NemoClaw, 써보니까 이게 진짜 문제였습니다
“커맨드 한 줄로 안전한 AI 에이전트 완성” — GTC 2026 키노트에서 나온 말입니다.
막상 뜯어보면 얘기가 좀 달라집니다.
CVE-2026-25253 CVSS 9.8
WSL2 onboard 스크립트 미작동
Alpha — 프로덕션 사용 금지
NemoClaw가 뭔지, 한 줄로 정리하면
2026년 3월 16일, NVIDIA는 GTC 2026 키노트에서 NemoClaw를 공개했습니다.
공식 보도자료에는 이렇게 나옵니다. “OpenClaw에 프라이버시와 보안 제어를 추가하는 오픈소스 스택.”
(출처: NVIDIA 공식 보도자료, 2026.03.16)
오픈클로(OpenClaw)가 “개인 AI를 위한 운영체제”라면, NemoClaw는 그 위에 올라가는 보안 레이어입니다.
젠슨 황은 키노트에서 “OpenClaw는 PC의 Windows처럼 개인 AI의 OS가 됐다”고 했는데,
NemoClaw는 그 OS에 바이러스 백신과 방화벽을 끼워 넣은 격이라고 보면 됩니다.
핵심 구성은 세 가지입니다. 에이전트를 격리 실행하는 OpenShell 런타임,
아웃바운드 데이터를 감시하는 프라이버시 라우터,
그리고 에이전트 행동 규칙을 정의하는 자율 에이전트 거버넌스 엔진.
NVIDIA는 이 세 가지를 단 한 줄의 커맨드로 설치할 수 있다고 강조했습니다.
“1줄 설치”가 실제로 의미하는 것
공식 문서에서 제시하는 설치 커맨드는 이렇습니다.
$ curl -fsSL https://nvidia.com/nemoclaw.sh | bash
이 한 줄이 실행하는 것은 생각보다 많습니다. OpenShell 런타임 설치, k3s 오케스트레이션 레이어 초기화,
TLS 인증서 3종 생성, 프라이버시 라우터 설정, 그리고 거버넌스 엔진 구성까지 자동으로 처리됩니다.
명령어가 짧다고 뒤에서 일어나는 작업이 단순한 건 아닙니다.
그런데 공식 문서 상단에는 중요한 경고가 있습니다. “NemoClaw is in alpha, available as an early preview since March 16, 2026. APIs, configuration schemas, and runtime behavior are subject to breaking changes between releases. Do not use this software in production environments.”
(출처: NVIDIA NemoClaw 공식 문서, docs.nvidia.com/nemoclaw/latest/, 2026.03.16)
현재 시점에서 프로덕션 투입은 공식적으로 금지된 상태입니다.
2.4GB RAM은 왜 기본으로 나가는가
💡 공식 발표문과 실제 알파 빌드 메모리 측정치를 같이 놓고 보니 이런 차이가 보였습니다 — 설치 자체는 1줄이지만 켜는 순간 RAM 2.4GB가 먼저 나갑니다. 첫 모델 로딩 전입니다.
A10G GPU 24GB VRAM, 시스템 RAM 64GB 환경에서 실측한 수치가 있습니다.
NemoClaw가 에이전트 하나도 띄우기 전, 아이들 상태에서 시스템 RAM 소모량은 정확히 2.41GB RSS였습니다.
(출처: advenboost.com NemoClaw vs OpenClaw 벤치마크, 2026.03 Alpha 기준)
| 구성 요소 | RAM 할당 |
|---|---|
| OpenShell 런타임 코어 | 약 620 MB |
| 프라이버시 라우터 (패턴 버퍼) | 약 580 MB |
| 텔레메트리 라우팅 데몬 | 약 310 MB |
| k3s 오케스트레이션 레이어 | 약 490 MB |
| 자율 에이전트 거버넌스 엔진 | 약 400 MB |
| 합계 (아이들 기준) | 약 2.4 GB |
비교 대상인 OpenClaw는 표준 모드에서 약 380MB, --minimal 플래그를 쓰면 약 210MB입니다.
같은 조건에서 2GB 이상 차이가 납니다. 13B 모델을 fp16으로 올리는 서버라면 무시할 수 있지만,
32GB RAM 개발 머신에서 다른 서비스와 같이 돌리면 체감이 달라집니다.
게다가 k3s 오케스트레이션 레이어와 거버넌스 엔진은 현재 알파 빌드에서 선택 해제가 안 됩니다.
--lite 플래그도, 단일 에이전트 전용 경량 모드도 없습니다.
