OpenClaw: AI 개인 비서의 새로운 패러다임과 그 이면의 보안 이슈

2026년 초, AI 커뮤니티를 뜨겁게 달군 프로젝트가 있습니다. 바로 OpenClaw입니다. 이 오픈소스 AI 에이전트는 출시 두 달 만에 GitHub 스타 10만 개를 돌파하며 역대 가장 빠르게 성장한 오픈소스 프로젝트 중 하나로 기록되었습니다. 하지만 이 폭발적인 성장 뒤에는 복잡한 이름 변경의 역사와 심각한 보안 우려가 함께하고 있습니다.

OpenClaw란 무엇인가?

OpenClaw는 사용자의 기기에서 로컬로 실행되는 오픈소스 AI 개인 비서입니다. 단순한 챗봇을 넘어 실제로 "행동"할 수 있는 자율형 AI 에이전트라는 점이 핵심입니다.

핵심 특징

24/7 상시 작동하는 AI 비서

OpenClaw는 일반적인 AI 채팅 서비스와 달리 브라우저 탭을 열어야만 작동하는 것이 아닙니다. Node.js 기반의 장기 실행 서비스로 설계되어 서버나 로컬 기기에서 24시간 계속 실행됩니다. 사용자가 잠든 사이에도 예약된 작업을 수행하고, 새로운 정보가 생기면 먼저 연락을 취합니다.

로컬 우선(Local-First) 아키텍처

모든 데이터와 대화 기록이 사용자의 기기에 저장됩니다. 이는 클라우드 기반 서비스와 차별화되는 점으로, 개인정보가 외부 서버로 전송되지 않습니다. 설정 데이터는 로컬 Markdown 문서로 저장되어 사용자가 직접 수정할 수도 있습니다.

영구 메모리(Persistent Memory)

OpenClaw의 가장 주목받는 기능 중 하나입니다. 일반 챗봇은 세션이 끝나면 대화 내용을 잊어버리지만, OpenClaw는 몇 주 전 대화 내용도 기억하고 사용자의 습관과 선호도를 학습합니다. 이를 통해 개인화된 서비스를 제공합니다.

다양한 메시징 플랫폼 지원

WhatsApp, Telegram, Slack, Discord, Signal, iMessage, Microsoft Teams, Google Chat 등 12개 이상의 주요 메시징 플랫폼과 연동됩니다. 사용자는 평소 사용하는 앱에서 자연스럽게 AI 비서와 대화할 수 있습니다.

무엇을 할 수 있나?

OpenClaw는 50개 이상의 통합 기능을 제공하며, 실제로 다양한 작업을 자동화할 수 있습니다.

업무 자동화

이메일 관리 및 자동 응답
캘린더 일정 관리
GitHub 워크플로우 자동화
코드 리뷰 및 디버깅 지원
Notion, Obsidian, Trello 등 생산성 도구 연동

웹 자동화

브라우저 제어를 통한 폼 작성
웹 스크래핑 및 데이터 추출
예약 및 구매 자동화

스마트홈 및 IoT

Philips Hue 조명 제어
공기청정기 등 가전제품 제어
스마트홈 기기 연동

미디어 및 창작

Spotify 연동을 통한 음악 재생
AI 기반 이미지 생성
맞춤형 명상 오디오 생성

자기 확장 능력

가장 놀라운 점은 OpenClaw가 스스로 새로운 기능(Skill)을 작성할 수 있다는 것입니다. 필요한 기능이 없다면 대화를 통해 새로운 스킬을 만들어달라고 요청하면 됩니다.

Clawdbot → Moltbot → OpenClaw: 이름 변경의 역사

OpenClaw의 현재 이름에 도달하기까지는 복잡하고 드라마틱한 과정이 있었습니다.

Clawdbot (2025년 11월 출시)

오스트리아 출신 소프트웨어 개발자 Peter Steinberger가 PSPDFKit 창업 후 Insight Partners에 매각한 이후 새롭게 시작한 프로젝트입니다. 초기 이름인 "Clawdbot"은 Anthropic의 AI 모델 "Claude"를 연상시키는 이름이었고, 많은 사용자들이 이를 "Claude with hands(손을 가진 Claude)"라고 불렀습니다.

