Alpha Preview
Apache 2.0 오픈소스
NemoClaw 보안 4단계,
공식 문서에서 직접 확인했습니다
OpenClaw에 보안을 씌웠다는 NVIDIA NemoClaw — GTC 2026에서 발표 직후부터 “이제 OpenClaw를 안전하게 쓸 수 있다”는 반응이 쏟아졌습니다. 공식 GitHub과 문서를 직접 뜯어봤더니, 보호되는 것과 보호 안 되는 것의 경계가 생각보다 명확했습니다.
OpenClaw 보안 사고부터 NemoClaw 출시까지의 흐름을 먼저 봐야 합니다
NemoClaw를 이해하려면 왜 나왔는지부터 봐야 합니다. OpenClaw는 2025년 말 Clawdbot이라는 이름으로 처음 공개됐고, 2026년 1월 최종 이름이 확정된 오픈소스 AI 에이전트 프레임워크입니다. GitHub 스타 24만 7천 개를 찍으며 폭발적으로 성장했지만, 그 속도만큼 보안 문제도 빠르게 쌓였습니다.
⚠️ OpenClaw 보안 사고 타임라인
- CVE-2026-25253 (CVSS 8.8): URL 파라미터 인젝션으로 원클릭 원격 코드 실행. gatewayUrl 파라미터에 악성 링크를 심으면 인증 토큰이 탈취됩니다. v2026.1.29에서 패치 완료. (출처: SOCRadar)
- 공개 노출 인스턴스: SecurityScorecard STRIKE 팀이 13만 5천 개 이상 발견. (출처: CrowdStrike 종합 리포트)
- ClawHavoc 캠페인: Bitdefender 감사 기준 1만 700개 이상 스킬 중 824개가 악성으로 판정. (출처: Bitdefender, Koi Security)
- Moltbook 유출: 150만 개 API 키·에이전트 토큰, 475만 건 레코드 평문 유출. (출처: Wiz Blog)
- 2026년 2월 8일: 네이버·카카오·당근 사내 사용 금지 선언. (출처: 연합뉴스)
이런 상황에서 NVIDIA가 2026년 3월 16일 GTC 2026에서 발표한 게 NemoClaw입니다. OpenClaw를 OpenShell 런타임으로 감싸서 보안과 프라이버시 제어를 추가하는 오픈소스 스택입니다. 젠슨 황 CEO는 발표 자리에서 OpenClaw를 “역사상 가장 빠르게 성장한 오픈소스 프로젝트”라고 불렀고, NemoClaw를 그 위에 올라가는 신뢰 인프라로 소개했습니다. (출처: NVIDIA 한국 공식 블로그, 2026.03.16)
NemoClaw가 실제로 막아주는 것 4가지, 공식 문서에 딱 이렇게 나옵니다
공식 GitHub README(github.com/NVIDIA/NemoClaw)에는 Protection Layers 섹션이 별도로 존재합니다. 직접 확인해보니 보호 레이어가 정확히 4개입니다. 각 레이어가 막아주는 것과 적용 시점이 다 다릅니다.
| 레이어 | 보호 대상 | 적용 방식 |
|---|---|---|
| 네트워크 | 허용 목록 외 모든 아웃바운드 차단 | 런타임 중 핫 리로드 가능 |
| 파일시스템 | /sandbox와 /tmp 외 읽기·쓰기 차단 | 샌드박스 생성 시 잠김 |
| 프로세스 | 권한 상승·위험 시스콜 차단 | 샌드박스 생성 시 잠김 |
| 추론(Inference) | 모델 API 호출을 통제된 백엔드로 우회 | 런타임 중 핫 리로드 가능 |
(출처: NVIDIA/NemoClaw GitHub README, Protection Layers 섹션, 2026.03.26 기준)
파일시스템 보호를 구체적으로 보면, Landlock이라는 리눅스 커널 기술을 씁니다. 에이전트가 SSH 키(.ssh/), AWS 자격증명(.aws/credentials), 브라우저 쿠키 같은 경로에 접근하려 해도 커널 수준에서 차단됩니다. 프롬프트 인젝션으로 에이전트를 속여도 유저스페이스에서는 우회가 안 됩니다. 네트워크는 Deny-by-default 방식이라, 에이전트가 허용되지 않은 도메인에 접근하려 하면 TUI에 차단 내역이 뜨고 운영자가 실시간으로 승인 여부를 결정합니다. (출처: NVIDIA NemoClaw 공식 문서, How It Works 섹션)
💡 공식 발표문과 GitHub 코드를 같이 놓고 보니 이런 차이가 보였습니다 — 네트워크·추론 레이어는 “핫 리로드 가능”이고, 파일시스템·프로세스 레이어는 “샌드박스 생성 시 잠김”입니다. 즉 보안의 절반은 설치 직후 바로 고정되고, 나머지 절반은 운영 중에도 조정할 수 있습니다. 정책을 바꾸고 싶을 때 샌드박스를 처음부터 다시 만들 필요가 없다는 뜻입니다.
