Table of contents
Open Table of contents
OpenClaw, 간단히 뭔가요?
OpenClaw는 Peter Steinberger가 만든 오픈소스 AI 에이전트입니다. Anthropic Claude를 두뇌로 쓰면서, 실제로 컴퓨터를 조작합니다 — 터미널 명령 실행, 파일 읽기/쓰기, 웹 브라우징, 메시지 전송까지.
이름이 세 번 바뀌었습니다:
- Clawdbot (2025년 말 출시) → Anthropic 상표권 이슈로
- Moltbot (2026년 1월) → 보안 사고 후 리브랜딩으로
- OpenClaw (2026년 1월 말~현재)
GitHub 150,000+ 스타. 역사상 가장 빠르게 성장한 오픈소스 프로젝트 중 하나입니다.
그런데 최근 2~3주 사이에 보안 이슈가 쏟아졌습니다. ZDNET, Cisco, CrowdStrike 등 굵직한 곳에서 경고가 나오면서 “이거 써도 되나?” 하는 분위기가 퍼지고 있죠.
이 글에서는 제기된 이슈를 유형별로 정리하고, 가장 중요한 질문에 답합니다: “나한테 해당되나?”
제기된 보안 이슈 5가지
유형 1: 인스턴스 노출 (Exposed Instances)
가장 많이 보도된 이슈입니다.
호주 보안 업체 Dvuln의 Jamieson O’Reilly가 발견했습니다. 인터넷에서 인증 없이 접근 가능한 OpenClaw 인스턴스 수백 개가 돌아다니고 있었습니다.
VentureBeat 보도에 따르면 약 1,800개의 노출된 인스턴스에서 다음이 평문으로 유출되었습니다:
- Anthropic API 키
- Telegram 봇 토큰
- Slack OAuth 자격증명
- 사용자 대화 기록 전체
원인은 단순합니다. OpenClaw의 Gateway(관리 인터페이스)를 인터넷에 열어놓고, 패스워드를 안 걸었기 때문입니다. 기본 설정은 로컬 전용인데, 일부 사용자가 VPS에 설치하면서 포트를 열고 인증을 빼놓은 거죠.
비유하면 집 현관문을 활짝 열어놓고 외출한 건데, “문이 부실하다”고 불평하는 격입니다. 다만 OpenClaw가 초기에 이 부분을 더 강하게 경고했어야 했다는 비판은 타당합니다.
유형 2: 악성 스킬/확장 (Malicious Skills)
두 번째로 심각한 이슈.
OpenClaw는 **스킬(Skills)**이라는 확장 시스템이 있습니다. ClawHub 마켓플레이스에서 커뮤니티가 만든 스킬을 설치할 수 있는데, 여기서 문제가 터졌습니다.
OpenSourceMalware 연구에 따르면:
- ClawHub에서 28개의 악성 스킬 발견 (초기)
- 1월 말~2월 초까지 386개의 악성 애드온으로 확대
- 악성 스킬이 인기 순위를 조작해 #1 랭킹까지 차지
Cisco 연구팀이 분석한 대표 사례가 있습니다. **“What Would Elon Do?”**라는 유머러스한 이름의 스킬인데, 실제로는 curl로 외부 서버에 사용자 데이터를 전송하는 코드가 숨어 있었습니다.
1Password 블로그에서는 스킬 시스템 자체가 구조적으로 공격 표면이 된다고 지적했습니다. npm 같은 패키지 매니저의 공급망 공격과 같은 패턴입니다.
유형 3: 프롬프트 인젝션 (Prompt Injection)
AI 에이전트 전체에 해당되는 구조적 문제.
CrowdStrike 분석에 따르면, 프롬프트 인젝션을 통해 다음이 가능합니다:
- 민감 데이터 유출
- 시스템 정찰 (네트워크 구조 파악)
- 수평 이동 (다른 시스템으로 침투)
- 적대적 지시 실행
어떻게 동작하냐면 — 이메일이나 웹페이지에 사람 눈에는 안 보이지만 AI에게는 보이는 악성 지시를 숨기는 겁니다. OpenClaw가 그 이메일을 읽거나 웹페이지를 방문하면, 숨겨진 지시를 실행해버릴 수 있습니다.
