OpenClaw, 왜 네이버·카카오·당근이 먼저 차단했나: 기업 보안 담당자를 위한 위협 분석과 대응 가이드

네이버, 카카오, 당근이 2월 8일 일제히 사내 사용 금지령을 내린 OpenClaw. GitHub 스타 18만 개를 돌파하며 ‘현실판 자비스’로 불리던 이 오픈소스 AI 에이전트가, 불과 2주 만에 기업 보안의 최대 위협으로 떠올랐다. 본 글에서는 OpenClaw가 기업 환경에 미치는 구체적 위협을 기술적으로 분석하고, 보안 담당자가 즉시 취해야 할 대응 방안을 제시한다.

OpenClaw는 무엇이 다른가

OpenClaw(전 Clawdbot, Moltbot)는 기존 챗봇과 근본적으로 다른 구조를 갖고 있다. 기존 생성형 AI가 텍스트 응답만 생성하는 데 반해, OpenClaw는 사용자의 PC 화면을 인식하고, 파일을 열고, 스크립트를 실행하며, 마우스와 키보드를 직접 조작한다. 사용자 계정 권한 안에서 자율적으로 판단하고 행동하는 ‘에이전트형 AI’인 것이다.

WhatsApp, Telegram, Discord 등 메신저와 연동되어 사용자가 채팅으로 지시를 내리면, OpenClaw가 캘린더 관리, 이메일 처리, 브라우저 제어, 코드 실행까지 수행한다. 편의성은 압도적이다. 그러나 보안 관점에서 이 구조는 곧 ‘사용자가 가진 모든 권한을 AI에게 위임’하는 것이며, 그 AI가 침해당하면 공격자에게도 동일한 권한이 넘어간다는 뜻이다.

국내외 기업의 대응 현황

국내: 딥시크 이후 1년 만의 AI 사용 금지령

2월 8일, 네이버·카카오·당근은 임직원 대상으로 OpenClaw 사용 금지 공지를 냈다. 카카오는 “회사의 정보자산 보호를 위해 사내망 및 업무용 기기에서 사용을 제한한다”고 밝혔고, 당근은 OpenClaw와 Moltbot 모두의 접속을 차단했다. 국내에서 특정 AI 도구에 대해 기업 차원의 공식 금지 조치가 내려진 것은 2025년 초 딥시크 사태 이후 처음이다.

삼성전자와 SK하이닉스는 2023년 ChatGPT 확산 이후 외부 생성형 AI 사내망 사용을 원칙적으로 금지해온 기존 방침을 유지하고 있어 별도 공지를 내지 않았으나, 사내 보안팀이 사용 여부를 점검 중인 것으로 알려졌다.

해외: 마이크로소프트, 중국 MIIT까지 경고

마이크로소프트 AI 안전팀은 내부 메모를 통해 “OpenClaw는 아직 기업용으로 쓰기엔 보안이 미흡하다”는 평가를 전사 직원에게 공유했다. 중국 공업정보화부(MIIT)는 OpenClaw가 사이버 공격의 통로가 될 수 있다고 공식 경고하며 강력한 인증과 접근 제어를 요구했다. 테슬라 전 AI 디렉터 안드레이 카르파시는 “사람들이 이런 것을 자기 컴퓨터에서 돌리는 건 절대 권하지 않는다”고 경고했다.

핵심 위협 분석: 왜 위험한가

1. CVE-2026-25253: 원클릭 RCE (CVSS 8.8)

2026년 1월 발견된 이 취약점은 OpenClaw의 가장 치명적인 보안 결함이다. 핵심 원인은 OpenClaw 서버가 WebSocket 오리진 헤더를 검증하지 않는 설계 결함에 있다.

공격 체인:

공격자가 악성 웹페이지를 제작
피해자가 해당 링크를 클릭 (메신저, 이메일 등 어떤 경로든 가능)
Cross-Site WebSocket Hijacking 수행
localhost로 제한된 네트워크 경계 우회
게이트웨이 인증 토큰 탈취
OpenClaw 인스턴스 전체 장악 → 원격 코드 실행

단 한 번의 클릭으로 수 밀리초 내에 익스플로잇 체인이 완성된다. 2026.1.29 버전에서 패치되었으나, SecurityScorecard에 따르면 노출된 인스턴스 중 78%가 패치 이전의 구 버전(Clawdbot, Moltbot 브랜딩)을 사용 중이다.

