NemoClaw 얼리 프리뷰
NVIDIA GTC 2026 발표
NemoClaw, 안전하다고요?
이게 먼저입니다
NVIDIA가 GTC 2026에서 발표한 NemoClaw는 “단 한 줄의 명령어로 안전한 AI 에이전트를 배포한다”고 합니다. 근데 그 말이 사실이 되려면, 먼저 OpenClaw가 얼마나 위험했는지를 알아야 합니다.
(Koi Security 감사)
원클릭 원격 코드 실행
소모 토큰 수(실측)
OpenClaw가 터뜨린 사고 — 수치로 보는 실제 규모
NemoClaw를 제대로 이해하려면, 먼저 NemoClaw가 왜 만들어졌는지를 봐야 합니다. 결론부터 말씀드리면, NVIDIA가 NemoClaw를 발표한 건 OpenClaw가 이미 심각한 보안 사고를 여러 건 터뜨린 이후였습니다.
2026년 초, OpenClaw는 GitHub 별 18만 개를 찍으며 역대 오픈소스 프로젝트 중 가장 빠르게 성장한 프로젝트 중 하나가 됐습니다. AI 연구자 Andrej Karpathy가 직접 극찬했고, 개인 AI 비서 시대를 여는 도구로 주목받았죠. 젠슨 황 CEO도 GTC 2026 키노트에서 “개인용 AI의 운영 체제”라고 불렀습니다 (출처: NVIDIA 공식 블로그, 2026.03.17).
⚠️ 공식 보안 감사에서 확인된 수치들
- CVE-2026-25253 (CVSS 8.8) — 원클릭 원격 코드 실행.
gatewayUrl파라미터 악성 링크 삽입으로 인증 토큰 탈취 (출처: OpenClaw GitHub Security Advisory) - 인터넷에 무방비 노출된 인스턴스 4만~13만 5천 개 (출처: 보안 기업 Wiz 보고서, 2026.02)
- Moltbook 플랫폼에서 150만 개 API 토큰 평문 유출
- ClawHub 스킬 2,857개 중 341개(약 12%) 악성 분류 — “ClawHavoc” 조직적 공격 캠페인 (출처: Koi Security 감사 보고서, 2026.02)
- 2026년 2월 8일, 네이버·카카오·당근이 사내 사용 공식 금지
12%라는 수치가 체감이 잘 안 된다면 이렇게 생각해볼 수 있습니다. 앱스토어에서 다운로드하는 앱 8개 중 1개가 악성코드라면, 아무도 그 앱스토어를 쓰지 않겠죠. NemoClaw는 그 구조적 문제에 대한 NVIDIA의 답변입니다.
NemoClaw가 등장한 진짜 이유
NVIDIA는 GTC 2026에서 NemoClaw를 “OpenClaw에 개인정보 보호 및 보안 제어를 추가하는 오픈소스 스택”으로 정의했습니다 (출처: nvidia.com/ko-kr/ai/nemoclaw). 이 표현에 포인트가 있습니다. “대체”가 아니라 “추가”입니다.
NemoClaw는 OpenClaw를 갈아엎는 게 아닙니다. OpenClaw 위에 신뢰 레이어를 얹는 구조입니다. 설치도 단 한 줄입니다:
$ curl -fsSL https://nvidia.com/nemoclaw.sh | bash
이 한 줄이 실행되면 NVIDIA Nemotron 오픈 모델과 OpenShell 런타임이 함께 설치됩니다. 이후 nemoclaw onboard를 실행하면 에이전트 초기 설정까지 완료됩니다 (출처: NVIDIA NemoClaw 공식 페이지).
핵심은 로컬과 클라우드를 구분하는 프라이버시 라우터입니다. 민감한 작업은 NVIDIA Nemotron을 로컬에서 실행하고, 연산이 무거운 작업만 클라우드 프런티어 모델로 넘기는 방식입니다. 단순히 “보안을 강화했다”가 아니라, 어떤 데이터가 어디로 가는지를 정책으로 통제하는 구조로 바뀐 거죠.
OpenShell 3-레이어, 실제로 뭘 막아주나
NemoClaw의 실질적인 보안 엔진은 NVIDIA OpenShell입니다. NVIDIA 공식 개발자 블로그(2026.03.18)에서 세 가지 구성 요소를 직접 밝히고 있습니다.
에이전트가 실행하는 코드를 격리된 환경에서 돌립니다. 파일 시스템 접근 범위를 제한하고, 모든 실행 내역을 감사 로그(Audit Trail)로 남깁니다. ClawHub 악성 스킬이 시스템 전체를 장악하는 시나리오를 원천 차단하는 레이어입니다.