설치 전에 확인해야 할 조건들 — 홍보 내용과 다른 부분이 있습니다
설치 명령어는 단 한 줄입니다. curl -fsSL https://nvidia.com/nemoclaw.sh | bash — 공식 사이트 홍보 문구도 “단일 명령으로 설치”입니다. 막상 공식 GitHub Prerequisites 섹션을 열어보면 조건이 꽤 구체적입니다.
| 항목 | 최소 | 권장 |
|---|---|---|
| CPU | 4 vCPU | 4+ vCPU |
| RAM | 8 GB | 16 GB |
| 디스크 | 20 GB 여유 | 40 GB 여유 |
| OS | Ubuntu 22.04 LTS 이상 (Linux 기본) | |
| 런타임 | Linux: Docker / macOS: Colima·Docker Desktop / Windows WSL: Docker Desktop | |
(출처: NVIDIA/NemoClaw GitHub README, Prerequisites 섹션, 2026.03.26 기준)
RAM 조건이 핵심입니다. 공식 문서에 직접 이렇게 나와 있습니다. “8GB 미만 RAM에서는 Docker 데몬, k3s, OpenShell 게이트웨이가 동시에 메모리를 사용해 OOM killer가 발생할 수 있다.” 그리고 그 다음 문장이 중요합니다. “8GB 스왑을 구성하면 우회할 수는 있지만, 성능이 느려진다.” 즉 8GB 이하면 스왑으로 버티는 수준입니다. 샌드박스 이미지 자체도 압축 상태에서 약 2.4GB입니다. (출처: NVIDIA/NemoClaw GitHub README)
💡 macOS 사용자가 놓치기 쉬운 부분이 있습니다 — Podman은 아직 미지원입니다. “NemoClaw currently depends on OpenShell support for Podman on macOS”라고 공식 문서에 명시돼 있습니다. macOS에서는 Colima 또는 Docker Desktop만 지원됩니다. Podman Desktop을 쓰고 있다면 설치 전에 반드시 확인해야 합니다.
샌드박스가 완벽해도 잡지 못하는 문제가 따로 있습니다
NemoClaw가 발표된 직후 커뮤니티 반응은 두 가지였습니다. “이제 OpenClaw 안전하게 쓸 수 있다”와 “이건 보안 문제가 아니라 신뢰 문제다”. 두 번째 시각이 훨씬 구체적인 내용을 담고 있었습니다.
Landlock이 파일시스템 접근을 막고, seccomp이 위험 시스콜을 차단하는 건 맞습니다. 그런데 에이전트가 정당한 권한 안에서 한 작업은 아무것도 막지 못합니다. 예를 들어 에이전트가 버그를 발견하고 코드를 고쳤다고 보고하는 상황입니다. 파일 편집 권한이 있고, git push 권한도 있고, 네트워크 허용 목록에 GitHub이 등록돼 있으면 — 샌드박스 입장에서는 정상 동작입니다. 하지만 에이전트가 실제 테스트를 거치지 않고 그럴듯한 패치를 만들었다면, NemoClaw는 그 차이를 감지하지 못합니다. (출처: AugmentedMind, “NemoClaw Is Not the Fix”, 2026.03)
💡 보안(Security)과 신뢰(Trust)는 다른 문제입니다
“보안”은 에이전트가 할 수 있는 것을 제한하는 문제고, “신뢰”는 에이전트가 지금 하는 일이 맞는 일인지를 판단하는 문제입니다. NemoClaw는 전자만 다룹니다. 에이전트가 허용된 범위 안에서 틀린 일을 해도, 샌드박스는 작동 완료로 처리합니다.
이건 NemoClaw의 결함이 아닙니다. 원래 설계 목표가 다릅니다. 공식 문서에서 NemoClaw는 인프라 레이어를 담당한다고 명확히 합니다. 에이전트가 시스템 바깥으로 나가지 못하게 막는 것이 목적입니다. OpenClaw로 인한 자격증명 탈취, 악성 스킬을 통한 데이터 유출 — 이런 문제들은 실제로 막힙니다. 다만 에이전트가 샌드박스 안에서 자신 있게 틀린 작업을 수행하는 건 다른 계층에서 다뤄야 할 문제입니다.
