NemoClaw, 설치 한 번으로 끝난다고요?
NVIDIA가 GTC 2026에서 발표한 NemoClaw는 단 한 줄의 명령어로 OpenClaw에 보안 레이어를 얹는다고 했습니다. 근데 솔직히 말하면, 발표 당일 이미 공개된 CVE가 있었습니다. 설치 한 번으로 진짜 끝나는 건지, 직접 공식 문서와 보안 연구 보고서를 교차해서 따져봤습니다.
🔐 CVE-2026-25253 CVSS 8.8
🧱 3레이어 아키텍처 필수
OpenClaw가 뭔지부터 짚고 넘어가야 합니다
NemoClaw를 이해하려면 OpenClaw를 먼저 알아야 합니다. OpenClaw는 개발자 Peter Steinberger가 만든 오픈소스 AI 에이전트 프레임워크입니다. 코드를 짜고, 파일을 읽고, 웹을 검색하고, 외부 툴과 연결하는 등 사람이 컴퓨터에서 하는 거의 모든 작업을 자율적으로 수행하는 에이전트를 누구나 만들 수 있게 해줍니다.
숫자가 실감이 안 될 수도 있는데, OpenClaw의 GitHub 스타는 2025년 11월 출시 후 3주 만에 Linux 전체 스타 수를 넘어섰고, 그로부터 약 2주 후 React(24만 3천 개)마저 추월해 현재 328,000개를 넘겼습니다. (출처: Star History Blog, 2026.03.01) Linux가 30년 걸린 궤적을 3주에 달성한 셈입니다. 이게 단순 허프가 아니라는 증거입니다.
Jensen Huang은 GTC 2026 키노트에서 “Mac과 Windows가 개인용 컴퓨터의 운영체제라면, OpenClaw는 개인 AI의 운영체제”라고 선언했습니다. (출처: NVIDIA 공식 보도자료, 2026.03.16) NemoClaw는 바로 이 OpenClaw 위에 NVIDIA가 얹은 보안·프라이버시 레이어입니다.
NemoClaw가 실제로 하는 일 3가지
설치는 딱 한 줄입니다.
$ curl -fsSL https://nvidia.com/nemoclaw.sh | bash
이 한 줄이 실행하면 아래 세 가지가 한꺼번에 설치됩니다. (출처: NVIDIA 공식 보도자료, 2026.03.16)
| 구성 요소 | 역할 | 커버 범위 |
|---|---|---|
| NVIDIA OpenShell | 에이전트 실행 샌드박스 | 런타임 정책, 네트워크 제어 |
| Nemotron 3 | 로컬 실행 오픈 LLM | 온프레미스 추론, 프라이버시 라우터 |
| Agent Toolkit | 에이전트 최적화 라이브러리 | cuDF, cuOPT 등 NVIDIA 생태계 연동 |
RTX PC, DGX Station, DGX Spark까지 클라우드뿐 아니라 온프레미스 어디서나 24시간 에이전트를 돌릴 수 있게 해주는 게 목표입니다. 클라우드에 올리기 민감한 데이터를 로컬에서 처리할 수 있다는 게 핵심 셀링 포인트입니다.
발표 당일 이미 터진 보안 구멍
💡 공식 발표문과 동시에 공개된 CVE 보고서를 같이 놓고 보니, ‘NemoClaw = 보안 문제 해결’이라는 공식이 완성된 그림이 아닙니다.
NemoClaw 발표 시점에 이미 OpenClaw에는 공개된 심각한 취약점이 존재했습니다. Oasis Security가 공개한 CVE-2026-25253은 CVSS 점수 8.8로, 악성 웹사이트 하나만으로 개발자의 AI 에이전트를 원격에서 탈취할 수 있는 취약점입니다. 플러그인도, 브라우저 확장 프로그램도, 사용자 클릭도 필요 없습니다. (출처: Dark Reading, CVE-2026-25253 공개 보고서)
더 불편한 수치도 있습니다. 보안 연구팀 Koi Security가 OpenClaw의 공개 마켓플레이스인 ClawHub를 전수 조사한 결과, 전체 스킬 중 12%가 악성으로 확인됐습니다. 키로거와 인포스틸러를 배포하는 스킬이 버젓이 올라와 있던 겁니다. (출처: Kiteworks 보안 분석 보고서, 2026.03.17)
⚠️ 공개 인터넷 노출 사례
Bitsight 조사에 따르면, 공개 인터넷에 노출된 OpenClaw 인스턴스 수는 30,000개 이상이며, 이 중 상당수에서 API 키, 채팅 기록, 인증 정보가 그대로 노출됐습니다. (출처: Bitsight 보안 보고서, 2026.02 공개)
Gartner는 OpenClaw를 “높은 유용성을 가졌지만 기본값이 안전하지 않은 에이전틱 AI의 위험한 미리보기”로 규정했고, Microsoft 보안팀은 “완전히 격리된 환경에서만 배포하라”고 공식 권고했습니다. (출처: Kiteworks 보안 분석, 2026.03.17)
로컬 실행이 오히려 더 위험할 수 있는 이유
💡 “로컬 실행 = 데이터 안전”이라는 직관적인 연결고리가, 상황에 따라 반대 방향으로 작동할 수 있습니다.