출시 직후 프로젝트는 급속도로 성장하여 24시간 만에 9,000개의 GitHub 스타를 획득했습니다. Andrej Karpathy, David Sacks 등 영향력 있는 개발자들의 찬사가 이어졌고, MacStories는 이를 "개인 AI 비서의 미래"라고 평가했습니다.

Moltbot으로 리브랜딩 (2026년 1월)

하지만 인기가 높아지면서 문제가 발생했습니다. Anthropic이 상표권 문제로 이름 변경을 요청한 것입니다. "Clawdbot"이 "Claude"와 너무 유사하다는 것이 이유였습니다.

개발팀은 신속하게 "Moltbot"으로 이름을 변경했습니다. 이 새로운 이름은 갑각류(랍스터)가 탈피(molt)를 통해 성장하는 것에서 영감을 받았습니다. 프로젝트의 마스코트가 랍스터인 것과 연결되는 상징적인 의미였습니다.

OpenClaw로 최종 정착 (2026년 2월)

그러나 "Moltbot"이라는 이름은 발음하기 어렵고, 프로젝트의 정체성을 명확히 전달하지 못한다는 피드백이 있었습니다. 결국 개발팀은 "OpenClaw"로 다시 한번 이름을 변경했습니다.

새 이름은 의도적으로 Anthropic과의 연관성을 줄이고, 프로젝트가 모델에 구애받지 않는 인프라임을 강조합니다. Claude뿐 아니라 ChatGPT, DeepSeek, 중국의 KIMI, Xiaomi MiMo 등 다양한 AI 모델과 함께 사용할 수 있습니다.

이름 변경이 야기한 혼란

며칠 만에 세 번이나 이름이 바뀌면서 심각한 부작용이 발생했습니다.

사칭 공격 증가: 공격자들이 이전 이름(Clawdbot, Moltbot)을 사용한 가짜 확장 프로그램, 웹사이트, 소셜 미디어 계정을 만들어 사용자들을 속였습니다.
가짜 VS Code 확장 프로그램: "ClawdBot Agent"라는 이름의 트로이 목마가 발견되었습니다. 공식 팀은 VS Code 확장을 배포한 적이 없었습니다.
도메인 및 저장소 혼란: 빠른 이름 변경 과정에서 도메인, 소셜 계정, 저장소 소유권에 공백이 생겼고, 공격자들이 이를 노렸습니다.

OpenClaw의 장점

1. 완전한 오픈소스

MIT 라이선스로 배포되어 누구나 자유롭게 사용, 수정, 배포할 수 있습니다. 코드를 직접 검토하고 보안 감사를 수행할 수 있습니다.

2. 데이터 주권 보장

모든 데이터가 사용자의 기기에 저장됩니다. 클라우드 서비스에 개인정보를 맡기는 것이 불안한 사용자에게 매력적인 선택입니다.

3. 비용 효율성

OpenClaw 자체는 무료입니다. 비용은 연동하는 AI 모델의 API 사용료뿐입니다. 월정액 구독이나 락인(lock-in)이 없습니다.

4. 무한한 확장성

700개 이상의 커뮤니티 스킬이 ClawHub에 등록되어 있습니다. 필요한 기능이 없으면 직접 만들거나 AI에게 만들어달라고 요청할 수 있습니다.

5. 모델 선택의 자유

특정 AI 모델에 종속되지 않습니다. Anthropic Claude, OpenAI GPT, 로컬 모델 등 원하는 모델을 선택하여 사용할 수 있습니다.

6. 활발한 커뮤니티

출시 두 달 만에 145,000개 이상의 GitHub 스타와 20,000개 이상의 포크를 기록했습니다. 실리콘밸리부터 중국까지 전 세계 개발자들이 참여하고 있습니다.

7. 진정한 자율성

단순 응답을 넘어 능동적으로 작업을 수행합니다. 크론 작업, 웹훅, 예약 실행 등을 통해 사용자가 지시하지 않아도 필요한 작업을 수행합니다.

보안 관련 우려사항 및 단점

OpenClaw의 강력한 기능은 동시에 심각한 보안 위험을 수반합니다. 보안 전문가들은 이를 **"양날의 검"**이라고 표현합니다.

