깃허브 역사상 가장 빠르게 성장한 오픈소스 프로젝트 ‘오픈클로(OpenClaw)’가 기업 보안의 최대 화두로 떠올랐다. 2주 만에 깃허브 스타 16만 개를 돌파하고, 주간 다운로드 72만 건을 기록하며 개발자 사이에서 폭발적으로 확산됐다. 문제는 이 도구가 챗봇이 아니라 ‘에이전트’라는 점이다. 사용자의 PC를 직접 조작한다. 파일을 열고, 스크립트를 실행하고, 이메일을 보내고, API를 호출한다. 24시간, 자율적으로. 편리함의 이면에 있는 보안 리스크를 정리한다.
오픈클로가 뭔데 이렇게 난리인가
오픈클로는 LLM 기반 오픈소스 AI 에이전트다. 기존 AI 서비스가 “이렇게 하세요”라고 조언만 했다면, 오픈클로는 직접 행동한다. 왓츠앱이나 텔레그램으로 “영상 편집해 줘”라고 명령하면 집에 켜둔 맥 미니가 알아서 작업하고 결과를 보고한다. 영화 아이언맨의 자비스가 현실이 된 셈이다.
로컬에서 돌아가고, 백엔드 LLM을 자유롭게 선택할 수 있으며, 이미 쓰고 있는 메신저로 소통한다는 점이 인기 비결이다. 그런데 이 구조가 그대로 보안 취약점이 된다.
핵심 보안 리스크 5가지
1. 사용자 권한을 그대로 물려받는 구조
오픈클로는 설치된 PC의 사용자 계정 권한으로 동작한다. 파일 읽기/쓰기, 셸 명령 실행, 브라우저 제어, 이메일 발송, SaaS 플랫폼 연동까지 가능하다. 클라우드 시큐리티 얼라이언스(CSA)의 수석 애널리스트 리치 모굴은 이 도구가 사용자가 할 수 있는 거의 모든 작업을 수행할 수 있되 외부에서 제어된다는 것이 핵심 위험이라고 지적하며, 기업 환경에서의 사용을 전면 금지해야 한다고 권고했다.
2. 인증 우회 취약점 — 노출 인스턴스 4.2만 개
보안 연구자 마오르 다얀의 조사에 따르면 인터넷에 노출된 오픈클로 인스턴스가 4만 2천 개를 넘었고, 이 중 93%가 치명적인 인증 우회 취약점을 갖고 있다. 초기 버전이 기본 설정에서 보안이 비활성화된 상태로 배포됐고, 빠른 확산 속도에 사용자 보안 인식이 따라가지 못했다. 방치된 인스턴스들은 오래된 코드 그대로 돌아가며 공격 경로를 열어두고 있다.
3. 스킬 마켓플레이스(ClawHub) 공급망 공격
오픈클로의 기능 확장은 ‘스킬(Skills)’이라는 서드파티 플러그인으로 이뤄진다. 문제는 이 생태계의 보안 검증이 취약하다는 것이다. 올해 1월 27~29일 사이에만 클로허브에 악성 스킬 14개가 업로드됐다. 암호화폐 도구로 위장한 이 스킬들은 키로거와 macOS 스틸러 악성코드를 설치했고, 암호화폐 지갑과 브라우저 데이터, 시스템 인증정보를 수집했다.
코넬대 연구진은 전체 패키지의 26%에 취약점이 포함되어 있다며 오픈클로를 보안 관점에서 절대적 악몽이라고 평가했다. 오픈클로는 이에 대응해 바이러스토털(VirusTotal) 기반 악성코드 스캔을 클로허브에 도입했지만, 알려지지 않은 위협에 대한 방어는 여전히 과제다.
