OpenClaw 완전 분석 — 역대 가장 빠르게 성장한 AI 에이전트, 그 빛과 그림자

솔직히 처음 OpenClaw를 봤을 때 “이게 진짜야?” 싶었습니다.

GitHub 스타가 며칠 만에 14만 개를 넘었다는 소식이 개발자 커뮤니티에 퍼졌을 때, 많은 사람들이 반신반의했거든요. 그냥 트렌드에 올라탄 또 다른 AI 래퍼 프로젝트 아닐까? 근데 직접 파고들어 보니까 그게 아니었습니다. 이건 진짜 다른 물건이었고, 동시에 진짜 위험한 물건이기도 했어요.

이 글에서는 OpenClaw가 왜 그렇게 폭발적인 관심을 받았는지, 그리고 왜 동시에 보안 커뮤니티에서 경고음이 울렸는지, 실제로 어떻게 안전하게 쓸 수 있는지를 있는 그대로 정리해보겠습니다.

OpenClaw가 뭔데 이렇게 난리야?

OpenClaw는 Peter Steinberger가 만든 오픈소스 자율 AI 에이전트입니다. 여러분의 로컬 컴퓨터에서 직접 실행되면서, Claude나 GPT 같은 LLM을 두뇌로 삼아 실제 작업을 자율적으로 처리해줍니다.

여기서 핵심은 “자율적으로”라는 단어예요.

ChatGPT나 Claude에게 “이메일 정리해줘”라고 하면 어떻게 하면 되는지 알려줍니다. OpenClaw는 달라요. 실제로 이메일함에 접근해서 정리를 해버립니다. 브라우저를 열고, 양식을 작성하고, 파일을 옮기고, 터미널 명령을 실행하고, 심지어 WhatsApp이나 Telegram으로 결과를 보고해줘요.

기존 AI 도구들이 “조언자”였다면, OpenClaw는 진짜 의미의 “AI 직원”에 가깝습니다.

2025년 11월에 처음 등장했을 때는 Clawdbot이라는 이름이었는데, 2026년 1월에 OpenClaw로 리브랜딩하자마자 커뮤니티가 폭발했어요. 며칠 만에 GitHub 스타 14만 개. 오픈소스 역사에서 이런 속도는 거의 전례가 없는 수준입니다.

뭐가 이렇게 좋길래?

OpenClaw가 왜 이렇게 주목받았는지는 실제로 써보면 바로 알 수 있습니다.

진짜로 “행동”하는 AI

가장 큰 차별점은 단순한 대화가 아니라 실제 행동입니다. CDP 프로토콜로 브라우저를 제어하고, 이메일을 발송하고, 셸 명령을 실행하고, 스마트홈 기기까지 조작해요. “내일 오전 9시 회의 준비해줘”라고 하면 캘린더에 일정을 추가하고, 참석자들에게 메일을 보내고, 관련 문서를 정리해두는 걸 알아서 처리합니다.

코딩 작업에서도 마찬가지예요. “이 기능 추가하고 테스트 돌려줘”가 실제로 실행됩니다. 편집기를 열고, 코드를 짜고, 테스트를 실행하고, 실패하면 고치고, 성공하면 커밋까지. 바이브 코딩의 끝판왕이라고 할 수 있어요.

이미 쓰고 있는 앱에서 바로 사용

이게 OpenClaw의 진짜 킬러 피처입니다. 새로운 앱을 설치할 필요가 없어요. 이미 매일 쓰는 WhatsApp, Telegram, Discord, iMessage에서 바로 AI 에이전트와 대화할 수 있어요.

아침에 WhatsApp 열어서 “오늘 할 일 목록 보여줘”라고 메시지 보내면, 구글 캘린더 확인하고, 미완성 이메일 확인하고, 진행 중인 GitHub 이슈 확인해서 정리된 리스트를 보내줍니다. 별도 앱 없이, 별도 UI 없이요.

이 자연스러운 경험이 14만 스타의 원동력이었다고 생각해요.

완전한 로컬 실행 + 프라이버시

ChatGPT Agent나 다른 클라우드 기반 AI 에이전트와의 결정적 차이는 완전히 내 기기에서만 실행된다는 점입니다. 업무 문서, 개인 이메일, 코드, 이 모든 게 내 컴퓨터 밖으로 나가지 않아요. 회사 기밀 문서를 다루는 개발자들한테는 이게 굉장히 매력적인 포인트입니다.

ClawHub — AI 스킬 마켓플레이스

npm이 Node.js 생태계를 만든 것처럼, OpenClaw에는 ClawHub라는 공식 스킬 마켓플레이스가 있습니다. 커뮤니티가 만든 스킬을 설치해서 에이전트 능력을 확장할 수 있어요. 2026년 2월 기준으로 13,729개의 스킬이 등록되어 있고, 이메일 자동화, 코드 리뷰, 소셜 미디어 관리, 재고 추적 등 정말 다양합니다.