GitHub 로드맵에 커뮤니티 요청이 올라가 있지만, 2026년 3월 31일 현재 미반영 상태입니다.
(출처: github.com/NVIDIA/NemoClaw 이슈 트래커)
WSL2에서 막히는 지점이 있습니다
Windows 개발자라면 WSL2로 시도하는 게 자연스럽습니다. 그런데 2026년 3월 알파 빌드 기준으로,
NemoClaw의 onboard 스크립트는 WSL2에서 작동하지 않습니다.
TLS 인증서 생성 단계에서 write /dev/stdout: broken pipe 오류가 뜨고 종료됩니다.
원인은 WSL2 가상 네트워크 어댑터의 인터페이스 처리 방식 차이입니다.
스크립트가 openssl req를 서브셸 파이프로 호출할 때, WSL2 커널 5.15.x 버전에서 파이프가 서브셸 완료 전에 끊깁니다.
Windows 11 + RTX 4090 환경에서 실제 테스트한 결과, onboard는 일관되게 실패했고 TLS 인증서를 수동 생성해 우회하는 데 약 45분이 걸렸습니다.
(출처: advenboost.com NemoClaw WSL2 테스트 기록, 2026.03 Alpha)
수동 생성 시 주의사항이 하나 더 있습니다. 공식 문서의 원라이너는 localhost SAN으로 인증서를 만드는데,
NemoClaw 프라이버시 라우터는 WSL2 가상 IP(보통 172.x.x.x 대역)로 에이전트 연결을 검증합니다.
SAN 불일치로 모든 에이전트 접속이 TLS 핸드셰이크 오류로 실패합니다.
인증서 설정 파일에 localhost와 WSL2 가상 IP를 모두 SAN에 넣어야 합니다.
NemoClaw는 Linux 커널 기반 환경만 지원합니다. Windows 네이티브 설치는 현재 알파에서 로드맵에 없습니다.
(출처: github.com/NVIDIA/NemoClaw README, 2026.03.31 확인)
OpenClaw에 남아 있는 CVE-2026-25253
⚠️ CVE-2026-25253 — CVSS 9.8 Critical.
2026년 2월 공개, 2026년 3월 31일 현재 OpenClaw 메인라인 릴리스에 패치 미적용.
비컨테이너 환경에서는 호스트 루트 권한 RCE로 이어질 수 있습니다.
(출처: NVD, nvd.nist.gov/vuln/detail/CVE-2026-25253)
OpenClaw의 에이전트 체크포인트 직렬화가 Python pickle 포맷을 씁니다.
공격자가 체크포인트 API 엔드포인트(기본 포트 7340)에 악성 페이로드를 보내면 인증 없이 임의 코드 실행이 가능합니다.
포트 7340에는 기본 설정에서 인증이 없습니다. 공격 복잡도는 Low, 권한 요구 없음. 사실상 열린 문입니다.
Docker 컨테이너 안에서 돌리면 괜찮다고 생각하기 쉬운데, 실제로는 컨테이너 내부에서 OpenClaw 프로세스 권한으로 임의 코드가 실행됩니다. Docker bridge 네트워킹은 아웃바운드 인터넷 접근을 차단하지 않습니다.
현재 적용 가능한 임시 조치:
--no-checkpoint플래그로 체크포인트 API 비활성화--checkpoint-format=json으로 pickle 직렬화 제거 (pickle 공격 면 제거, 상태 일부 손실)- 방화벽으로 포트 7340에 외부 접근 차단
NemoClaw는 CVE-2026-25253의 영향을 받지 않습니다.
OpenShell 런타임이 자체 이진 직렬화 포맷과 암호화 서명 검증을 사용하기 때문입니다.
악성 체크포인트는 역직렬화 전에 서명 검증 단계에서 거부됩니다.
이게 NemoClaw를 고려해야 하는 가장 실질적인 이유입니다.
NemoClaw가 진짜 해결하는 것과 안 되는 것
💡 보안 전문가들과 NVIDIA 공식 자료를 같이 놓고 보면, NemoClaw가 보호하는 레이어와 여전히 비어 있는 레이어가 구분됩니다 — 둘 다 알아야 제대로 씁니다.
NemoClaw가 실제로 개선하는 부분
가장 중요한 변화는 정책 집행이 에이전트 프로세스 바깥에 있다는 점입니다.
기존 보안 방식은 에이전트 내부의 프롬프트 레벨에서 규칙을 걸었습니다.
OpenShell은 에이전트가 호출하는 시스템 콜을 외부에서 가로채서 정책 매니페스트와 대조한 다음 실행합니다.
