공식 보안 문서도 이 부분을 직접 경고합니다. “게이트웨이는 기본적으로 loopback 바인딩 상태이며, 0.0.0.0에 인증 없이 노출하지 마라”는 내용이 있습니다. (출처: OpenClaw 공식 보안 가이드, docs.openclaw.ai) NemoClaw를 설치해도 이 게이트웨이 설정이 잘못돼 있으면 외부 노출은 그대로입니다.

▲ 목차로 돌아가기

OpenClaw vs NemoClaw — 실제 차이점 비교

말로 설명하는 것보다 표로 보는 게 빠릅니다. Spiceworks와 NVIDIA 공식 문서를 교차해서 정리했습니다.

(출처: NVIDIA 공식 문서·Spiceworks 분석, 2026.03 기준 / 약: 추정 포함)

▲ 목차로 돌아가기

NemoClaw를 제대로 쓰려면 갖춰야 할 조건

NVIDIA 공식 문서, Microsoft 보안 블로그, OWASP AI Agent Security Cheat Sheet를 교차해서 보면 공통적으로 나오는 조건들이 있습니다. NemoClaw 설치 전에 이게 안 돼 있으면, 설치해도 실질적으로 달라지는 게 없습니다.

첫째, Reader와 Actor를 분리할 것. 외부 콘텐츠를 읽는 에이전트와 실제로 상태를 변경하는 에이전트는 별개 런타임으로 운영해야 합니다. (출처: OWASP AI Agent Security Cheat Sheet) 이메일·웹·문서를 요약하는 에이전트가 동시에 파일 쓰기·메시지 전송·인프라 수정 권한도 갖고 있으면, 악성 콘텐츠 하나로 전체 실행 체인이 오염됩니다.

둘째, 자격증명을 에이전트 수준에서 최소화할 것. Microsoft는 토큰·API 키·클라우드 주체 등 에이전트가 상속 가능한 모든 자격증명 목록을 작성하고 필요한 것만 남기라고 권장합니다. (출처: Microsoft Security Blog, 2026.02.19) 특정 버킷 읽기만 필요한 에이전트에게 범용 엔지니어 계정을 주지 마세요.

셋째, 스킬을 코드처럼 검토할 것. OpenClaw 스킬은 마크다운 장식이 아닙니다. Trend Micro의 AMOS 배포 캠페인이 보여줬듯, 스킬 파일 하나로 악성 페이로드가 실행됩니다. 프로비넌스 확인·정적 분석·격리 환경 테스트 후 승인하는 프로세스가 필요합니다.

넷째, 게이트웨이 바인딩을 반드시 확인할 것. OpenClaw 기본값은 loopback 바인딩입니다. Docker 사용 시 포트 포워딩 설정과 리버스 프록시 헤더 신뢰 설정이 의도치 않게 외부 노출을 만들 수 있습니다. NemoClaw를 올리기 전에 ss -lntp 로 현재 리스닝 상태를 확인하는 게 먼저입니다.

다섯째, 비가역적 행동에는 사람이 개입할 것. OWASP는 파일 쓰기·메시지 전송·인프라 변경·패키지 설치를 저마찰 기본 동작으로 두지 말라고 합니다. 에이전트가 스스로 판단하기 전에 인간 승인 단계를 넣는 것이 1Password 벤치마크가 드러낸 “인식≠자제” 문제에 대한 현실적인 대응입니다.

▲ 목차로 돌아가기

Q&A — 자주 나오는 5가지 질문

▲ 목차로 돌아가기

마치며 — NemoClaw에 대한 솔직한 총평

젠슨 황이 “OpenClaw는 개인 AI를 위한 운영체제”라고 했고, 그 비유가 완전히 틀리진 않습니다. Linux가 서버 세계의 기반이 된 것처럼, OpenClaw가 에이전트 세계의 공통 플랫폼이 될 가능성은 있습니다. NemoClaw는 그 위에 엔터프라이즈가 탈 수 있는 레이어를 얹으려는 시도고, 방향은 맞습니다.

그런데 솔직히 말하면, 지금 단계에서 “NemoClaw를 깔면 보안이 해결된다”는 생각은 위험합니다. OpenShell이 가져다주는 가장 중요한 변화 — 에이전트 바깥에서 집행하는 정책 레이어 — 는 기술적으로 의미 있는 진전입니다. 하지만 그게 IAM 설계를, 스킬 공급망 검토를, 게이트웨이 노출 관리를 대신해주지는 않습니다.

개발 환경에서 NemoClaw를 올려 아키텍처를 탐색하는 건 지금 당장 해볼 만합니다. 프로덕션 배포 결정은 NVIDIA가 “production-ready”라고 공식 발표할 때까지 미루는 게 맞습니다. 그 이유는 공식 GitHub에 직접 나와 있습니다.

▲ 목차로 돌아가기

📚 본 포스팅 참고 자료

1. ① NVIDIA 공식 보도자료 — NemoClaw 발표 (nvidianews.nvidia.com)
2. ② NVIDIA NemoClaw 공식 페이지 (nvidia.com/ko-kr/ai/nemoclaw)
3. ③ TechCrunch — NemoClaw 분석 기사, 2026.03.16 (techcrunch.com)
4. ④ Spiceworks — NemoClaw 심층 분석, 2026.03.20 (spiceworks.com)
5. ⑤ Penligent — OpenClaw 보안 취약점 및 NemoClaw 한계 분석 (penligent.ai)
6. ⑥ SecurityScorecard — OpenClaw 노출 인스턴스 조사, 2026.02
7. ⑦ Trend Micro — 악성 OpenClaw 스킬 AMOS 배포 캠페인, 2026.02
8. ⑧ NVIDIA Developer Blog — OpenShell 아키텍처 설명 (developer.nvidia.com)
9. ⑨ Forbes / Ron Schmelzer — NemoClaw 전략 분석, 2026.03.17
10. ⑩ NVD NIST — CVE-2026-25253 / CVE-2026-24763 / CVE-2026-25475 / CVE-2026-30741