1. 높은 권한의 시스템 접근

OpenClaw는 제대로 작동하기 위해 광범위한 권한이 필요합니다.

셸 명령어 실행
파일 읽기/쓰기
브라우저 제어
API 키 및 OAuth 토큰 저장
이메일, 캘린더, 메시징 플랫폼 접근

Palo Alto Networks는 이를 **"치명적인 3중 위협(lethal trifecta)"**이라고 경고했습니다. 개인 데이터 접근, 신뢰할 수 없는 콘텐츠 노출, 외부 통신 능력의 조합이 설계상 취약점을 만든다는 것입니다.

2. 프롬프트 인젝션(Prompt Injection) 공격

AI 에이전트의 고질적인 문제입니다. 악의적인 지시가 포함된 이메일, 웹페이지, 문서를 AI가 읽으면 의도치 않은 행동을 할 수 있습니다.

실제 사례로, 보안 연구원 Matvey Kukuy는 악성 이메일을 통해 OpenClaw 인스턴스를 조작하여 사용자의 최근 이메일 5개를 공격자에게 전송하도록 만드는 데 단 5분밖에 걸리지 않았습니다.

OpenClaw 공식 문서조차 인정합니다: "완벽하게 안전한 설정은 없습니다(There is no 'perfectly secure' setup)."

3. 심각한 취약점 발견

최근 3일 동안만 3건의 고위험 보안 권고가 발표되었습니다.

CVE-2026-25253 (CVSS 8.8)

원클릭 원격 코드 실행(RCE) 취약점
악성 링크 클릭만으로 게이트웨이 전체 제어권 탈취 가능
WebSocket 오리진 헤더 미검증으로 인한 크로스사이트 하이재킹

4. 악성 스킬(Skill) 공급망 공격

Koi Security의 감사 결과, ClawHub에 등록된 2,857개 스킬 중 341개가 악성으로 확인되었습니다.

ClawHavoc 캠페인

335개 스킬이 Atomic Stealer(AMOS) 악성코드 설치 시도
암호화폐 지갑 추적, YouTube 요약 등 정상적인 기능으로 위장
macOS와 Windows 모두 대상

악성 스킬의 행위

브라우저 비밀번호 탈취
암호화폐 지갑 개인키 추출
SSH 자격 증명 탈취
백도어 리버스 셸 설치
~/.clawdbot/.env 파일의 봇 자격 증명 외부 전송

5. 잘못된 설정으로 인한 노출

Shodan을 사용한 검색에서 공개적으로 접근 가능한 OpenClaw 인스턴스가 다수 발견되었습니다.

노출된 정보:

API 키 및 봇 토큰
OAuth 비밀
전체 대화 기록
사용자 대신 메시지 전송 능력
명령 실행 권한

6. 영구 메모리의 역설

장점으로 꼽히는 영구 메모리가 보안에서는 위험 요소가 됩니다.

Palo Alto Networks의 분석: "영구 메모리로 인해 공격은 더 이상 단순한 시점 공격이 아닙니다. 상태를 유지하는 지연 실행 공격이 됩니다. 악성 페이로드가 즉시 실행될 필요 없이, 에이전트의 내부 상태나 도구 가용성이 적절해질 때까지 기다렸다가 폭발할 수 있습니다."

7. 비기술 사용자에게 부적합

개발자 Peter Steinberger 본인도 인정했습니다: "아직 일반 사용자(normies)를 위한 것이 아닙니다." 설정과 보안 구성에 상당한 기술적 이해가 필요합니다.

안전하게 사용하기 위한 권장사항

OpenClaw를 사용하고자 한다면, 다음 보안 지침을 반드시 따르세요.