에이전트가 조작되더라도 그 안에서 가드레일을 우회할 수 없습니다.
(출처: NVIDIA 개발자 블로그, developer.nvidia.com/blog, 2026.03.16)
네트워크 이그레스도 달라집니다. OpenShell은 기본적으로 허용된 엔드포인트 외 아웃바운드를 차단합니다.
멀티 에이전트 10개 동시 실행 테스트에서 NemoClaw는 이그레스 이벤트 847건을 로그로 남겼습니다.
OpenClaw는 같은 테스트에서 이그레스 로그가 0건입니다. 로깅 기능 자체가 없기 때문입니다.
(출처: advenboost.com 벤치마크, 2026.03 Alpha)
NemoClaw가 해결하지 못하는 부분
Tanium 보안 연구 디렉터 Melissa Bischoping은 CNET 인터뷰에서 이렇게 말했습니다.
“NemoClaw에 대한 투자는 긍정적이지만, 진정한 보호를 위해서는 더 강력한 기능이 필요합니다.”
(출처: CNET, 2026.03.25)
Yugabyte CEO Karthik Ranganathan은 구체적인 한계를 지목했습니다.
에이전트가 이메일을 무더기로 삭제하기 시작해도 NemoClaw가 막지 못한다는 겁니다.
OpenShell은 네트워크·파일시스템·프로세스를 제어하지만, 에이전트가 허용된 권한 범위 안에서 잘못된 판단을 내리는 것은 제어하지 않습니다. 한도 안에서의 실수는 여전히 실수입니다.
프롬프트 인젝션도 마찬가지입니다. 에이전트가 웹페이지를 읽거나 이메일을 처리할 때 악성 지시가 담긴 콘텐츠를 만나는 상황 자체는 NemoClaw가 막지 않습니다.
OpenShell은 그 이후의 파장을 줄이는 방화벽이지, 유입 경로를 막는 필터가 아닙니다.
어떤 상황에서 쓸 만한가 — 조건 정리
단순 비교 수치를 보면, NemoClaw는 단일 에이전트 순차 툴콜 100회 기준으로 평균 레이턴시 112ms, OpenClaw는 89ms입니다. 처리량도 NemoClaw 8.9 calls/sec, OpenClaw 11.2 calls/sec로 약 25% 차이가 납니다. 속도 면에서는 OpenClaw가 앞섭니다.
(출처: advenboost.com 벤치마크, A10G 24GB VRAM, Ubuntu 22.04, Nemotron-3 8B fp16 기준, 2026.03 Alpha)
그렇다면 NemoClaw를 쓸 이유가 분명한 상황이 있습니다. 금융·의료·법무처럼 에이전트 행동이 감사 대상인 환경, 이메일 발송·인프라 변경처럼 되돌리기 어려운 작업을 에이전트에 맡겨야 하는 경우, 그리고 NVIDIA Nemotron 모델을 로컬에서 쓰고 싶을 때입니다. NemoClaw의 OpenShell 런타임은 Nemotron의 추론 특성에 최적화돼 있어 다른 에이전트 런타임 대비 예측 가능한 레이턴시를 냅니다.
반대로 OpenClaw가 더 나은 선택인 경우도 있습니다. 프로토타이핑이나 내부 개발 도구처럼 빠른 이터레이션이 우선일 때, 엣지 기기나 RAM이 4~8GB로 제한된 환경에서는 NemoClaw의 2.4GB 기본 소모가 구조적 문제가 됩니다. Llama, Mistral 같은 비Nemotron 모델을 써야 하는 경우에도 OpenClaw가 더 유연합니다.
한 가지 더 — NemoClaw의 거버넌스 정책은 NVIDIA 전용 DSL(Domain Specific Language)로 작성해야 합니다. 현재 알파에서는 OPA 통합이나 Rego 지원이 없습니다. 기존에 정책-as-코드 워크플로우를 Kubernetes + OPA로 운영 중이라면 NemoClaw가 두 번째 정책 관리 체계를 만드는 셈입니다. 이 부분은 아직 NVIDIA가 공식 답변을 내놓지 않은 부분입니다.
Q&A 5개
▶ NemoClaw는 무료인가요, 유료인가요?
커뮤니티 티어는 무료로 사용할 수 있습니다. 다만 거버넌스 정책 엔진과 프라이버시 라우터 전체 기능을 프로덕션 규모로 쓰려면 NVIDIA 엔터프라이즈 라이선스가 필요합니다. 가격은 공개돼 있지 않고, 별도 영업 채널 문의가 필요합니다. (출처: advenboost.com NemoClaw vs OpenClaw, 2026.03)
▶ OpenClaw를 Docker로 돌리면 CVE-2026-25253이 해결되나요?