NemoClaw의 가장 큰 홍보 포인트 중 하나가 “Nemotron 3을 RTX PC나 DGX에서 로컬로 돌릴 수 있어 데이터가 클라우드로 나가지 않는다”는 것입니다. 실제로 맞는 말입니다. 프롬프트와 추론 결과가 외부로 나가지 않으니 데이터 주권 측면에서 개선된 것은 사실입니다.
그런데 Microsoft 보안팀이 공식 경고에서 짚은 부분이 있습니다. 로컬에서 실행되는 에이전트는 해당 머신의 전체 권한(privilege set)을 그대로 상속합니다. (출처: Microsoft Security Blog, 2026.02.19) 클라우드 API를 통할 때는 최소한 클라우드 제공사의 보안 팀이 중간 장벽 역할을 했지만, 로컬 실행에서는 그 장벽이 없습니다. 에이전트가 손상되면 해당 머신에 연결된 파일시스템, 네트워크 드라이브, 자격증명 전체가 공격 반경에 들어옵니다.
쉽게 말하면, 클라우드를 쓸 때는 뚫어야 할 문이 두 개인데 로컬로 오면 문이 하나로 줄어드는 구조입니다. OpenShell의 샌드박스가 그 문 역할을 하지만, NemoClaw가 “얼리 프리뷰” 상태인 지금은 이 샌드박스의 강도가 충분히 검증되지 않았습니다.
NemoClaw가 커버하는 것과 커버 못 하는 것
이 부분이 한국어 블로그에서 제대로 다뤄지지 않은 핵심입니다. NemoClaw(OpenShell 포함)가 제공하는 보안은 런타임 레이어, 즉 에이전트가 어떤 툴을 쓸 수 있는지, 어떤 네트워크 경로를 허용하는지를 제어합니다. 그런데 기업 환경에서 요구하는 보안 체계는 3개 레이어로 나뉩니다. (출처: Kiteworks 보안 분석 보고서, 2026.03.17)
| 레이어 | 담당 영역 | NemoClaw 커버 여부 | 비고 |
|---|---|---|---|
| Layer 1: 컴퓨트·모델 | 어디서 추론할지, 어떤 모델 쓸지 | ✅ 커버 | DGX, RTX, Nemotron 3 |
| Layer 2: 런타임·정책 | 에이전트 실행 방식, 샌드박스, 네트워크 | ✅ 커버 | OpenShell이 담당 |
| Layer 3: 데이터 거버넌스 | 어떤 파일 접근, 규정 준수, 감사 로그 | ❌ 미커버 | HIPAA, CMMC, PCI DSS 해당 |
Kiteworks의 2026년 조사에 따르면, 전체 기업 중 43%만 중앙화된 AI 데이터 게이트웨이를 운영하고 있고, 63%는 에이전트의 목적 외 데이터 접근을 막을 수단이 없습니다. (출처: Kiteworks 2026 Data Security, Compliance & Risk Forecast) 나머지 57%는 에이전트가 무엇에 접근하는지 추적조차 안 됩니다.
개인 개발 용도로 쓴다면 NemoClaw 하나로도 충분할 수 있습니다. 그런데 기업 내부 시스템에 연결해서 쓴다면, Layer 3 없이 NemoClaw만 쓰는 건 자물쇠 달린 문을 만들어놓고 창문을 열어두는 것과 같습니다.