최소 권한 원칙 적용

필요한 최소한의 접근 권한만 부여
민감한 계정이나 프로덕션 시스템 연결 자제
읽기 전용 또는 도구 비활성화 모드 고려

격리된 환경에서 실행

Docker 컨테이너, VM, 또는 샌드박스 환경 사용
VPS에서 실행하고 로컬 기기에서 분리
필수적이지 않은 네트워크 접근 차단

강력한 인증 설정

DM 정책을 "pairing" 또는 allowlist로 설정
게이트웨이 인증 토큰 정기적 갱신
localhost만 바인딩하고 Tailscale 등으로 접근

스킬 설치 시 주의

ClawHub의 스킬을 무조건 신뢰하지 말 것
설치 전 소스 코드 검토
수동 터미널 명령 실행 요청에 특히 경계

정기적인 업데이트

보안 취약점이 빠르게 발견되고 패치되고 있음
openclaw update 명령으로 최신 버전 유지
openclaw doctor로 보안 구성 점검

결론: 미래의 가능성과 현재의 위험 사이

OpenClaw는 AI 에이전트의 미래를 보여주는 혁신적인 프로젝트입니다. 로컬에서 실행되어 프라이버시를 보장하고, 실제로 작업을 수행할 수 있으며, 완전히 오픈소스입니다.

하지만 그 강력함은 동등한 수준의 위험을 동반합니다. Cisco의 표현처럼 이는 **"보안 악몽"**이 될 수 있습니다. The Register는 더 직설적으로 **"보안 쓰레기통 불(dumpster fire)"**이라고 표현했습니다.

개발자 Steinberger와 커뮤니티는 보안 강화에 적극적으로 대응하고 있으며, 빠른 속도로 취약점을 패치하고 있습니다. OpenClaw를 **"특권 인프라"**로 인식하고 적절한 보안 조치를 취한다면, 진정으로 생산성을 혁신할 수 있는 도구가 될 것입니다.

하지만 그 준비가 되어 있지 않다면, 아직은 관망하는 것이 현명할 수 있습니다.

참고 자료

이 글은 2026년 2월 4일 기준으로 작성되었습니다. OpenClaw는 빠르게 발전하는 프로젝트로, 최신 정보는 공식 문서를 참고하시기 바랍니다.

OpenClaw란 무엇인가?

핵심 특징

24/7 상시 작동하는 AI 비서

로컬 우선(Local-First) 아키텍처

영구 메모리(Persistent Memory)

다양한 메시징 플랫폼 지원

무엇을 할 수 있나?

OpenClaw는 50개 이상의 통합 기능을 제공하며, 실제로 다양한 작업을 자동화할 수 있습니다.

업무 자동화

이메일 관리 및 자동 응답
캘린더 일정 관리
GitHub 워크플로우 자동화
코드 리뷰 및 디버깅 지원
Notion, Obsidian, Trello 등 생산성 도구 연동

웹 자동화

브라우저 제어를 통한 폼 작성
웹 스크래핑 및 데이터 추출
예약 및 구매 자동화

스마트홈 및 IoT

Philips Hue 조명 제어
공기청정기 등 가전제품 제어
스마트홈 기기 연동

미디어 및 창작

Spotify 연동을 통한 음악 재생
AI 기반 이미지 생성
맞춤형 명상 오디오 생성

자기 확장 능력

Clawdbot → Moltbot → OpenClaw: 이름 변경의 역사

OpenClaw의 현재 이름에 도달하기까지는 복잡하고 드라마틱한 과정이 있었습니다.

Clawdbot (2025년 11월 출시)

Moltbot으로 리브랜딩 (2026년 1월)

OpenClaw로 최종 정착 (2026년 2월)

이름 변경이 야기한 혼란

며칠 만에 세 번이나 이름이 바뀌면서 심각한 부작용이 발생했습니다.

사칭 공격 증가: 공격자들이 이전 이름(Clawdbot, Moltbot)을 사용한 가짜 확장 프로그램, 웹사이트, 소셜 미디어 계정을 만들어 사용자들을 속였습니다.
가짜 VS Code 확장 프로그램: "ClawdBot Agent"라는 이름의 트로이 목마가 발견되었습니다. 공식 팀은 VS Code 확장을 배포한 적이 없었습니다.
도메인 및 저장소 혼란: 빠른 이름 변경 과정에서 도메인, 소셜 계정, 저장소 소유권에 공백이 생겼고, 공격자들이 이를 노렸습니다.

