요약: OpenClaw(구 Clawdbot/Moltbot)는 GitHub에서 247,000개 이상의 스타를 기록했으나 보안 결함이 보고된 오픈소스 에이전트형 AI 프레임워크입니다. CVE-2026-25253(CVSS 8.8)은 원클릭 원격 코드 실행 체인을 노출시켰습니다. Snyk 조사 결과, ClawHub 스킬의 36%에서 프롬프트 주입 취약점이 발견되었습니다. SecurityScorecard는 공개 인터넷에 노출된 135,000개 이상의 인스턴스를 확인했습니다. Microsoft, Cisco, CrowdStrike, Kaspersky, Sophos, Trend Micro 등 주요 기업들이 모두 보안 권고문을 발표했습니다. 중국은 정부 기관에서 이 프레임워크 사용을 금지했습니다. 귀사가 에이전트형 AI 도입을 검토 중이라면, 먼저 이러한 위험 요소를 파악해야 합니다.
OpenClaw란 무엇인가요?
OpenClaw는 오스트리아 개발자 피터 슈타인베르거(Peter Steinberger)가 개발한 무료 오픈소스 AI 에이전트 프레임워크입니다. 이 프레임워크는 사용자의 컴퓨터에서 로컬로 실행되며, WhatsApp, Telegram, Slack, Discord 등의 메시징 플랫폼을 통해 Claude, GPT, DeepSeek과 같은 대규모 언어 모델(LLM)에 연결됩니다.
그 매력은 명백합니다. OpenClaw에게 수신함 정리, 항공권 예약, 일정 관리, 터미널 명령어 실행 등을 지시하면, OpenClaw가 이를 수행합니다. 스타인버거는 이를 “실제로 일을 해내는” AI라고 설명합니다. 이 에이전트는 작업을 단계별로 나누고, 적절한 도구를 선택한 뒤, 사용자의 최소한의 감독만으로도 작업을 수행합니다.
이것이 바로 기업 환경에서 위험한 이유이기도 합니다. OpenClaw는 구성 데이터와 상호작용 이력을 로컬에 저장하고, 세션 간에 지속적 메모리를 유지하며, 이메일 계정, 캘린더, 메시징 플랫폼 및 로컬 파일 시스템에 접근할 수 있습니다. 잘못 구성될 경우(2026년 1월까지 기본 설정으로 유지됨), 보안 팀이 감지하거나 제어할 수 없는 특권 실행 환경이 생성됩니다.
보안 문제: 연표
OpenClaw의 보안 문제는 단순한 이론상의 문제가 아닙니다. 지난 6주 동안 거의 모든 주요 사이버 보안 업체들이 이 문제를 보고했습니다.
CVE-2026-25253: 원클릭 원격 코드 실행 (CVSS 8.8)
연구자 Mav Levin이 발견하고 2026년 1월 30일에 패치된 이 취약점은 Control UI가 게이트웨이 URL 쿼리 매개변수. 예를 들어 카스퍼스키의 분석 내용, UI는 이 매개변수를 검증 없이 받아들였고 자동으로 WebSocket 연결을 시작하여 핸드셰이크 과정에서 사용자의 인증 토큰을 전송했습니다.
이 공격 체인은 단 몇 밀리초 만에 완료되었습니다. 토큰 유출에 이어 게이트웨이가 완전히 장악되었습니다. 공격자는 피해자의 컴퓨터에서 임의의 명령을 실행할 수 있었습니다. 로컬호스트에만 연결된 인스턴스조차도 공격의 대상이 될 수 있었습니다.
ClawHub 기술 공급망 오염
컨시아(Conscia)의 보안 분석 결과, OpenClaw가 급속히 확산된 지 불과 몇 주 만에 ClawHub에서 341개의 악성 스킬이 발견되었으며(당시 등록된 전체의 12%), 이 중 대부분은 Atomic macOS Stealer 악성코드를 유포하는 것이었습니다. 이후 업데이트된 스캔 결과 , 해당 숫자는 800개 이상의 악성 스킬로 늘어났으며 , 이는 전체 제출 건수의 약 20%에 달하는 수치입니다.
OpenClaw의 스킬은 샌드박스화된 스크립트가 아닙니다. 이는 에이전트 자체와 동일한 권한으로 실행되는 실행 가능한 코드 패키지입니다. 심지어 한 악성 스킬은 삭제되기 전까지 ClawHub의 메인 페이지에 노출되기도 했습니다.
