NemoClaw v0.1.x (Alpha)
NemoClaw 직접 써봤습니다 — 제한이 있습니다
OpenClaw가 GitHub 스타 60일 만에 React의 10년 기록을 깼습니다. 321,000개. 역사상 가장 빠르게 성장한 오픈소스 프로젝트입니다. NVIDIA는 그 위에 보안 레이어를 얹어 NemoClaw를 GTC 2026에서 발표했습니다. 근데 막상 설치해 보면, 이게 완성된 제품이 아닙니다.
NemoClaw가 뭔지 먼저 정리합니다
결론부터 말씀드리면, NemoClaw는 새로운 AI 에이전트가 아닙니다. OpenClaw를 그대로 실행하되, 그 주변에 NVIDIA가 만든 보안 울타리를 둘러싼 구조입니다. (출처: NVIDIA 공식 NemoClaw 페이지, 2026.03.17)
구체적으로는 OpenShell이라는 런타임이 핵심입니다. 파일 접근, 네트워크 연결, 프로세스 권한 상승을 에이전트 프로세스 바깥에서 제어합니다. 에이전트가 아무리 이상한 명령을 받아도 샌드박스 밖으로는 나가지 못하도록 잠가두는 방식이죠.
젠슨 황 NVIDIA CEO는 GTC 2026 키노트에서 이렇게 말했습니다. “맥과 윈도우가 개인용 컴퓨터의 운영체제라면, OpenClaw는 개인용 AI의 운영체제다.” (출처: NVIDIA 공식 보도자료, 2026.03.16) NemoClaw는 그 운영체제에 보안 패치를 더하는 레이어입니다. 에이전트를 바꾸는 게 아니라 환경을 바꾸는 겁니다.
💡 공식 발표문과 GitHub 설치 문서를 같이 놓고 보니 이런 차이가 보였습니다. OpenClaw가 직원이라면, NemoClaw는 잠금장치가 달린 건물입니다. 직원은 똑같은 일을 하지만 건물이 출입을 통제합니다.
OpenClaw에 무슨 일이 있었나
OpenClaw는 2025년 11월 오스트리아 개발자 Peter Steinberger가 만든 오픈소스 AI 에이전트 프레임워크입니다. WhatsApp, Telegram, Slack, iMessage 등 25개 이상의 채널과 연결해 에이전트가 자율적으로 작업을 수행하는 구조입니다. 출시 60일 만에 GitHub 스타 321,000개를 기록해 React의 10년 기록을 넘어섰습니다. (출처: star-history.com, 2026.03.01) 역대 가장 빠르게 성장한 오픈소스 프로젝트입니다.
그런데 성장이 빠를수록 취약점 보고도 빠르게 쌓였습니다. 2026년 1월부터 3월까지 CVE가 6개 공개됐습니다. 그 중 CVE-2026-25253은 원격 코드 실행 취약점으로 17,500개 인터넷 노출 인스턴스에 영향을 줬습니다. (출처: NVD, 2026.02.04) 이 숫자는 수치가 아니라 실제 공격 표면입니다.
공식 스킬 마켓인 ClawHub에서도 문제가 터졌습니다. 13,729개 커뮤니티 스킬 중 약 900개가 악성 패키지로 확인됐습니다. (출처: Bitdefender 보안 연구, 2026.02) 약 20%입니다. API 키 탈취와 원격 코드 실행을 시도하는 ClawHavoc 캠페인에서만 335개의 악성 스킬이 나왔습니다.
💡 SecurityScorecard 조사에 따르면 전 세계 82개국에서 42,900개의 OpenClaw 인스턴스가 인터넷에 노출됐고, 이 중 35.4%가 취약점이 있는 상태였습니다. (출처: SecurityScorecard STRIKE 팀 보고서, 2026.02.11) 단 24시간 만에 40,000개 이상의 노출 인스턴스를 확인했습니다.