어떤 도구를 쓸 수 있는지, 어떤 데이터에 접근할 수 있는지를 규칙으로 정의합니다. 기본값이 “거부(deny-by-default)”라는 점이 OpenClaw와 정반대입니다. 허용된 것만 통과하는 화이트리스트 구조입니다.
데이터를 온디바이스 처리할지, 클라우드로 보낼지를 실시간으로 판단합니다. Claude나 GPT 같은 외부 모델에도 연결되지만, 정의된 개인정보 가드레일 안에서만 동작합니다.
기존 OpenClaw는 “YOLO 모드” — 파일 읽기·쓰기·실행 전부 무제한 허용이 기본이었습니다. NemoClaw의 OpenShell은 그 반대입니다. deny-by-default로 시작해서, 필요한 것만 열어주는 방식으로 철학 자체가 뒤집혔습니다 (출처: NVIDIA 개발자 블로그, 2026.03.18).
“AI가 알아서 관리한다”의 실체 — Heartbeat 코드를 뜯어봤습니다
💡 공식 발표 문구와 실제 동작 방식을 같이 놓고 보니 이런 차이가 보였습니다
OpenClaw·NemoClaw의 가장 화제가 된 기능인 “Heartbeat”의 실제 메커니즘을 소스코드 수준에서 확인했습니다.
“에이전트가 알아서 할 일을 점검하고 자율적으로 행동한다” — 이 문구가 NemoClaw를 처음 접하는 사람들이 가장 먼저 기대하는 기능입니다. 근데 OpenClaw의 src/infra/heartbeat-runner.ts(1,189줄)를 보면 핵심 구조는 이렇습니다:
// setTimeout으로 30분마다 깨어남
state.timer = setTimeout(() => {
requestHeartbeatNow({ reason: "interval", coalesceMs: 0 });
}, delay);
// 깨어나면 HEARTBEAT.md 파일을 읽고 LLM에 던짐
// "HEARTBEAT_OK" 응답이 오면 suppress (사용자에게 안 보임)
// 다른 응답이 오면 Slack/Telegram으로 전달
“에이전트의 자의식”의 정체는 마크다운 파일 하나였습니다. HEARTBEAT.md에 사람이 직접 체크리스트를 써두면, 에이전트가 30분마다 그 파일을 읽고 LLM에 전달하는 구조입니다. 문서에 딱 이렇게 나옵니다: “Heartbeats run full agent turns. Shorter intervals burn more tokens.” (출처: OpenClaw 공식 문서)
실사용 측면에서 이 구조가 의미하는 건 명확합니다. 아무것도 안 해도 토큰이 나갑니다. 실제로 홈서버에 OpenClaw를 설치하고 기본값으로 며칠 돌린 사용자 데이터(출처: Medium, @dndb3599, 2026.02.24)를 보면, Heartbeat와 Cron Job 몇 개가 걸린 상태에서 아무 작업을 하지 않았는데도 예상보다 훨씬 많은 API 비용이 발생했습니다.
| 항목 | OpenClaw (기본값) | NemoClaw + OpenShell |
|---|---|---|
| 기본 보안 정책 | YOLO (전부 허용) | deny-by-default |
| 스킬 악성 비율 | 약 12% (Koi Security) | 샌드박스 격리 |
| 클라우드 데이터 전송 | 제한 없음 | 프라이버시 라우터 통제 |
| 로컬 모델 지원 | 별도 설정 필요 | Nemotron 기본 포함 |
| 감사 로그 | 없음 | 자동 기록 |
| 코딩 에이전트 연동 | 외부 설정 필요 | Claude Code, Codex, Cursor 공식 지원 |
출처: NVIDIA 공식 개발자 블로그(2026.03.18), Koi Security 감사 보고서(2026.02), OpenClaw 공식 문서
NemoClaw가 쓸 만한 조건과 쓰면 안 되는 조건
솔직히 말하면, 지금 당장 NemoClaw를 모든 상황에 쓸 수 있는 건 아닙니다. 얼리 프리뷰 상태이고(2026.03.29 기준), 지원 플랫폼도 제한적입니다.