OpenClaw 공식 보안 문서에서도 이를 인정합니다:
“완벽하게 안전한 설정은 없다 (No configuration is perfectly safe)”
솔직한 태도지만, 무섭기도 합니다.
유형 4: 과도한 권한 (Excessive Permissions)
OpenClaw는 기본적으로 많은 것을 할 수 있습니다:
- 셸 명령어 실행 (
rm -rf도 가능) - 파일 시스템 전체 읽기/쓰기
- 네트워크 요청 (API 호출, 웹 접근)
- 메시징 앱으로 메시지 전송
이 자체가 OpenClaw의 강점이지만, 동시에 위험이기도 합니다.
CrowdStrike는 OpenClaw가 “AI 백도어 에이전트”로 활용될 수 있다고 경고합니다. 특히 기업 환경에서 직원이 IT 부서 모르게 설치하면 — 쉐도우 AI — 보안팀 입장에서는 악몽입니다.
유형 5: 사기/피싱 (Scams)
OpenClaw 자체 문제는 아니지만, 주변 생태계 문제.
이름이 세 번 바뀌는 과정에서 혼란이 생겼고, 사기꾼들이 이를 이용했습니다:
- 가짜 Clawdbot AI 토큰: 이름 변경 10초 만에 옛 계정을 탈취, $CLAWD 토큰을 발행해 $16M 시가총액까지 올린 뒤 크래시
- 가짜 GitHub 리포지토리: OpenClaw를 사칭한 악성 리포지토리 유포
- 피싱 사이트: 공식 사이트를 모방해 API 키 탈취 시도
이건 인기 프로젝트라면 어디서든 일어나는 일이지만, 짧은 기간에 이름이 세 번 바뀌면서 혼란을 가중시킨 측면이 있습니다.
”나한테 해당되나?” 체크리스트
여기가 핵심입니다. 위의 이슈들이 무섭게 들리지만, 대부분은 특정 조건에서만 해당됩니다.
인스턴스 노출
| 상황 | 해당 여부 |
|---|---|
| 집에서 로컬로만 실행 | ❌ 해당 없음 |
| VPS에 설치하고 포트를 열어놓음 | ⚠️ 위험 |
| 포트를 열었지만 패스워드를 설정함 | ✅ 괜찮음 |
| Tailscale 같은 VPN 뒤에서 실행 | ✅ 괜찮음 |
로컬에서만 쓰는 사람은 해당 없습니다. 인터넷에 포트를 열어놓지 않았으면 외부에서 접근 자체가 불가능합니다.
악성 스킬
| 상황 | 해당 여부 |
|---|---|
| 스킬을 아예 안 씀 | ❌ 해당 없음 |
| 공식/검증된 스킬만 설치 | ✅ 거의 안전 |
| ClawHub에서 아무거나 깔았음 | ⚠️ 위험 |
| 스킬 소스 코드를 확인하고 설치 | ✅ 괜찮음 |
npm에서 아무 패키지나 깔지 않듯이, 스킬도 확인하고 깔면 됩니다.
프롬프트 인젝션
| 상황 | 해당 여부 |
|---|---|
| 개인적으로만 쓰고 외부 입력 없음 | ⬇️ 낮은 위험 |
| 이메일 자동 읽기를 시킴 | ⚠️ 주의 필요 |
| 웹 크롤링 자동화를 시킴 | ⚠️ 주의 필요 |
| Telegram/Discord를 아무에게나 열어놓음 | ⚠️ 위험 |
| DM 페어링으로 본인만 접근 | ✅ 거의 안전 |
프롬프트 인젝션은 신뢰할 수 없는 입력이 들어올 때 위험합니다. 본인만 쓰는 Telegram DM이면 위험이 크게 줄어듭니다.