NemoClaw가 실제로 하는 것
NemoClaw는 OpenShell을 통해 4개 레이어에서 격리를 적용합니다. 네트워크, 파일시스템, 프로세스, 추론 경로가 각각 독립적으로 제어됩니다. (출처: NVIDIA GitHub NemoClaw README, 2026.03.16)
| 레이어 | 하는 일 | 설치 후 변경 가능? |
|---|---|---|
| 네트워크 | 허용 목록 외 모든 외부 연결 차단 | 가능 (핫 리로드) |
| 파일시스템 | /sandbox, /tmp 외 모든 경로 차단 | 불가 (생성 시 고정) |
| 프로세스 | 권한 상승·위험 syscall 차단 (Landlock, seccomp) | 불가 (생성 시 고정) |
| 추론 | 모든 AI 모델 API 호출을 내부 게이트웨이로 라우팅 | 가능 (핫 리로드) |
가장 중요한 설계 원칙은 프로세스 외부 정책 집행입니다. 에이전트 프로세스 안에 있는 프롬프트 레벨 가드레일과 달리, OpenShell의 보안 경계는 에이전트가 어떤 명령을 받아도 스스로 무력화할 수 없습니다. (출처: NVIDIA Developer 공식 블로그, 2026.03.18) 에이전트가 조작돼도 샌드박스 벽은 그대로입니다.
프라이버시 라우터도 실질적인 차이를 만듭니다. 민감한 데이터는 로컬 Nemotron 모델에서 처리하고, 복잡한 쿼리만 클라우드 API로 내보내는 방식입니다. OpenClaw는 컨텍스트 전체를 무필터로 외부 모델에 전송합니다. 코드, 자격증명, 고객 데이터가 로그에도 모르게 외부로 나갈 수 있습니다.
보안이 강해졌다는 말이 틀린 조건
많은 국내 SNS와 단문 뉴스에서 “NemoClaw = OpenClaw 보안 해결”처럼 요약합니다. 직접 문서를 보면 그렇지 않습니다.
첫 번째: 프롬프트 인젝션은 여전히 막지 못합니다. OWASP AI 에이전트 보안 체크리스트는 간접 프롬프트 인젝션을 에이전트 시스템의 1순위 위험으로 분류합니다. (출처: OWASP AI Agent Security Cheat Sheet) 웹페이지, 이메일, 문서, 로그, 붙여넣은 코드 — 어디서든 악성 지시가 들어올 수 있습니다. OpenShell은 에이전트가 그 지시에 따라 실행하는 행동의 피해 범위를 줄일 수 있지만, 애초에 악성 내용을 보는 것 자체는 막지 못합니다.
두 번째: 악성 스킬·서플라이체인 문제는 해결되지 않았습니다. Trend Micro는 OpenClaw 스킬을 통해 macOS용 악성코드 AMOS가 배포된 캠페인을 문서화했습니다. GitHub에서 2,200개 이상의 악성 스킬을 확인했습니다. (출처: Trend Micro 보안 연구, 2026.02.23) 샌드박스가 피해 범위를 줄여주지만, 스킬 자체를 검증해주지는 않습니다.
세 번째: 자격증명이 광범위하면 샌드박스도 소용없습니다. SecurityScorecard 연구에서 에이전트를 탈취했을 때 공격자는 그 에이전트가 이미 가진 권한을 그대로 상속받는다고 지적합니다. NemoClaw는 격리 환경을 개선하지만, 에이전트에 과도한 자격증명이 붙어있으면 달라지는 게 없습니다. IAM 설계는 여전히 운영자 몫입니다.
💡 1Password SCAM 벤치마크는 고성능 모델조차 피싱 링크를 인식하면서도 자격증명을 제출하는 행동을 멈추지 않는 경우가 있다는 결과를 냈습니다. (출처: 1Password AI Agent Security Benchmark, 2026) 인식은 억제가 아닙니다. 더 나은 런타임 경계가 모델의 판단 실패를 커버하지는 못합니다.
