‘오픈클로 깔아봤어?’
요즘 개발자 커뮤니티에서 이 질문을 안 들어본 사람이 없을 거예요. GitHub 스타 25만 개를 60일 만에 찍고, 텐센트가 WeChat에 통합하고, 젠슨 황이 “역사상 가장 중요한 소프트웨어”라고 칭찬한 오픈소스 AI 에이전트. 안 써본 게 오히려 이상한 분위기죠.
근데 한 가지 묻고 싶다. 설치하기 전에 보안 이슈를 확인해봤나요?
솔직히 저도 처음엔 그냥 깔았습니다. npm 한 줄이면 되는데 뭘 고민하겠어요. 근데 설치하고 며칠 쓰다 보니 ‘이게 내 컴퓨터에서 뭘 할 수 있는 거지?’ 하는 생각이 뒤늦게 들더라고요. 결론부터 말하면, 오픈클로의 보안 문제는 꽤 심각합니다. 네이버, 카카오, 당근이 사내 PC에서 사용을 금지한 데는 이유가 있어요.
1. 내 컴퓨터의 모든 권한을 가져간다
오픈클로를 설치하면 이 에이전트는 여러분 컴퓨터에서 거의 모든 걸 할 수 있어요. 파일 읽기, 쓰기, 삭제. 이메일 접근. 브라우저 조작. API 호출. 코드 실행.
‘AI 비서’라고 생각하면 안 됩니다. 정확히는 내 계정으로 로그인한 또 다른 사용자에 가깝다.
100개가 넘는 내장 스킬이 파일 시스템, 웹 검색, 코딩, 이메일까지 전부 연결되거든요. 편리하죠. 근데 이게 외부에서 조종당하면?
마이크로소프트 보안 블로그의 표현이 적절해요. “실행 경계가 정적 코드에서 동적으로 공급되는 콘텐츠와 서드파티 기능으로 이동했지만, 그에 상응하는 보안 제어는 없다.” 쉽게 말하면, 권한은 다 줬는데 감시는 안 하고 있다는 얘기입니다.
샌드박싱? 옵트인(opt-in)이에요. 기본값이 아니라 사용자가 직접 켜야 한다. 대부분은 켜지 않겠죠.
2. ClawHub의 악성 스킬 — 공급망이 뚫렸다
오픈클로의 힘은 스킬 생태계에 있다. ClawHub에서 스킬을 다운받아 기능을 확장하는 구조인데, 바로 여기가 문제예요.
숫자부터 보죠.
| 항목 | 수치 |
|---|---|
| ClawHub 전체 스킬 수 | 10,700+ |
| 확인된 악성 스킬 수 (2026년 2월) | 820+ |
| 단일 캠페인(ClawHavoc)의 악성 스킬 | 335개 |
| Atomic Stealer 변종 유포 | 71건 |
10,700개 중 820개가 악성이면 약 8%입니다. 열 개 깔면 하나는 멀웨어인 셈이다.
2026년 2월 7일부터 ClawHub에 VirusTotal 자동 스캔이 도입됐지만, 그 전에 올라온 스킬들은? 이미 수천 대의 컴퓨터에 깔려 있을 가능성이 높아요.
Snyk의 ToxicSkills 연구 결과는 더 충격적이더라고요. 에이전트 스킬의 36%에서 프롬프트 인젝션 페이로드가 발견됐고, 1,467개의 악성 페이로드가 확인됐습니다. npm이나 PyPI의 공급망 공격과 본질적으로 같은 문제인데, AI 에이전트 쪽은 방어 체계가 훨씬 미성숙하다는 게 핵심이에요.
3. 프롬프트 인젝션 — 이메일 한 통이면 끝
이건 좀 무서운 이야기인데요.
누군가 여러분에게 이메일을 보냅니다. 평범해 보이는 내용이에요. 근데 그 이메일 본문 안에 눈에 보이지 않는 악성 프롬프트가 숨어 있다. 오픈클로가 이 이메일을 처리하는 순간, 에이전트는 공격자의 명령을 따르기 시작해요.
실제 시연된 사례가 있습니다. 보안 연구자들이 프롬프트 인젝션이 담긴 이메일을 보내서 오픈클로가 연결된 컴퓨터의 개인 키를 탈취하는 데 성공했어요. 이메일을 직접 열어볼 필요도 없었다. 오픈클로가 받은 편지함을 자동으로 스캔하는 과정에서 감염된 거예요.
‘잠깐, 그러면 이메일 말고 다른 경로도 되는 거 아냐?’
맞습니다. 이메일, 문서, 웹페이지, 심지어 이미지 안에도 공격 프롬프트를 심을 수 있어요. AI 모델은 “신뢰할 수 있는 명령”과 “외부 데이터에 숨겨진 명령”을 구분하지 못하거든요. 이게 프롬프트 인젝션의 핵심이에요.