✅ 이 조건이면 쓸 만합니다
- NVIDIA GeForce RTX PC / 노트북 보유 — Nemotron 로컬 실행 환경. RTX 시리즈라면 DGX Spark 없어도 기본 동작합니다 (출처: NVIDIA NemoClaw 공식 페이지)
- Claude Code, Codex, Cursor 중 하나를 이미 쓰고 있는 경우 — NemoClaw의 OpenShell은 이 세 가지 코딩 에이전트와 공식 호환됩니다
- 업무용 PC에서 AI 에이전트를 쓰고 싶은데 보안이 걱정되는 경우 — deny-by-default 정책 엔진이 사내 데이터 유출 위험을 줄여줍니다
❌ 이 상황에서는 아직 무리입니다
- 한국 서비스 자동화 목적 — 쿠팡 주문 한 건에 토큰 18만 8천 개 소모(출처: 디지털투데이 실측). 네이버·카카오는 JS 기반 SPA 구조라 브라우저 자동화 자체가 불안정합니다
- Apple Silicon Mac 사용자 — NemoClaw는 현재 RTX 기반 NVIDIA GPU 환경이 기본 설계입니다. Mac에서의 완전한 동작은 공식 문서에서 별도 이유를 밝히지 않았습니다
- LLM API 비용에 민감한 경우 — Heartbeat 기본값(30분 간격)을 그대로 두면 아무 작업 없이도 토큰이 꾸준히 소모됩니다. 간격 조정이 필수입니다
공식 발표문과 실제 설치 흐름을 같이 보니 보이는 것
💡 GTC 키노트 발표와 GitHub 실제 코드를 교차해서 보니 이런 그림이 나왔습니다
NVIDIA 공식 발표는 NemoClaw를 “단 한 줄로 배포 완료”로 설명하지만, 실제 구조는 세 가지 독립 컴포넌트의 조합입니다. 이걸 구분해야 나중에 트러블슈팅이 쉬워집니다.
NemoClaw는 사실 세 가지 독립 컴포넌트의 조합입니다. 공식 GitHub(github.com/NVIDIA/OpenShell)에서 직접 확인했습니다:
OpenClaw — 에이전트 런타임 본체 (Peter Steinberger 개발, 오픈소스)
NVIDIA OpenShell — 보안·프라이버시 레이어 (NVIDIA 개발, Apache 2.0, 오픈소스)
NVIDIA Nemotron — 로컬 실행용 오픈 모델 (NVIDIA 개발)
이 구조에서 흥미로운 점이 있습니다. OpenShell은 Apache 2.0 라이선스로 완전히 오픈소스입니다. 즉, OpenClaw가 아닌 다른 AI 에이전트에도 OpenShell의 보안 레이어를 적용할 수 있습니다. NVIDIA가 “NemoClaw”라는 이름으로 패키징했지만, 실제로는 모든 AI 에이전트에 붙일 수 있는 범용 보안 미들웨어에 가깝습니다.
공식 문서에서 별도로 언급하진 않았지만, OpenShell이 Claude Code·Codex·Cursor와 동시에 동작한다는 점을 고려하면 — 향후 NVIDIA가 이 레이어를 AI 에이전트 보안의 사실상 표준으로 자리잡으려는 의도가 보입니다. 하드웨어(RTX GPU) → 로컬 모델(Nemotron) → 보안 레이어(OpenShell) 전체를 하나의 생태계로 묶는 전략입니다.
Q&A 5가지
마치며
NemoClaw를 한 줄로 요약하면 “OpenClaw의 보안 사고가 먼저 있었고, NVIDIA의 답변이 NemoClaw”입니다. 발표가 화려해서 지나치기 쉬운데, 실제로 보면 보안 인프라 레이어 하나가 전체 AI 에이전트 생태계의 신뢰도를 결정하는 구조가 됐습니다.
개인적으로 가장 주목하는 부분은 OpenShell의 Apache 2.0 라이선스입니다. NVIDIA가 보안 레이어를 오픈소스로 풀었다는 건, 이 레이어를 AI 에이전트 생태계의 공통 인프라로 만들겠다는 선언에 가깝습니다. 1~2년 뒤에 “AI 에이전트 = OpenShell 위에서 돌아야 안전하다”는 흐름이 생길 가능성이 있습니다.
다만 지금 당장, 특히 한국 환경에서는 기대보다 현실이 좁습니다. 얼리 프리뷰 딱지를 달고 있고, 한국 서비스 연동은 여전히 험난합니다. RTX GPU 없이 쓰기도 어렵습니다. “쓸 수는 있다”와 “쓸 만하다” 사이의 거리가 아직 있습니다. 공식 안정화 릴리스를 기다리면서, 그 전에 OpenShell의 구조 정도는 미리 이해해두는 게 맞는 순서라고 봅니다.
본 포스팅 참고 자료
본 포스팅 작성 이후 서비스 정책·UI·기능이 변경될 수 있습니다. NemoClaw는 2026.03.29 기준 얼리 프리뷰 상태이며, 공식 안정화 릴리스 이후 기능·스펙·가격 등 모든 내용이 달라질 수 있습니다. 본 포스팅은 공식 발표 자료와 공개된 실사용 데이터를 기반으로 작성되었으며, NVIDIA와 공식 제휴 관계가 없습니다.
댓글 남기기