Snyk ToxicSkills 감사
Snyk의 ClawHub 감사 결과, 전체 스킬의 36%에서 탐지 가능한 프롬프트 주입이 발견되었습니다. 확인된 악성 샘플 중 91%는 프롬프트 주입을 기존의 악성코드 기법과 결합하여, AI 안전 메커니즘과 기존 엔드포인트 보안 모두를 우회하고 있습니다.
스킬의 2.9%는 실행 시점에 외부 엔드포인트에서 콘텐츠를 동적으로 가져와 실행합니다. 게시된 스킬은 검토 단계에서는 무해해 보이지만, 공격자는 호스팅된 콘텐츠를 업데이트하여 언제든지 해당 스킬의 동작을 변경할 수 있습니다.
135,000개 이상의 노출된 인스턴스
SecurityScorecard의 STRIKE 팀은 82개국에 걸쳐 공개 인터넷에 노출된 135,000개 이상의 OpenClaw 인스턴스를 확인했습니다. 이들 중 상당수는 인증 절차 없이 실행되고 있었는데, 이는 버전 2026.1.29 이전의 기본 구성이었습니다.
중국 정부의 금지 조치
2026년 3월, 중국 당국은 국영 기업과 정부 기관이 사무용 컴퓨터에서 OpenClaw를 실행하는 것을 제한했다. CNCERT는 이 플랫폼의 취약한 기본 보안 설정과 프롬프트 주입 위험에 대해 공식 경고를 발령했다.
치명적인 3중고: AI 에이전트가 구조적으로 위험한 이유
보안 연구원 사이먼 윌리슨은 자율적 AI를 위험하게 만드는 요인들의 조합을 설명하기 위해 “치명적인 3중고”라는 용어를 만들었습니다. OpenClaw는 이 세 가지 요건을 모두 충족합니다:
- 개인 데이터에 대한 접근: OpenClaw는 호스트 컴퓨터의 파일, 이메일, 캘린더 및 인증 정보를 읽습니다.
- 신뢰할 수 없는 콘텐츠에 노출됨: 에이전트는 채팅 앱을 통해 메시지를 수신하고, 웹 페이지를 탐색하며, 외부 데이터를 자율적으로 처리합니다.
- 권한: OpenClaw는 이메일을 보내고, API 수행하며, 셸 명령을 실행하고, 파일을 수정할 수 있습니다.
소포스(Sophos)의 CISO는 다음과 같이 직설적으로 말했다. 즉석 주입 공격은 에이전트가 관리하는 이메일 계정으로 메시지를 보내, 비밀번호 관리자의 내용을 회신해 달라고 요청하는 것만큼이나 간단할 수 있다는 것이다. 해당 에이전트에게 메시지를 보낼 수 있는 사람이라면 누구나 사실상 그 에이전트가 가진 것과 동일한 권한을 얻게 된다.
마이크로소프트의 보안 blog 더욱 직설적으로 다음과 같이 언급했다. OpenClaw는 “지속적인 자격 증명을 동반한 신뢰할 수 없는 코드 실행”으로 간주되어야 한다.
‘섀도우 AI’ 문제
기업에 진정한 위험은 누군가가 공식적으로 OpenClaw를 배포하는 것이 아닙니다. IT 부서의 허락 없이 직원들이 자신의 컴퓨터에 이를 설치하는 것이 진짜 문제입니다.
비트디펜더(Bitdefender)의 원격 측정 데이터에 따르면, 이러한 상황이 이미 발생하고 있는 것으로 확인되었습니다. 직원들이 보안 검토나 SOC(보안 운영 센터)의 모니터링 없이 간단한 설치 명령어 하나로 기업용 기기에 OpenClaw를 배포하고 있는 것입니다. 트렌드마이크로(Trend Micro)는 많은 조직에서 IT 부서의 승인 없이 OpenClaw를 실행하고 있으며, 보안 팀이 직면한 첫 번째 과제는 단순히 어떤 소프트웨어가 설치되어 있는지 파악하는 것이라고 지적합니다.