과도한 권한
| 상황 | 해당 여부 |
|---|---|
| 개인 프로젝트용 Mac Mini에서 실행 | ⬇️ 낮은 위험 |
| 중요 데이터가 있는 업무용 PC에서 실행 | ⚠️ 위험 |
| 기업 네트워크 내에서 실행 | 🚨 매우 위험 |
| Docker/샌드박스 안에서 실행 | ✅ 격리됨 |
사기/피싱
| 상황 | 해당 여부 |
|---|---|
| 공식 GitHub에서만 설치 | ✅ 안전 |
| 암호화폐 토큰에 투자하지 않음 | ✅ 해당 없음 |
| 검색에서 나온 아무 링크에서 설치 | ⚠️ 확인 필요 |
피하는 법 — 실천 가이드
1. Gateway 인증은 무조건 설정
# 보안 감사 실행
openclaw security audit --deep
# Gateway 패스워드 확인
openclaw gateway status패스워드를 설정하지 않았다면 지금 바로 하세요. Tailscale 뒤에서 실행하면 더 좋습니다.
2. 세션 로그 디렉토리 잠금
chmod 700 ~/.openclaw대화 기록에 API 키나 민감 정보가 포함될 수 있습니다. 다른 사용자가 읽을 수 없게 권한을 잠그세요.
3. 스킬은 검증 후 설치
- GitHub 소스 코드를 직접 확인
- 설치 수와 리뷰를 확인 (단, 인기 조작 가능성 인지)
- 네트워크 요청을 하는 스킬은 특히 주의
- Cisco에서 공개한 Skill Scanner 도구 활용
4. 메시징 채널 접근 제한
- DM 페어링: 본인 계정으로만 대화 가능하게 설정
- allowlist: 허용된 사용자만 접근
- 공개 채널에 봇을 풀어놓지 않기
5. 프롬프트 인젝션 대비
- 자동으로 외부 콘텐츠를 읽게 하는 기능은 신중하게
- 도구 권한 최소화 — 필요한 것만 활성화
- 샌드박스 모드 활용
6. 기업 환경이라면
솔직히 말해서, 현재 단계에서 기업 네트워크에 OpenClaw를 올리는 건 권장하지 않습니다. 꼭 써야 한다면:
- 네트워크 격리 (별도 VLAN)
- 전용 기기에서만 실행
- IT 부서에 알리기 (쉐도우 AI 금지)
OpenClaw 측은 뭘 하고 있나?
문제만 있고 대응이 없는 건 아닙니다:
- 스킬 업로드 제한: GitHub 계정 생성 후 1주 이상 경과해야 스킬 업로드 가능
- 신고 시스템: 악성 스킬 신고 3건 이상이면 자동 숨김 처리
- Cisco Skill Scanner: 악성 스킬 탐지를 위한 오픈소스 도구
- 공식 보안 감사 명령어:
openclaw security audit --deep으로 현재 설정의 위험도 점검 - 보안 문서 강화: 공식 보안 가이드 업데이트
오픈소스 프로젝트 치고는 꽤 빠르게 대응하는 편입니다. 물론 완벽하진 않지만, 방향은 맞습니다.
결론: 알고 쓰면 됩니다
보안 기사들의 헤드라인만 보면 “당장 지워라” 느낌이 듭니다. 하지만 실제로 뜯어보면:
- 인스턴스 노출 → 포트 안 열면 해당 없음
- 악성 스킬 → 검증 안 된 거 안 깔면 해당 없음
- 프롬프트 인젝션 → 외부 입력 최소화하면 위험 감소
- 과도한 권한 → 개인 기기에서 개인 용도면 수용 가능
- 사기 → 공식 채널만 이용하면 해당 없음
“위험하니까 쓰지 마” vs “알고 쓰면 된다” — 저는 후자 입장입니다.
로컬에서 돌리고, 기본 보안 설정만 제대로 하고, 검증 안 된 스킬 안 깔면, 위에 나온 이슈 대부분은 나와 상관없는 이야기입니다. 문제가 되는 건 “아무 생각 없이 포트 열고, 아무 스킬 깔고, 아무 채널에 봇을 풀어놓는” 경우입니다.
자동차도 위험하지만 운전 규칙을 지키면 안전하듯, AI 에이전트도 규칙을 알고 쓰면 됩니다. 다만 그 규칙을 아는 게 현재로서는 사용자 책임이라는 게 아쉬운 점이고, 그래서 이 글을 쓴 이유입니다.