2. 간접 프롬프트 인젝션: AI를 무기로 전환

AI 보안 기업 Zenity Labs가 공개한 PoC(개념증명)는 더욱 우려스럽다. 공격 시나리오는 다음과 같다:

공격자가 Google 문서에 악성 프롬프트 인젝션 페이로드를 삽입
OpenClaw가 해당 문서를 읽을 때 악성 명령이 주입
공격자 제어 Telegram 봇과의 새 통합(integration) 생성
이후 공격자는 Telegram 채널을 통해 OpenClaw에 직접 명령

이 단계에 도달하면 공격자는 OpenClaw를 통해 사용자 데스크톱의 모든 파일 탈취, 파일 삭제, Sliver C2 비콘 설치를 통한 장기 원격 접속까지 수행할 수 있다. OpenClaw가 랜섬웨어 배포의 초기 침투 경로가 되는 셈이다.

3. ClawHub 공급망 공격: 스킬 마켓플레이스의 오염

OpenClaw의 기능 확장을 위한 스킬 마켓플레이스 ClawHub에서 대규모 악성 스킬이 발견되고 있다.

Koi Security: 2,857개 스킬 중 341개 악성 발견 (ClawHavoc 캠페인)
Snyk: 3,984개 스킬 중 283개(7.1%)에서 민감 인증정보 노출
Bitdefender: 전체 스킬의 약 20%에 해당하는 900개에서 악성 행위 탐지
Cornell University: 스킬 패키지의 26%에서 취약점 발견

Bitdefender의 조사에 따르면 14개의 악성 계정이 식별되었으며, 그중 일부는 탈취된 정상 GitHub 계정을 활용해 신뢰성을 확보하고 있었다. 한 계정(Hightower6eu)은 354개의 악성 패키지를 업로드했고, 또 다른 계정(Sakaen736jih)은 수 분 간격으로 자동화 스크립트를 통해 악성 스킬을 배포했다.

악성 스킬의 주요 행위는 다음과 같다:

~/.openclaw/openclaw.json에서 평문 저장된 API 키 탈취
macOS Atomic Stealer 설치 (암호화폐 지갑, 브라우저 데이터 수집)
역방향 셸(Reverse Shell)을 통한 원격 제어
정상적인 사용 중에만 활성화되는 지능형 트리거 (정적 분석 우회)

4. 인터넷 노출 인스턴스: 13만 5천 대의 시한폭탄

SecurityScorecard STRIKE팀의 2월 9일 보고서는 충격적인 수치를 제시했다:

135,000개 이상의 OpenClaw 인스턴스가 인터넷에 노출
82개국에 걸친 42,900개 고유 IP에서 제어판 노출
노출 인스턴스의 35.4%가 RCE 취약 (50,000대 이상)
53,000개 인스턴스가 과거 침해 사고 이력과 연관

원인은 OpenClaw의 기본 설정에 있다. OpenClaw는 설치 시 0.0.0.0:18789에 바인딩되어 공인 인터넷을 포함한 모든 네트워크 인터페이스에서 수신 대기한다. 대부분의 사용자가 이 설정을 변경하지 않는다.

SecurityScorecard의 Jeremy Turner VP는 이렇게 요약했다: “누군가에게 컴퓨터 접근 권한을 주고 도움을 요청하는 것과 같다. 당신이 감독하고 확인하면 큰 도움이 된다. 하지만 자리를 비우고 ‘앞으로 모든 지시는 이메일로 올 거야’라고 말하면, 그 사람은 누구의 지시든 따를 수 있다.”

기업 보안 담당자 대응 가이드

즉시 조치 (24시간 이내)

1단계: 현황 파악

사내 네트워크에서 OpenClaw 관련 프로세스 및 포트 스캔
주요 탐지 대상: 포트 18789(기본 게이트웨이), Node.js/npm 프로세스, ~/.openclaw 디렉토리
EDR 솔루션에서 openclaw, clawdbot, moltbot 관련 실행 이력 조회

2단계: 차단

UTM/방화벽에서 포트 18789 인바운드/아웃바운드 차단
OpenClaw 관련 도메인 접근 제한: openclaws.io, clawhub.ai, open-claw.me
EDR/HIPS에서 관련 실행 파일 블랙리스트 등록