설치하면 막히는 것들
GitHub README에 명확하게 적혀 있습니다. “NemoClaw는 2026년 3월 16일부터 얼리 프리뷰로 제공됩니다. 이 소프트웨어는 프로덕션 준비가 되지 않았습니다. 인터페이스, API, 동작은 설계 반복 중에 예고 없이 변경될 수 있습니다.” (출처: NVIDIA/NemoClaw GitHub, 2026.03.16) 알파입니다.
운영체제 지원도 제한적입니다. 현재 공식 지원은 Ubuntu 22.04 LTS 이상만 기본 경로입니다. macOS는 Colima나 Docker Desktop을 통해 지원하지만, Podman은 아직 미지원입니다. Windows WSL은 Docker Desktop WSL 백엔드로 지원 예정이지만 기본 경로가 아닙니다. (출처: NVIDIA/NemoClaw GitHub README)
하드웨어 요구사항도 OpenClaw보다 훨씬 높습니다. 최소 8GB RAM, 권장 16GB가 필요합니다. 샌드박스 이미지 자체가 압축 기준 약 2.4GB입니다. Docker 데몬, k3s, OpenShell 게이트웨이가 동시에 실행되므로 8GB 미만에서는 OOM Killer가 발동할 수 있습니다. (출처: NVIDIA/NemoClaw GitHub README) OpenClaw가 1.5GB RAM에서 돌아가는 것과 대조적입니다.
기존 OpenClaw 설정 이전도 원클릭으로 안 됩니다. NemoClaw는 신규 OpenClaw 인스턴스를 샌드박스 안에 새로 생성합니다. 기존 스킬과 메모리 파일을 수동으로 이전해야 하고, 이전 환경에서 제한 없이 사용하던 스킬이 새 정책에서 차단될 수 있습니다. 이것은 버그가 아니라 설계 의도입니다.
💡 NemoClaw API 가격은 아직 공개되지 않았습니다. 기본 추론 모델인 Nemotron 3 Super 120B는 NVIDIA 클라우드 API(integrate.api.nvidia.com)를 통해 호출되지만, 엔터프라이즈 티어 요금 구조는 공식 문서에서 별도 이유를 밝히지 않은 채 공개되지 않은 상태입니다.
OpenClaw 그냥 쓰면 되는 경우 vs NemoClaw가 필요한 경우
이 두 가지를 구분하는 기준은 하나입니다. 에이전트가 실제 데이터·시스템에 접근하는지 여부입니다.
| 상황 | OpenClaw | NemoClaw |
|---|---|---|
| 개인 실험·학습 목적 | ✅ 충분 | 과도한 구성 |
| Windows / macOS만 사용 가능 | ✅ 지원 | Linux만 완전 지원 |
| CRM·이메일·결제 API 접근 | ⚠️ 위험 | ✅ 권장 |
| 금융·헬스케어 규제 환경 | 감사 로그 없음 | ✅ 감사 추적 포함 |
| RAM 8GB 미만 환경 | 최소 1.5GB | OOM 위험 |
| 프로덕션 즉시 배포 | 조건부 | Alpha — 미권장 |
Adobe, Salesforce, SAP, CrowdStrike 등 기업이 NemoClaw 파트너로 이름을 올렸지만, 이것은 통합 파트너십이지 프로덕션 배포를 의미하지 않습니다. NemoClaw가 알파를 벗어난 이후의 이야기입니다. 지금 당장 프로덕션에 투입하겠다는 계획이라면, 공식 GitHub에서 경고하는 “interfaces and behavior may change without notice”를 다시 읽어볼 필요가 있습니다.
Q&A
Q1. NemoClaw는 지금 당장 무료로 쓸 수 있나요?
소프트웨어 자체는 Apache 2.0 라이선스로 무료입니다. 하지만 기본 추론 모델인 Nemotron 3 Super 120B를 NVIDIA 클라우드 API로 사용할 때의 요금은 공식 문서에서 아직 공개되지 않았습니다. 엔터프라이즈 티어 요금도 마찬가지입니다. 로컬 Ollama 모델을 연결하면 추론 비용 없이 사용할 수 있지만, Linux + Docker 환경이 필수입니다.