OpenClaw의 장점

1. 완전한 오픈소스

MIT 라이선스로 배포되어 누구나 자유롭게 사용, 수정, 배포할 수 있습니다. 코드를 직접 검토하고 보안 감사를 수행할 수 있습니다.

2. 데이터 주권 보장

모든 데이터가 사용자의 기기에 저장됩니다. 클라우드 서비스에 개인정보를 맡기는 것이 불안한 사용자에게 매력적인 선택입니다.

3. 비용 효율성

OpenClaw 자체는 무료입니다. 비용은 연동하는 AI 모델의 API 사용료뿐입니다. 월정액 구독이나 락인(lock-in)이 없습니다.

4. 무한한 확장성

700개 이상의 커뮤니티 스킬이 ClawHub에 등록되어 있습니다. 필요한 기능이 없으면 직접 만들거나 AI에게 만들어달라고 요청할 수 있습니다.

5. 모델 선택의 자유

특정 AI 모델에 종속되지 않습니다. Anthropic Claude, OpenAI GPT, 로컬 모델 등 원하는 모델을 선택하여 사용할 수 있습니다.

6. 활발한 커뮤니티

출시 두 달 만에 145,000개 이상의 GitHub 스타와 20,000개 이상의 포크를 기록했습니다. 실리콘밸리부터 중국까지 전 세계 개발자들이 참여하고 있습니다.

7. 진정한 자율성

단순 응답을 넘어 능동적으로 작업을 수행합니다. 크론 작업, 웹훅, 예약 실행 등을 통해 사용자가 지시하지 않아도 필요한 작업을 수행합니다.

보안 관련 우려사항 및 단점

OpenClaw의 강력한 기능은 동시에 심각한 보안 위험을 수반합니다. 보안 전문가들은 이를 **"양날의 검"**이라고 표현합니다.

1. 높은 권한의 시스템 접근

OpenClaw는 제대로 작동하기 위해 광범위한 권한이 필요합니다.

셸 명령어 실행
파일 읽기/쓰기
브라우저 제어
API 키 및 OAuth 토큰 저장
이메일, 캘린더, 메시징 플랫폼 접근

2. 프롬프트 인젝션(Prompt Injection) 공격

AI 에이전트의 고질적인 문제입니다. 악의적인 지시가 포함된 이메일, 웹페이지, 문서를 AI가 읽으면 의도치 않은 행동을 할 수 있습니다.

OpenClaw 공식 문서조차 인정합니다: "완벽하게 안전한 설정은 없습니다(There is no 'perfectly secure' setup)."

3. 심각한 취약점 발견

최근 3일 동안만 3건의 고위험 보안 권고가 발표되었습니다.

CVE-2026-25253 (CVSS 8.8)

원클릭 원격 코드 실행(RCE) 취약점
악성 링크 클릭만으로 게이트웨이 전체 제어권 탈취 가능
WebSocket 오리진 헤더 미검증으로 인한 크로스사이트 하이재킹

4. 악성 스킬(Skill) 공급망 공격

Koi Security의 감사 결과, ClawHub에 등록된 2,857개 스킬 중 341개가 악성으로 확인되었습니다.

ClawHavoc 캠페인

335개 스킬이 Atomic Stealer(AMOS) 악성코드 설치 시도
암호화폐 지갑 추적, YouTube 요약 등 정상적인 기능으로 위장
macOS와 Windows 모두 대상

악성 스킬의 행위

브라우저 비밀번호 탈취
암호화폐 지갑 개인키 추출
SSH 자격 증명 탈취
백도어 리버스 셸 설치
~/.clawdbot/.env 파일의 봇 자격 증명 외부 전송

5. 잘못된 설정으로 인한 노출

Shodan을 사용한 검색에서 공개적으로 접근 가능한 OpenClaw 인스턴스가 다수 발견되었습니다.

노출된 정보:

API 키 및 봇 토큰
OAuth 비밀
전체 대화 기록
사용자 대신 메시지 전송 능력
명령 실행 권한

6. 영구 메모리의 역설

장점으로 꼽히는 영구 메모리가 보안에서는 위험 요소가 됩니다.

7. 비기술 사용자에게 부적합

안전하게 사용하기 위한 권장사항

OpenClaw를 사용하고자 한다면, 다음 보안 지침을 반드시 따르세요.