OpenClaw와 NemoClaw, 실질적 차이를 표로 보면 이렇습니다
NemoClaw는 OpenClaw를 교체하는 게 아닙니다. OpenClaw 위에 올라가는 래퍼(wrapper)입니다. 공식 문서 표현을 그대로 옮기면 “OpenClaw always-on assistants를 더 안전하게 실행하는 오픈소스 레퍼런스 스택”입니다. 이 두 가지를 쓰는 관점에서 정리해봤습니다.
| 항목 | OpenClaw (단독) | NemoClaw (OpenShell 포함) |
|---|---|---|
| 설치 방법 | OpenClaw 공식 설치 | curl 스크립트 1줄 (Node.js 20+ 필요) |
| 파일시스템 | 기본 설정 시 풀 액세스 | /sandbox, /tmp 외 Landlock 차단 |
| 네트워크 기본값 | 허용 | Deny-by-default, YAML 허용 목록 |
| API 키 저장 | 에이전트가 직접 접근 가능 | 호스트의 ~/.nemoclaw/credentials.json에 격리, 샌드박스는 inference.local만 인식 |
| 지원 모델 | Claude, GPT, 기타 LLM | NVIDIA Endpoints, OpenAI, Anthropic, Google Gemini, Ollama 로컬 포함 |
| 프로덕션 준비도 | 커뮤니티 운영 | Alpha — 프로덕션 미준비 공식 명시 |
| 운영자 승인 | 없음 | 차단된 요청 TUI에서 실시간 승인 |
(출처: NVIDIA/NemoClaw GitHub, 2026.03.26 기준)
API 키 격리 구조가 실제로 중요한 차이입니다. OpenClaw를 단독으로 쓸 때 에이전트가 직접 API 키에 접근할 수 있었고, 이게 Moltbook 유출의 핵심 원인 중 하나였습니다. NemoClaw는 자격증명을 호스트에 분리 보관하고 샌드박스 내 에이전트에게는 inference.local 경로만 노출합니다. 에이전트는 자신이 어떤 API 키를 쓰는지 알 수 없습니다.
공식 채널에서 크게 강조하지 않은 한 가지가 있습니다
GTC 2026 발표 현장, 공식 블로그, NVIDIA 홈페이지 어디서도 이 문구를 강조하지 않습니다. 그런데 공식 GitHub README 최상단에 굵은 글씨로 박혀 있습니다.
Alpha software
“NemoClaw is available in early preview starting March 16, 2026. This software is not production-ready. Interfaces, APIs, and behavior may change without notice as we iterate on the design. The project is shared to gather feedback and enable early experimentation.”
(출처: NVIDIA/NemoClaw GitHub README, 2026.03.26 기준)
프로덕션 미준비, API와 동작이 예고 없이 바뀔 수 있음 — 이게 현재 NemoClaw의 공식 상태입니다. 즉 OpenClaw의 보안 대안으로 실서비스에 바로 적용하려는 계획이라면, 공식 릴리스 노트와 업데이트 로그를 주기적으로 확인해야 합니다. NVIDIA 개발자 포럼(forums.developer.nvidia.com)에는 이미 DGX Spark 플레이북 오류, Jetson AGX Thor 설치 이슈 같은 실사용 문제들이 올라와 있습니다. (출처: NVIDIA Developer Forum, 2026.03 기준)
💡 Nemotron 3 Super 120B 모델도 같이 발표됐습니다 — GTC 2026에서 NemoClaw와 함께 공개된 이 모델은 OpenClaw 환경에서 LLM 성능을 측정하는 새로운 벤치마크 PinchBench(pinchbench.com)에서 85.6%를 기록했습니다. 동급 오픈 모델 중 최고 수치라고 NVIDIA가 공식 블로그에서 밝혔습니다. DGX Spark 또는 RTX PRO 워크스테이션에서 로컬 실행이 가능합니다. (출처: NVIDIA 한국 블로그, 2026.03)
로컬 모델 실행이 NemoClaw의 또 다른 역할입니다. OpenClaw를 쓸 때 Claude나 GPT 같은 클라우드 모델을 연결하면 모든 대화 내용이 외부 서버로 전송됩니다. NemoClaw의 프라이버시 라우터는 민감한 내용은 로컬 Nemotron 모델로 처리하고, 클라우드 모델이 필요한 경우에만 라우팅하는 구조입니다. 어떤 내용이 어느 모델로 가는지 정책으로 정의할 수 있습니다.
Q&A
Q. NemoClaw를 설치하면 기존 OpenClaw 설정이 사라지나요?
NemoClaw는 기존 OpenClaw를 수정하지 않습니다. 샌드박스 안에 새로운 OpenClaw 인스턴스를 새로 생성합니다. 공식 문서에 “NemoClaw creates a fresh OpenClaw instance inside the sandbox during onboarding”이라고 나와 있습니다. 기존 OpenClaw와 NemoClaw를 동시에 운영하는 것도 가능합니다.