Q2. 기존 OpenClaw를 NemoClaw로 업그레이드할 수 있나요?
현재는 기존 OpenClaw 설치에 NemoClaw를 덮어씌우는 방식이 지원되지 않습니다. 신규 설치 후 기존 ~/.openclaw/ 디렉터리의 상태·스킬 파일을 수동으로 이전해야 합니다. 이 과정에서 기존 스킬이 새 네트워크 정책에 의해 차단될 수 있습니다. (출처: NVIDIA/NemoClaw GitHub 공식 문서)
Q3. OpenClaw CVE 취약점은 NemoClaw를 쓰면 자동으로 해결되나요?
아닙니다. CVE-2026-30741(프롬프트 인젝션 RCE)처럼 OpenClaw 자체 코드에 있는 취약점은 OpenClaw 버전 업데이트로만 수정됩니다. NemoClaw는 취약점 발생 시 피해 범위를 제한하는 역할이지, 취약점 자체를 패치하지 않습니다. OpenClaw를 최신 버전으로 유지하는 것은 NemoClaw와 별도로 필요합니다.
Q4. NemoClaw에서 Claude나 GPT-4o를 사용할 수 있나요?
가능합니다. NemoClaw는 기본값으로 Nemotron 3 Super 120B를 사용하지만, Anthropic Claude, OpenAI GPT 계열, Google Gemini도 OpenShell 게이트웨이를 통해 연결할 수 있습니다. 단, 모든 추론 요청은 OpenShell 게이트웨이를 통해 라우팅되므로 프라이버시 라우터 정책이 적용됩니다. (출처: NVIDIA/NemoClaw GitHub README)
Q5. NVIDIA GPU가 없어도 NemoClaw를 설치할 수 있나요?
설치는 됩니다. NemoClaw는 NVIDIA GPU 없이도 실행 가능하며, CPU 기반 로컬 모델이나 클라우드 API를 추론 백엔드로 사용할 수 있습니다. 다만 Nemotron 3 Super 120B를 로컬에서 실행하려면 NVIDIA GPU가 사실상 필요합니다. NVIDIA DGX Spark, DGX Station, GeForce RTX PC에서 GPU 패스스루가 지원됩니다. (출처: NVIDIA 공식 NemoClaw 페이지)
마치며
NemoClaw의 방향성은 맞습니다. 에이전트가 실제 시스템에 접근하는 순간, 런타임 보안은 선택이 아닙니다. OpenShell이 프로세스 외부에서 정책을 집행하는 설계는 기존 “에이전트한테 조심하라고 프롬프트를 잘 짜자”는 방식보다 구조적으로 우월합니다.
그런데 지금 당장 쓰기에는 제약이 많습니다. 알파 소프트웨어, Linux 의존성, 높은 하드웨어 요구사항, 아직 공개되지 않은 API 요금, 프롬프트 인젝션과 악성 스킬에 대한 미완성 방어. 이것들을 모두 알고 도입하면 괜찮습니다. 모르고 “NVIDIA가 발표한 보안 AI 에이전트”라는 인상만으로 프로덕션에 올리면 문제가 생깁니다.
솔직히 말하면, 지금 시점에서 가장 현명한 사용법은 격리된 테스트 환경에서 구조를 이해하는 것입니다. NemoClaw가 알파를 벗어날 때쯤이면 지금 이 구조를 알고 있는 것이 유리합니다.
본 포스팅 참고 자료
본 포스팅은 2026년 3월 27일 기준으로 작성됐습니다. NemoClaw는 현재 얼리 프리뷰(Alpha) 상태이며, 본 포스팅 작성 이후 서비스 정책·UI·기능·API 요금이 변경될 수 있습니다. OpenClaw 및 관련 CVE 현황은 지속적으로 업데이트되므로 NVD(nvd.nist.gov) 및 NVIDIA 공식 보안 공지를 주기적으로 확인하시기 바랍니다.
댓글 남기기