Cisco 보안 블로그에서 이걸 “보안 악몽”이라고 표현했는데, 과장이 아닙니다. 시스템 접근 권한을 가진 AI 에이전트가 기존의 DLP(Data Loss Prevention)나 프록시, 엔드포인트 모니터링을 통째로 우회하는 은밀한 데이터 유출 채널이 될 수 있으니까요.
4. CVE-2026-25253 — 웹사이트 방문만으로 털린다
2026년 1월에 공개된 이 취약점은 심각도가 CVSS 8.8이에요. 이름도 붙었습니다. ClawJacked.
오픈클로의 컨트롤 UI가 URL 쿼리 스트링에서 gatewayUrl 파라미터를 받아서, 사용자 확인 없이 WebSocket 연결을 맺고 인증 토큰까지 전송하는 결함이에요. 공격 시나리오는 이렇습니다:
- 공격자가 악성 링크를 만든다
- 여러분이 그 링크를 클릭한다 (SNS, 이메일, 어디서든)
- 브라우저가 오픈클로 UI를 열면서 공격자의 서버로 인증 토큰이 넘어간다
- 공격자가 오픈클로 인스턴스를 완전히 장악한다
원클릭 RCE(Remote Code Execution). 링크 한 번 잘못 클릭하면 컴퓨터 통째로 넘어가는 겁니다.
얼마나 많은 사람이 영향 받았을까? SecurityScorecard에 따르면 인터넷에 노출된 오픈클로 인스턴스가 42,000개 이상이었고, 그중 63%가 이 취약점에 노출돼 있었어요. 2026년 1월 29일에 패치가 나왔지만, 자동 업데이트가 아니니 아직 업데이트 안 한 인스턴스가 상당할 거예요.
그리고 이게 전부가 아닙니다. 명령 인젝션(CVE-2026-24763), SSRF(CVE-2026-26322), 경로 탐색으로 로컬 파일 읽기(CVE-2026-26329), 프롬프트 인젝션 기반 코드 실행(CVE-2026-30741)까지 — CVE가 줄줄이 나왔어요.
5. 기본 설정이 인터넷에 문을 활짝 열어둔다
이건 알면 좀 황당해요.
오픈클로의 기본 네트워크 바인딩이 0.0.0.0:18789입니다. 모든 네트워크 인터페이스에서 접속을 허용한다는 뜻이에요. 퍼블릭 인터넷 포함.
시스템 전체 권한을 가진 도구가 기본적으로 전 세계에 열려 있다. 당연히 127.0.0.1(로컬만 허용)이 기본값이어야 하는데, 아직도 그렇지 않더라고요.
Bitsight의 조사에서 40,214개의 노출된 인스턴스가 발견됐고, 12,812개는 원격 코드 실행 공격에 즉시 취약한 상태였어요. 이 사람들 대부분은 자기 오픈클로가 인터넷에 공개된 줄도 모를 겁니다.
‘섀도우 AI’ 문제도 여기서 생겨요. IT 부서 허가 없이 업무 PC에 오픈클로를 깔면, 기업 네트워크 모니터링에 잡히지 않으면서 이메일, 업무 도구, 파일 시스템에 연결되는 거예요. 보안의 사각지대가 하나 더 생기는 셈이다.
그래서, 안 쓰면 되나?
그건 좀 아쉬운 결론이죠. 오픈클로가 강력한 도구인 건 사실이니까요.
쓰되, 최소한 이것만은 설정하세요:
| 조치 | 방법 |
|---|---|
| 네트워크 바인딩 변경 | 127.0.0.1로 변경, 원격 접속은 SSH 터널 사용 |
| 토큰 인증 설정 | 긴 랜덤 토큰으로 Gateway 인증 |
| 파일 권한 제한 | chmod 700 ~/.openclaw, 설정 파일은 chmod 600 |
| 스킬 검증 | 설치 전 소스코드 직접 확인, 미검증 스킬은 샌드박스에서 테스트 |
| Docker 격리 | 컨테이너에서 실행, 최소한의 볼륨만 마운트 |
| 버전 업데이트 | CVE-2026-25253 패치 포함된 2026.1.29 이상 필수 |
보안이 최우선이라면 NanoClaw도 눈여겨볼 만합니다. 전체 코드가 500줄이고, 모든 쓰기 작업에 명시적 허가가 필요한 구조예요. 생태계는 오픈클로에 비할 바 못 되지만, 보안 격리가 기본 설계에 들어가 있다는 점은 확실히 매력적이에요.
마무리
오픈클로는 좋은 도구입니다. 근데 현재 보안 상태는 솔직히 불안해요.
‘일단 깔고 나중에 설정하지 뭐’가 제일 위험한 접근이에요. 깔기 전에 5분만 투자해서 위에 있는 설정부터 해두세요. 그 5분이 개인 키 유출, 파일 삭제, 원격 코드 실행을 막을 수 있습니다.
개인적으로는, 로컬 바인딩이랑 Docker 격리만 해도 체감 위험도가 확 줄어들더라고요.