OpenClaw는 꿈처럼 보이지만 보안 악몽에 가까운 자율 에이전트

• Opus 기반의 차세대 자율 에이전트 OpenClaw는 이메일, 캘린더, 홈 자동화 등 다양한 앱을 통합해 개인 비서처럼 작동함
• 그러나 SkillHub 스킬 검증 부재, 토큰 노출, 메모리 오염 등 다수의 취약점이 발견되어 심각한 보안 위험을 초래함
• 3만 개 이상 인스턴스가 인증 없이 노출되었고, 프롬프트 인젝션과 공급망 공격 가능성도 확인됨
• Palo Alto Networks는 OpenClaw의 구조적 문제를 OWASP 에이전트 위험 10대 항목에 포함시킴
• 이에 대응해 TrustClaw가 관리형 OAuth, 원격 샌드박스, 최소 권한 제어를 갖춘 보안 중심 대안으로 제시됨

OpenClaw: 이상과 악몽의 양면

• 2023년 AutoGPT와 BabyAGI 이후, OpenClaw는 Opus 기반의 차세대 자율 에이전트로 주목받음
  • 로컬 파일, 터미널, 브라우저, Gmail, Slack, 홈 자동화 시스템까지 제어 가능
  • OpenAI가 창시자 Peter Steinberger를 인수하며 화제가 됨
• 뛰어난 기능 뒤에는 심각한 보안 취약점이 존재
  • 높은 성능에도 불구하고 보안 구조는 불안정하다는 평가

OpenClaw: 꿈같은 자동화의 약속

• OpenClaw는 이메일 정리, 회의 예약, 음악 재생 등 일상 업무를 자동 처리하는 개인 비서형 에이전트
  • Anthropic의 Claude Opus 4.5 모델 기반으로 Telegram을 통해 작동
  • Notion, Todoist, Spotify, Sonos, Gmail 등 다양한 앱을 통합 가능
• 사용이 늘수록 패턴 학습과 워크플로우 자동화가 강화되어 점점 더 개인화된 행동 수행
  • 예: 식당 예약 시 취소 수수료를 인식하고 캘린더에 반영
• 그러나 실제 사용 중 예기치 않은 행동 발생 사례 존재
  • Slack 대화를 잘못 해석해 자동으로 휴가 상태로 설정하는 등 오류 발생

• 보안과 프라이버시의 파우스트적 거래

  • OpenClaw는 문자, 2FA 코드, 은행 계좌, 캘린더, 연락처 등 민감한 데이터에 접근
  • 사용자는 인간 비서 대신 프롬프트 인젝션, 모델 환각, 설정 오류 등의 새로운 위험을 감수해야 함
  • 인간은 법적 책임을 질 수 있지만, 에이전트는 그렇지 않음

• 사용 여부 판단

  • OpenClaw는 기존의 안전장치를 무시하고 빠르게 실행하는 특성이 있음
  • WhatsApp, Telegram 등 외부 앱 접근 권한이 필요해 공격 벡터로 악용될 가능성 존재
  • 기술 생태계가 아직 성숙하지 않아 일반 사용자는 사용을 피하는 것이 권장됨

OpenClaw: 보안 악몽의 실체

• ClawdHub 스킬 취약점

  • OpenClaw는 SkillHub에서 사용자 제작 스킬을 다운로드해 사용
  • 보안 검증 절차가 없어 악성 스킬이 유포됨
  • 1Password의 Jason Melier는 “Twitter” 스킬이 정보 탈취형 악성코드를 설치함을 발견
  • 해당 스킬은 링크를 통해 2단계 페이로드를 실행, macOS 보안 검사를 우회
  • VirusTotal 분석 결과, 쿠키·SSH 키 등 민감 정보 탈취 가능성 확인

• 공급망 공격 시뮬레이션

  • Jamieson O’Reilly는 “What would Elon Do”라는 가짜 스킬을 만들어 다운로드 수를 조작
  • 7개국 개발자들이 이를 실행하며 원격 명령이 수행됨을 확인
  • 실제 데이터는 수집하지 않았지만, 동일한 방식으로 공격 가능함
  • Snyk 분석에 따르면 3,984개 스킬 중 283개(7.1%)가 평문 자격 증명 노출 취약점 보유
  • 이후 VirusTotal과 협력해 스킬 스캔이 도입됨

• 영구적 프롬프트 인젝션 위협

  • OpenClaw는 Simon Willison의 ‘치명적 삼합체’ 조건을 모두 충족
    • 개인 데이터 접근
    • 신뢰할 수 없는 콘텐츠 노출
    • 외부 통신 가능성
  • 메시지나 이메일, 웹사이트의 텍스트만으로도 공격자가 에이전트를 조작 가능
  • Gary Marcus는 “운영체제 보호를 우회하는 구조”라며 애플리케이션 격리 정책이 적용되지 않는다고 지적
  • Reddit 유사 플랫폼 Moltbook에서는 에이전트 간 암호화폐 펌프앤덤프 활동이 관찰됨