4. 프롬프트 인젝션을 통한 원격 조작
오픈클로가 디스코드, 텔레그램 등 메신저 채널에 연결된 경우, 같은 채널의 다른 사용자가 입력한 명령도 소유자의 지시처럼 인식한다. 보안 기업 노마 시큐리티(Noma Security)가 발견한 이 취약점은 공격자가 공개 서버에 참여한 뒤 봇에 크론 작업을 실행하거나 로컬 파일 시스템을 탐색하게 만들 수 있음을 의미한다.
AI 보안 기업 제니티(Zenity)는 문서에 악성 명령을 삽입해 오픈클로가 파일을 탈취·삭제하도록 만드는 PoC도 공개했다. 이메일 본문에 숨긴 프롬프트만으로 에이전트를 조종할 수 있는 구조다.
5. 섀도우 IT — IT 부서 모르게 이미 퍼져 있다
보안 기업 토큰 시큐리티(Token Security)에 따르면 자사 기업 고객의 22%에서 직원들이 IT 승인 없이 오픈클로를 실행하고 있었다. 노마 시큐리티는 더 충격적인 수치를 보고했는데, 단 한 주말 동안 기업 고객의 53%가 오픈클로에 특권 접근 권한을 부여했다. 직원이 “그냥 한번 써보려고” 업무용 노트북에 설치하고 구글 계정, 슬랙, 깃허브 인증정보를 연결하는 순간, 해당 인증정보는 평문으로 로컬에 저장되며 인포스틸러의 고가치 표적이 된다.
국내 대응 현황
네이버, 카카오, 당근마켓 등 국내 주요 IT 기업은 이미 사내망과 업무용 기기에서 오픈클로 사용을 금지하거나 제한하는 내부 지침을 공지했다. 테슬라 전 AI 디렉터 안드레이 카르파시도 개인 컴퓨터에서의 사용을 권장하지 않는다며 데이터를 심각한 위험에 노출시킨다고 경고한 바 있다.
CISO가 지금 당장 해야 할 일
첫째, 현황 파악부터. 네트워크 내 오픈클로 인스턴스가 이미 돌아가고 있을 가능성이 높다. 엔드포인트 탐지 도구로 openclaw, clawdbot, moltbot 관련 프로세스와 ~/.openclaw/ 디렉토리를 스캔해야 한다.
둘째, 정책 수립. 검증되지 않은 AI 에이전트의 사내 사용을 명시적으로 금지하는 정책이 필요하다. “사용 금지”만으로는 부족하고, 왜 위험한지 구체적으로 알려야 실효성이 있다.
셋째, 격리 환경 제공. 완전한 금지가 현실적으로 어렵다면, 격리된 가상 머신에서만 실행하도록 하고 실제 업무 데이터와 분리된 계정으로 연결하게 해야 한다. 절대로 기업 이메일, 슬랙, 코드 저장소 인증정보를 연결해서는 안 된다.
넷째, 아웃바운드 트래픽 모니터링. AI 에이전트의 트래픽은 기존 프록시/엔드포인트 패턴과 다르게 동작한다. 일반 사용자 트래픽처럼 검사되지 않는 경우가 많으므로 별도의 모니터링 규칙이 필요하다.
다섯째, 인시던트 대응 계획 업데이트. AI 에이전트를 통한 데이터 유출 시나리오를 기존 대응 계획에 추가해야 한다. 에이전트가 이메일을 보내고 파일을 업로드할 수 있다는 점에서 기존 내부자 위협 시나리오보다 공격 표면이 넓다.
결론
오픈클로가 보여준 에이전트형 AI의 가능성은 부정할 수 없다. 하지만 현재 시점에서 기업 환경에 도입하기에는 보안 인프라가 준비되지 않았다. 92개의 보안 권고문, 512개의 취약점, 4만 2천 개의 노출 인스턴스가 그 증거다. “AI에게 얼마나 많은 권한을 줄 것인가”라는 질문에 대한 답이 정리되기 전까지, CISO의 답은 기업에서는 아직 안 된다일 수밖에 없다.