최소 권한 원칙 적용

필요한 최소한의 접근 권한만 부여
민감한 계정이나 프로덕션 시스템 연결 자제
읽기 전용 또는 도구 비활성화 모드 고려

격리된 환경에서 실행

Docker 컨테이너, VM, 또는 샌드박스 환경 사용
VPS에서 실행하고 로컬 기기에서 분리
필수적이지 않은 네트워크 접근 차단

강력한 인증 설정

DM 정책을 "pairing" 또는 allowlist로 설정
게이트웨이 인증 토큰 정기적 갱신
localhost만 바인딩하고 Tailscale 등으로 접근

스킬 설치 시 주의

ClawHub의 스킬을 무조건 신뢰하지 말 것
설치 전 소스 코드 검토
수동 터미널 명령 실행 요청에 특히 경계

정기적인 업데이트

보안 취약점이 빠르게 발견되고 패치되고 있음
openclaw update 명령으로 최신 버전 유지
openclaw doctor로 보안 구성 점검

결론: 미래의 가능성과 현재의 위험 사이

하지만 그 준비가 되어 있지 않다면, 아직은 관망하는 것이 현명할 수 있습니다.

참고 자료

이 글은 2026년 2월 4일 기준으로 작성되었습니다. OpenClaw는 빠르게 발전하는 프로젝트로, 최신 정보는 공식 문서를 참고하시기 바랍니다.

OpenClaw란 무엇인가?

핵심 특징

무엇을 할 수 있나?

업무 자동화

웹 자동화

스마트홈 및 IoT

미디어 및 창작

자기 확장 능력

Clawdbot → Moltbot → OpenClaw: 이름 변경의 역사

Clawdbot (2025년 11월 출시)

Moltbot으로 리브랜딩 (2026년 1월)

OpenClaw로 최종 정착 (2026년 2월)

이름 변경이 야기한 혼란

OpenClaw의 장점

1. 완전한 오픈소스

2. 데이터 주권 보장

3. 비용 효율성

4. 무한한 확장성

5. 모델 선택의 자유

6. 활발한 커뮤니티

7. 진정한 자율성

보안 관련 우려사항 및 단점

1. 높은 권한의 시스템 접근

2. 프롬프트 인젝션(Prompt Injection) 공격

3. 심각한 취약점 발견

4. 악성 스킬(Skill) 공급망 공격

5. 잘못된 설정으로 인한 노출

6. 영구 메모리의 역설

7. 비기술 사용자에게 부적합

안전하게 사용하기 위한 권장사항

최소 권한 원칙 적용

격리된 환경에서 실행

강력한 인증 설정

스킬 설치 시 주의

최신 모델 사용

정기적인 업데이트

결론: 미래의 가능성과 현재의 위험 사이

참고 자료

댓글

OpenClaw란 무엇인가?

핵심 특징

무엇을 할 수 있나?

업무 자동화

웹 자동화

스마트홈 및 IoT

미디어 및 창작

자기 확장 능력

Clawdbot → Moltbot → OpenClaw: 이름 변경의 역사

Clawdbot (2025년 11월 출시)

Moltbot으로 리브랜딩 (2026년 1월)

OpenClaw로 최종 정착 (2026년 2월)

이름 변경이 야기한 혼란

OpenClaw의 장점

1. 완전한 오픈소스

2. 데이터 주권 보장

3. 비용 효율성

4. 무한한 확장성

5. 모델 선택의 자유

6. 활발한 커뮤니티

7. 진정한 자율성

보안 관련 우려사항 및 단점

1. 높은 권한의 시스템 접근

2. 프롬프트 인젝션(Prompt Injection) 공격

3. 심각한 취약점 발견

4. 악성 스킬(Skill) 공급망 공격

5. 잘못된 설정으로 인한 노출

6. 영구 메모리의 역설

7. 비기술 사용자에게 부적합

안전하게 사용하기 위한 권장사항

최소 권한 원칙 적용

격리된 환경에서 실행

강력한 인증 설정

스킬 설치 시 주의

최신 모델 사용

정기적인 업데이트

결론: 미래의 가능성과 현재의 위험 사이

참고 자료