• 통합 서비스의 위험

  • OpenClaw는 Slack, Gmail, Teams, Trello 등 50개 이상의 통합 기능을 제공
  • 통합이 늘수록 공격 표면이 확대되어, 침해 시 모든 연결 서비스가 위험에 노출됨

• 인증 남용과 과도한 토큰 권한

  • OAuth 토큰과 API 키가 로컬 파일(auth-profiles.json)에 저장됨
  • 약한 인증이나 노출된 게이트웨이로 인해 토큰 탈취 위험 존재
  • 탈취된 토큰으로 공격자는 Slack, Gmail 등에서 사용자를 완전히 가장 가능

• 메모리 구조의 문제

  • OpenClaw의 메모리는 단순한 Markdown 파일 집합
  • 감염된 에이전트가 메모리를 조작해도 탐지 불가
  • 메모리 오염은 전체 인스턴스를 장기적으로 감염시킬 수 있음

• 3만 개 이상 노출된 인스턴스

  • 배포 초기, 보안 고려 없이 설치된 인스턴스가 대량 노출
  • localhost 트래픽을 자동 승인하는 취약점으로 인증 없이 접근 가능
  • Censys는 21,000개, BitSight는 30,000개 이상의 공개 노출 인스턴스를 탐지
  • 이후 패치가 이루어졌으나 피해 규모는 이미 상당함

• OWASP Top 10 대응 분석

  • Palo Alto Networks는 OpenClaw의 취약점을 OWASP 에이전트 위험 10대 항목에 매핑
  • 주요 항목: 프롬프트 인젝션, 과도한 자율성, 메모리 오염, 통합 보안 부재, 권한 분리 실패, 런타임 모니터링 부재 등

OpenClaw 보안 강화 및 대안

• 분리된 컨테이너 환경

  • 메인 컴퓨터가 아닌 별도 장비(Docker 컨테이너)에서 실행 권장
  • 홈 디렉터리 전체 마운트 금지, 비관리자 사용자로 실행
  • Docker 소켓 미마운트, seccomp 프로필 활성화로 시스템 호출 제한

• 클라우드 VPS 배포 시

  • 게이트웨이를 127.0.0.1로 바인딩, VPN 또는 프라이빗 터널로만 접근
  • 방화벽으로 SSH 접근 제한, 루트리스 Docker 사용
  • 토큰 회전 계획 수립 및 trusted-proxy 설정 최소화

• 별도 계정 사용

  • OpenClaw 전용 Gmail, 캘린더, 1Password 계정을 생성
  • 에이전트를 독립된 디지털 인격처럼 취급해 데이터 분리 유지

• 안전한 통합 관리

  • Composio를 통해 OAuth 토큰을 직접 저장하지 않고 관리형 인증 계층 사용
  • 앱별 권한 범위를 중앙에서 제어하고, 세분화된 접근 스코프 설정 가능
  • 자격 증명 수명주기(연결, 갱신, 회전)를 자동 관리

• 최소 권한 원칙

  • 읽기 전용과 쓰기 권한을 분리한 다중 에이전트 구조 권장
  • 쓰기 권한은 시간 제한 부여, 리소스 단위로 범위 축소
  • 삭제·공유·전송 등 파괴적 작업은 인간 승인 절차 필수
  • Composio 대시보드에서 정기적으로 권한 감사 수행

• 도구 실행 가시성

  • Composio는 에이전트의 모든 앱 통합 실행 내역을 추적
  • 문제 발생 시 원인 파악과 복구를 용이하게 함

TrustClaw: 보안 중심 대안

• OpenClaw의 보안 문제를 해결하기 위해 TrustClaw가 개발됨
  • 관리형 OAuth로 토큰을 디스크에 저장하지 않음
  • 스코프 기반 접근 제어로 최소 권한만 부여
  • 원격 샌드박스 코드 실행으로 로컬 시스템 손상 방지
  • 원클릭 설정, 24/7 에이전트 운영, 완전한 실행 가시성 제공

결론

• TrustClaw는 이메일, 캘린더, 자격 증명 저장소를 안전하게 통합한 완전 격리형 AI 비서 제공
• 공유된 문서나 폴더만 접근 가능하며, 그 외 데이터는 차단됨
• AI는 아직 미성숙 단계에 있으며, 안전장치와 복구 설계를 전제로 사용해야 함
• 자동화의 편리함 뒤에는 항상 보안과 신뢰의 균형이 필요함