3단계: 이미 사용 중인 경우 사고 대응

해당 PC를 잠재적 침해 사고로 분류
~/.openclaw/.env 파일에 저장된 API 키 전수 점검 및 교체
연동된 서드파티 계정(Google, Slack, 이메일) 비정상 활동 확인
OpenClaw npm 제거 후에도 로컬 디렉토리가 잔존할 수 있으므로 수동 정리 필요

단기 대책 (1~2주)

정책 수립 및 공지

에이전트형 AI 도구 사용 금지 정책 수립 및 전사 공지
비인가 소프트웨어 설치 점검 주기 단축
정보보안 서약서에 에이전트형 AI 관련 조항 추가

기술적 통제 강화

로컬 관리자 권한 회수 (AD 환경) 또는 ESET PROTECT 등을 통한 권한 제한
AppLocker/WDAC 화이트리스트에 OpenClaw 관련 바이너리 미등록 확인
아웃바운드 트래픽 모니터링 강화: 비정상적 WebSocket 연결, Telegram API 호출 탐지

중기 전략 (1~3개월)

Shadow AI 가시성 확보

Token Security 조사에 따르면 기업 고객의 22%에서 직원들이 IT 승인 없이 OpenClaw를 사용 중이었다
Noma 보고에 따르면 기업 고객의 53%가 주말 동안 OpenClaw에 특권 접근을 허용했다
정기적인 소프트웨어 인벤토리 수집 및 비인가 AI 도구 탐지 체계 구축

에이전트형 AI 거버넌스 프레임워크

Gartner는 에이전트 AI 확산 국면에서 기업 보안 전략의 핵심을 ‘식별과 통제’로 정의
승인된 AI 도구 목록 관리 (AI 화이트리스트)
AI 에이전트의 권한 범위를 최소 권한 원칙에 따라 제한하는 정책 수립
AI 도구 도입 시 보안 검토 프로세스 의무화

OpenClaw 이후: 에이전트 AI 보안의 미래

OpenClaw 사태는 단일 도구의 문제가 아니다. Microsoft Copilot, Anthropic Claude, OpenAI GPT 등 주요 AI 기업 모두가 사용자를 대신해 행동하는 에이전트형 AI로 이동하고 있다. 1Password의 분석처럼 “에이전트 생태계에서 마크다운 파일은 콘텐츠가 아니라 설치 프로그램”이 되었고, 패키지 매니저와 오픈소스 레지스트리가 공급망 공격 벡터가 되었듯이 스킬 레지스트리가 다음 타깃이 된 것이다.

보안 전문가 Simon Willison이 제시한 ‘Lethal Trifecta(치명적 삼위일체)’는 에이전트 AI 보안의 핵심 프레임워크다:

개인 데이터 접근 — 이메일, 파일, 브라우저, 인증정보
비신뢰 콘텐츠 노출 — 웹사이트, 문서, 메시지
외부 통신 능력 — API 호출, 파일 전송, 메시지 발송

이 세 가지가 동시에 충족되는 순간, AI 에이전트는 정보 유출의 완벽한 통로가 된다. 기업 보안팀이 준비해야 할 것은 OpenClaw를 차단하는 것이 아니라, 이 패턴을 가진 모든 에이전트형 AI에 대한 통제 체계를 구축하는 것이다.

참고문헌

SecurityScorecard STRIKE Team, “Beyond the Hype: Moltbot’s Real Risk Is Exposed Infrastructure”, 2026.02.09
Zenity Labs, “Indirect Prompt Injection PoC for OpenClaw”, 2026.02.05
Snyk, “ClawHub Marketplace Security Analysis: 283 Skills Exposing Credentials”, 2026.02
Bitdefender, “Technical Advisory: OpenClaw Exploitation in Enterprise Networks”, 2026.02.11
Koi Security, “ClawHavoc Campaign: 341 Malicious Skills on ClawHub”, 2026.02.01
The Register, “OpenClaw instances open to the internet present ripe targets”, 2026.02.09
연합뉴스, “네이버·카카오·당근, 오픈클로 사내 사용 금지”, 2026.02.08
CSO Online, “OpenClaw integrates VirusTotal scanning as security firms flag enterprise risks”, 2026.02.09
1Password, “From magic to malware: How OpenClaw’s agent skills become an attack surface”, 2026.02
Cornell University, “OpenClaw Skill Security Audit”, 2026.02

본 분석은 2026년 2월 12일 기준 공개된 정보를 바탕으로 작성되었으며, 추가 정보 공개에 따라 내용이 수정될 수 있습니다.