호스트 탈출 위험은 줄어들지만, 컨테이너 내부에서 OpenClaw 프로세스 권한으로 임의 코드 실행이 여전히 가능합니다. 완전한 조치는 --checkpoint-format=json 적용과 포트 7340 외부 접근 차단 두 가지를 함께 해야 합니다. Docker 사용만으로 충분하지 않습니다. (출처: NVD CVE-2026-25253)
▶ NemoClaw에서 Claude나 GPT-4o 같은 외부 모델을 쓸 수 있나요?
가능합니다. 프라이버시 라우터가 정의된 프라이버시 및 보안 가드레일 안에서 클라우드 기반 프론티어 모델과 연결을 지원합니다. 단, 런타임 최적화는 Nemotron에 맞춰져 있어서 외부 모델 사용 시 레이턴시 예측 가능성이 낮아집니다. (출처: NVIDIA NemoClaw 공식 페이지, nvidia.com/ko-kr/ai/nemoclaw/)
▶ Mac Mini에서도 NemoClaw를 쓸 수 있나요?
오픈클로 커뮤니티에서 가장 많이 쓰는 하드웨어가 Mac Mini이지만, NemoClaw는 Linux 커널의 시스템 콜 인터셉션 레이어가 필요합니다. macOS 네이티브에서는 지원하지 않습니다. 별도 Linux 가상화 환경이 필요합니다.
▶ NemoClaw Alpha는 언제 정식 출시가 되나요?
공식 일정은 2026년 3월 31일 현재 발표되지 않았습니다. GitHub 저장소에는 “프로덕션 사용 금지” 경고와 함께 API·스키마·런타임 동작이 릴리스 간에 변경될 수 있다는 안내가 있습니다. 로드맵은 저장소 이슈 트래커를 통해 커뮤니티와 공유됩니다. (출처: github.com/NVIDIA/NemoClaw)
마치며
NemoClaw는 방향성이 맞습니다. 오픈클로 생태계가 빠르게 커지면서 제일 먼저 생긴 구멍이 “에이전트 런타임 보안”이었는데, NVIDIA가 그 구멍에 실제로 레이어를 끼워 넣었습니다. 정책 집행이 에이전트 프로세스 바깥에 있다는 아키텍처 선택은 기술적으로 올바릅니다.
솔직히 말하면, 지금 쓰기에는 이릅니다. 2.4GB RAM 기본 소모는 엣지와 개발 환경에서 구조적 문제고, WSL2 스크립트는 깨져 있고, 프로덕션은 공식적으로 금지입니다. “1줄로 안전한 AI 에이전트 완성”은 마케팅 언어입니다. 실제로는 45분짜리 수동 TLS 작업이 기다리고 있을 수 있습니다.
그렇다고 무시할 이유도 없습니다. 지금 알파를 직접 테스트하면서 피드백을 GitHub에 올리면 정식 버전에 반영될 가능성이 있습니다. 오픈클로를 프로덕션에 이미 쓰고 있다면, CVE-2026-25253 임시 조치는 오늘 바로 적용할 수 있고 적용해야 합니다.
📚 본 포스팅 참고 자료
- NVIDIA NemoClaw 공식 페이지 — https://www.nvidia.com/ko-kr/ai/nemoclaw/
- NVIDIA 공식 보도자료 (2026.03.16) — investor.nvidia.com
- NVIDIA NemoClaw 공식 문서 — https://docs.nvidia.com/nemoclaw/latest/
- CNET — Nvidia’s NemoClaw Adds Security and Privacy Features for AI Agents (2026.03.25) — cnet.com
- NVD — CVE-2026-25253 — https://nvd.nist.gov/vuln/detail/CVE-2026-25253
- advenboost.com — NemoClaw vs. OpenClaw: The Truth No One Tells You (2026.03) — advenboost.com
- penligent.ai — NVIDIA OpenClaw Security, What NemoClaw Changes and What It Still Cannot Fix (2026.03.19) — penligent.ai
※ 본 포스팅 작성 이후 서비스 정책·UI·기능이 변경될 수 있습니다. NemoClaw는 2026년 3월 16일 발표된 알파 소프트웨어 기준으로 작성됐으며, API·설정 스키마·런타임 동작은 이후 릴리스에서 달라질 수 있습니다. 모든 수치는 명시된 출처의 측정 환경 기준이며 실제 환경에 따라 다를 수 있습니다.
댓글 남기기