사이버아크(CyberArk)는 이를 새로운 신원 보안 공격 표면으로 규정합니다. 개발자가 기업용 컴퓨터에서 OpenClaw 환경에 접속하거나, Slack이나 Salesforce와 연동하기 위해 기업 네트워크 내에 이를 배포할 경우, 기존 신원 및 접근 관리 통제 체계 밖에서 자율 에이전트가 작동하는 통로가 만들어집니다.
카스퍼스키는 OpenClaw를 “2026년 최대의 내부자 위협”이라고까지 규정했다.
OpenClaw를 기업용으로 강화할 수 있을까요?
OpenClaw는 최초 취약점 공개 이후 중요한 보안 업데이트를 여러 차례 배포했습니다. 버전 2026.2.12에서는 40개 이상의 취약점을 수정했습니다. 버전 2026.2.23에서는 HTTP 보안 헤더를 추가하고, 세션 관리 기능을 강화했으며, 브라우저 SSRF 정책을 기본적으로 "trusted-network" 모드로 변경했습니다.
하지만 근본적인 아키텍처상의 과제는 여전히 남아 있다. OpenClaw는 단일한 신뢰할 수 있는 운영자 경계를 가진 개인용 도구로 설계되었다. 이 프로젝트의 유지보수 담당자조차 디스코드에서 다음과 같이 경고했다. “명령줄을 실행하는 방법을 이해하지 못한다면, 이 프로젝트는 여러분이 안전하게 사용하기에는 너무나 위험한 프로젝트입니다.”
소포스(Sophos)의 분석에 따르면, OpenClaw는 민감한 데이터에 접근할 수 없는 일회용 샌드박스 환경에서만 “안전하게” 실행할 수 있는 흥미로운 연구 프로젝트로 간주되어야 합니다. AI 및 보안 분야에 풍부한 경험을 갖춘 조직이라 할지라도, 보안 침해 위험을 최소화하면서도 생산성 향상의 이점을 유지할 수 있도록 OpenClaw를 구성하는 것은 쉽지 않을 것입니다.
기업은 대신 무엇을 해야 할까
OpenClaw에 대한 수요는 분명합니다. 기업들은 업무를 수행하고, 회사 데이터에 접근하며, 다양한 커뮤니케이션 채널을 넘나들며 작동하는 AI 에이전트를 원합니다. 문제는 개인 개발자를 위해 만들어진 도구에서 이러한 기능을 기대하려는 데 있습니다.
엔터프라이즈급 에이전트형 AI 플랫폼은 처음부터 안전 장치를 철저히 구축함으로써 동일한 문제를 해결합니다. 다음은 고려해야 할 사항입니다:
- 중앙 집중식 관리: 역할 기반 접근 제어, 감사 추적 기능, 그리고 IT 담당자가 에이전트의 활동을 정확히 파악할 수 있도록 해주는 관리자 대시보드.
- 데이터 격리: 귀사가 관리하는 인프라(가급적 EU에 호스팅되고 GDPR을 준수하는 서버)에 저장된 회사 데이터는 모델 훈련에 절대 사용되지 않습니다.
- 보안 인증: SOC 2, ISO 27001 및 EU AI 법 준수를 기본 기준으로 합니다.
- API 관리 없이 다양한 모델에 접근: 관리형 게이트웨이를 통해 GPT, Claude, Gemini 및 기타 모델에 접근할 수 있으므로, 팀에서 원시 API 직접 다룰 필요가 없습니다.
- 코딩 없이 에이전트 구축: 기술적 지식이 없는 팀도 명령줄에 접속하지 않고도 에이전트를 생성하고 배포할 수 있어야 합니다.
- 커넥터 제어: CRM, CMS, Slack, Teams 및 기타 타사 시스템 전반에서 에이전트가 읽기, 쓰기 또는 업데이트할 수 있는 항목에 대한 세분화된 권한 설정.
TextCortex: 안전한 기업용 AI 인프라
TextCortex TextCortex는 바로 이러한 시나리오를 위해 구축되었습니다. 이는 유럽 연합(EU) 기반의 기업용 AI 인프라 플랫폼으로, 조직이 자체 회사 데이터에 AI 에이전트를 배포하고 관리할 수 있게 해줍니다. 이 플랫폼은 CRM 및 CMS와 같은 타사 시스템과 연동되며, Slack이나 Microsoft Teams와 같은 워크스페이스 앱에 배포됩니다. 모든 에이전트의 권한은 관리자가 완전히 통제합니다. 즉, 에이전트가 액세스하거나, 작성하거나, 업데이트할 수 있는 내용은 항상 사용자의 통제 하에 있습니다.