Q. Windows에서도 쓸 수 있나요?
Windows WSL2 환경에서 Docker Desktop(WSL 백엔드)을 쓰면 지원됩니다. 다만 Reddit에 WSL2 + RTX 5090 환경에서 로컬 추론을 설정할 때 기본값이 클라우드 API 연결을 전제로 해서 로컬 네트워크를 강하게 제한한다는 사례가 올라온 바 있습니다. 로컬 Ollama를 쓰려면 추가 설정이 필요합니다.
Q. OpenShell은 오픈소스인가요? 따로 설치해야 하나요?
OpenShell은 Apache 2.0 라이선스 오픈소스입니다(github.com/NVIDIA/OpenShell). NemoClaw 설치 스크립트를 실행하면 자동으로 함께 설치됩니다. 별도 설치 없이 nemoclaw onboard 명령어 하나로 OpenShell 게이트웨이, 샌드박스, 추론 제공자 설정이 한 번에 완료됩니다.
Q. 네트워크 정책을 바꾸려면 샌드박스를 다시 만들어야 하나요?
아닙니다. 네트워크·추론 레이어는 핫 리로드가 가능합니다. openshell policy set <policy-file> 명령으로 실행 중인 샌드박스에 바로 적용됩니다. 다만 이 방법은 세션에만 적용되고 재시작하면 초기화됩니다. 영구 적용하려면 openclaw-sandbox.yaml 파일을 수정한 후 nemoclaw onboard를 다시 실행해야 합니다.
Q. NemoClaw 안에서 Claude Code나 Cursor 같은 코딩 에이전트도 쓸 수 있나요?
공식 문서와 NVIDIA 개발자 블로그에서 OpenShell이 Claude Code, Codex, Cursor, OpenCode와 호환된다고 밝히고 있습니다. NemoClaw 샌드박스 안에서 이 에이전트들을 실행하면 OpenShell의 정책이 동일하게 적용됩니다. 실제로 Reddit에서 NemoClaw 샌드박스 내부에서 Nemotron을 Ollama 백엔드로 완전 로컬 구동하는 사례가 공유된 바 있습니다.
마치며
NemoClaw는 OpenClaw가 실제로 겪은 문제들 — 자격증명 탈취, 악성 스킬, 무방비 네트워크 노출 — 을 커널 수준에서 막는 인프라 레이어입니다. 공식 문서 기준으로 보호 레이어 4개는 실제로 작동하고, API 키 격리 구조도 기존 OpenClaw 단독 사용 대비 명확한 개선입니다.
다만 지금 당장 실서비스에 올리기에는 공식적으로 Alpha 상태입니다. 인터페이스와 동작이 예고 없이 바뀔 수 있다고 NVIDIA가 직접 명시했습니다. OpenClaw를 대체하는 게 아니라 그 위에 보안 레이어를 추가하는 구조이기도 합니다. 샌드박스 안에서 에이전트가 허용된 범위 내에서 잘못된 작업을 수행하는 문제는 NemoClaw의 설계 범위 밖입니다.
솔직히 말하면, 지금은 “OpenClaw를 쓰고 싶은데 보안이 불안했던” 개발자나 연구자에게 적합한 도구입니다. 엔터프라이즈 환경에서 완성된 솔루션을 기대하기엔 아직 빠릅니다. NVIDIA가 커뮤니티 피드백을 받아 빠르게 발전시키고 있으니, 몇 달 후의 스테이블 릴리스를 보고 다시 평가하는 게 맞을 것 같습니다.
본 포스팅 참고 자료
- NVIDIA NemoClaw 공식 홈페이지 — https://www.nvidia.com/ko-kr/ai/nemoclaw/
- NVIDIA/NemoClaw GitHub — https://github.com/NVIDIA/NemoClaw
- NVIDIA 한국 공식 블로그 (NemoClaw 발표, 2026.03.16) — https://blogs.nvidia.co.kr/blog/nvidia-announces-nemoclaw/
- NVIDIA 한국 블로그 (RTX AI Garage, GTC 2026) — https://blogs.nvidia.co.kr/blog/rtx-ai-garage-gtc-2026-nemoclaw/
- NVIDIA Developer Blog (OpenShell) — developer.nvidia.com
- AugmentedMind, “NemoClaw Is Not the Fix” (2026.03) — augmentedmind.substack.com
- CrowdStrike, OpenClaw Security Report — crowdstrike.com
본 포스팅은 2026년 3월 26일 기준 공개된 공식 자료를 바탕으로 작성되었습니다. NemoClaw는 현재 Alpha(얼리 프리뷰) 단계이며, 본 포스팅 작성 이후 서비스 정책·UI·기능이 예고 없이 변경될 수 있습니다. 설치 전 반드시 최신 공식 GitHub 릴리스 노트를 확인하세요.
댓글 남기기