Nemotron 3 Super, 성능 수치 직접 따져보기
NemoClaw와 함께 발표된 Nemotron 3 Super는 1,200억 파라미터 모델입니다. NVIDIA 공식 키노트에서 Jensen이 직접 OpenClaw에 가장 잘 맞는 오픈 모델이라고 발표했고, WebDev Arena 리더보드 기준 4위(85.6%)로 소개됐습니다. (출처: WccfTech, GTC 2026 키노트 실황 분석, 2026.03.16)
NVIDIA 공식 보도자료는 Nemotron 3 Ultra에 대해 “Blackwell 플랫폼에서 NVFP4 포맷 적용 시 처리량(throughput) 효율 5배 향상”을 명시했습니다. (출처: NVIDIA 공식 보도자료, 2026.03.16) 즉 같은 하드웨어에서 5배 더 많은 추론 요청을 처리할 수 있다는 말인데, 이는 온프레미스 비용 구조를 크게 바꿀 수 있는 수치입니다.
다만 Nemotron 3 Super는 현재 “최신 출시된” 상태로, 120B 파라미터 모델을 로컬 RTX PC에서 원활하게 돌리려면 최소 RTX 5090급 이상의 VRAM이 필요합니다. 일반 개발자 환경에서 곧바로 full local 실행이 가능한 모델이 아니라는 점은 짚어둘 필요가 있습니다.
💡 클라우드 프런티어 모델과 로컬 Nemotron을 전환하는 ‘프라이버시 라우터’가 있어서, 민감한 데이터는 로컬로 처리하고 복잡한 작업은 클라우드로 보내는 혼합 운용이 가능합니다.
VentureBeat 기사에서 짚은 것처럼, Nemotron 3 가문은 Super·Ultra·Omni·VoiceChat 네 가지로 나뉩니다. Omni는 텍스트·오디오·비전을 모두 처리하고, VoiceChat은 STT와 TTS를 동시에 처리하며 실시간 대화를 지원합니다. (출처: VentureBeat, 2026.03.16) 에이전트에 맞는 모델을 골라 붙이는 구조입니다.
Q&A 5가지
마치며
NemoClaw는 분명히 의미 있는 발걸음입니다. 단 한 줄로 에이전트 런타임 보안을 올리고, 로컬 모델을 바로 붙일 수 있게 해주는 구조는 기존 OpenClaw의 가장 큰 약점을 정면으로 건드렸습니다.
그런데 발표 당일 이미 CVSS 8.8짜리 CVE가 공개됐고, ClawHub 스킬의 12%가 악성이었다는 사실을 같이 놓고 보면, “설치 한 번으로 끝난다”는 프레이밍은 정확하지 않습니다. NemoClaw는 현재 얼리 프리뷰 버전이고, 기업 규제 환경에서 필요한 데이터 거버넌스 레이어는 별도로 챙겨야 합니다.
개인 개발자라면 지금 당장 써볼 가치가 있습니다. 기업 도입을 고민한다면, Layer 3까지 포함한 3레이어 아키텍처를 염두에 두고 계획을 세우는 게 나중에 뒤집어엎는 것보다 훨씬 낫습니다.
📚 본 포스팅 참고 자료
- NVIDIA 공식 보도자료 — NemoClaw 발표 (2026.03.16) · nvidianews.nvidia.com
- NVIDIA 공식 페이지 — NemoClaw 제품 소개 · nvidia.com/ko-kr/ai/nemoclaw
- VentureBeat — NemoClaw brings privacy and security controls to OpenClaw (2026.03.16) · venturebeat.com
- Kiteworks 보안 분석 — OpenClaw Security Risks: AI Strategy Gaps (2026.03.17) · kiteworks.com
- HPCwire — NVIDIA Introduces NemoClaw to Expand OpenClaw Beyond the Model Layer (2026.03.18) · hpcwire.com
- WccfTech — NVIDIA Launches NemoClaw to Fix What OpenClaw Broke (2026.03.16) · wccftech.com
- Star History Blog — OpenClaw Surpasses React (2026.03.01) · star-history.com
본 포스팅 작성 이후 서비스 정책·UI·기능이 변경될 수 있습니다. NemoClaw는 2026년 3월 기준 얼리 프리뷰 버전이며, 정식 출시 시 사양·기능·요금이 달라질 수 있습니다. 보안 취약점 관련 정보는 공식 NVIDIA 채널 및 CVE 데이터베이스를 통해 최신 정보를 확인하세요.
댓글 남기기