보안 인증: ISO 27001, SOC 2 Type II, GDPR 준수, EU AI 법 준수. 모든 데이터는 EU 내 인프라에 저장됩니다. 모델 훈련을 위해 데이터가 사용되는 일은 절대 없습니다. 전체 보안 문서는 trust.textcortex.com에서 확인하실 수 있습니다.


DAX 40에 편입된 자동차 부품 공급업체인 MAHLE는 TextCortex 도입해 1개월도 채 되지 않아 65%의 도입률을 달성했으며, 사용자들이 SharePoint 데이터를 기반으로 에이전트를 활용함으로써 사용자당 주당 5시간 이상을 절약했습니다. 8억 유로 이상의 운용자산을 보유한 벤처캐피털 기업 b2venture는 10개 이상의 전문 에이전트를 통해 투자 팀 전반에서 AI 사용량이 7배 증가했습니다.
자주 묻는 질문
OpenClaw는 기업 환경에서 사용하기에 안전한가요?
마이크로소프트, 시스코, 크라우드스트라이크, 카스퍼스키, 소포스, 트렌드마이크로의 보안 평가에 따르면, 현재 형태로는 그렇지 않습니다. OpenClaw는 단일 신뢰할 수 있는 운영자 경계를 가진 개인용 도구로 설계되었습니다. 마이크로소프트는 이를 신뢰할 수 없는 코드 실행으로 취급할 것을 권장하며, 소포스는 민감한 데이터에 접근할 수 없는 일회용 샌드박스 환경에서만 실행해야 한다고 밝혔습니다.
CVE-2026-25253이란 무엇인가요?
OpenClaw의 제어 UI에 원클릭 원격 코드 실행을 가능하게 하는 심각한 취약점(CVSS 8.8)이 발견되었습니다. 이 결함으로 인해 공격자는 악성 URL을 조작하여 인증 토큰을 탈취한 뒤, 게이트웨이를 완전히 장악할 수 있었습니다. 이 취약점은 2026년 1월 30일 출시된 버전 2026.1.29에서 수정되었습니다.
AI 에이전트 보안에서 ‘치명적인 3대 요소’란 무엇인가?
보안 연구원 사이먼 윌리슨이 만든 용어로, 결합될 경우 AI 에이전트를 위험하게 만드는 세 가지 특성, 즉 개인 데이터에 대한 접근 권한, 신뢰할 수 없는 콘텐츠에의 노출, 그리고 사용자를 대신해 행동할 수 있는 권한을 설명합니다. OpenClaw는 이 세 가지 특성을 모두 갖추고 있습니다.
OpenClaw를 기업용으로 강화할 수 있나요?
인증 기능을 활성화하고, 파일 시스템 범위를 제한하며, 광범위한 터미널 권한을 비활성화하고, 격리된 가상 머신(VM)에서 실행하며, 연결된 모든 서비스를 감사함으로써 보안 상태를 개선할 수 있습니다. 하지만 근본적인 문제(신뢰할 수 없는 콘텐츠를 처리하는 에이전트에 대한 프롬프트 주입 공격)는 패치만으로 해결할 수 없습니다. 이를 해결하려면 플랫폼 차원의 거버넌스가 필요합니다.
기업용으로 OpenClaw보다 더 안전한 대안은 무엇인가요?
다음과 같은 엔터프라이즈 AI 에이전트 플랫폼 TextCortex 와 같은 엔터프라이즈 AI 에이전트 플랫폼은 중앙 집중식 거버넌스, SOC 2 및 ISO 27001 인증, GDPR 준수 EU 호스팅, 에이전트 권한에 대한 관리자 제어 기능을 통해 동일한 에이전트 기능(작업 실행, 지식 기반 통합, 다중 채널 배포)을 제공합니다.
중국은 왜 OpenClaw를 금지했나요?
2026년 3월, 중국 당국은 정부 기관과 국영 기업이 사무용 컴퓨터에서 OpenClaw를 실행하는 것을 제한했다. CNCERT는 이 플랫폼의 취약한 기본 보안 설정과 데이터 유출로 이어질 수 있는 프롬프트 주입(prompt injection) 위험을 그 이유로 들었다.