오픈소스 AI 에이전트가 자율적으로 작업을 처리하는 개념

근데 여기서부터가 진짜 문제입니다

2026년 2월, 보안 연구자들이 충격적인 발견을 했습니다.

CVE-2026-25253 — 단 하나의 취약점 번호지만, 그 내용은 꽤 심각했어요.

  • 심각한 취약점 7개
  • 외부에 노출된 OpenClaw 인스턴스 135,000개 이상
  • ClawHub에서 발견된 악성 스킬 800개 이상 (전체 스킬의 약 20%!)

악성 링크 하나를 클릭하는 것만으로 OpenClaw 인스턴스 전체를 밀리초 단위로 탈취할 수 있었습니다. 공격자는 gatewayURL 파라미터를 이용해 인증 토큰을 훔치고, 그 토큰으로 피해자 기기에서 임의의 명령을 실행할 수 있었어요. 한 번의 클릭으로 시스템 전체 접근이 가능한 구조였던 거죠.

더 충격적인 건 악성 스킬 문제입니다. OpenClaw의 공식 마켓플레이스인 ClawHub에서 커뮤니티가 만든 스킬 중 20%가 악성이었다는 게 밝혀졌어요. 앱스토어에서 받은 앱의 20%가 악성코드라고 생각하면 얼마나 심각한 상황인지 감이 오죠.

기본 설정 자체가 이미 열린 문

더 근본적인 문제는 기본 설치 상태입니다.

OpenClaw는 기본 설정에서 포트 18789를 인증 없이 모든 네트워크 인터페이스에서 열어두고 있어요. 같은 WiFi에 연결된 사람이라면 누구든 별도 인증 없이 접근할 수 있다는 뜻입니다. 공용 카페 WiFi에서 OpenClaw를 실행하고 있다면? 이론적으로 같은 네트워크의 누구든 여러분의 AI 에이전트를 제어할 수 있는 상태예요.

인포스틸러의 새로운 타겟

이건 새로운 패턴이라 더 주목해야 합니다. 기존 인포스틸러(정보탈취 악성코드)는 주로 브라우저 비밀번호나 쿠키를 노렸는데, 이번엔 OpenClaw의 설정 파일과 인증 데이터를 직접 노리는 케이스가 발견됐어요.

OpenClaw 설정에는 이메일 계정, API 키, 각종 서비스 인증 정보가 집약되어 있거든요. 이게 탈취되면 단순히 비밀번호 하나가 아니라, AI가 대신해줄 수 있는 모든 것에 대한 접근권을 내어주는 것과 같습니다.

카카오, 네이버, 당근도 사용 금지

2026년 2월, 국내 주요 IT 기업들이 업무용 기기에서 OpenClaw 설치를 금지했습니다. 완전한 로컬 실행이라는 장점이 역설적으로 회사 내부 데이터에 AI가 자유롭게 접근할 수 있게 만든다는 점, 그리고 취약점이 뚫리면 시스템 전체가 위험해진다는 점이 이유였어요.

그래서 쓰면 안 되나?

꼭 그런 건 아닙니다. 다만 맨땅에 그냥 설치하면 안 된다는 거예요.

OpenClaw 자체 메인테이너도 “명령줄 실행 방법을 이해하지 못한다면 이 프로젝트는 당신이 안전하게 사용하기에 너무 위험하다”고 직접 경고했을 정도니까요. 보안을 챙기고 격리된 환경에서 사용한다면, 아직 써볼 가치가 충분한 도구입니다.

서버 보안과 네트워크 보호 개념

OpenClaw 안전하게 쓰는 방법

Microsoft, Cisco, Kaspersky 등 주요 보안 기업들의 권고 사항과 커뮤니티 가이드를 정리했습니다.

1. 절대로 메인 컴퓨터에서 직접 실행하지 마세요

보안 가이드에서 가장 강조하는 게 이겁니다. “Don’t run OpenClaw on your daily driver. Just don’t.”

대신 아래 방법 중 하나를 사용하세요:

  • Docker (가장 추천): 컨테이너로 격리된 환경을 빠르게 만들 수 있어요. VM보다 가볍고, 설정과 삭제가 간편합니다. OpenClaw 공식에서도 Docker 이미지를 제공하고 있어서 진입장벽이 낮은 편이에요.
# Docker로 격리 실행 예시
docker run -d \
  --name openclaw \
  --network bridge \
  -p 127.0.0.1:18789:18789 \  # 로컬호스트에만 바인딩
  -v ~/.openclaw/config:/app/config \
  openclaw/openclaw:latest

포트를 127.0.0.1에만 바인딩하면 외부 네트워크에서 직접 접근할 수 없게 됩니다. 컨테이너가 침해되더라도 호스트 시스템과 분리되어 있어 피해 범위를 크게 줄일 수 있어요.

  • VM(가상 머신): QEMU나 Hyper-V로 최소한의 Linux 환경 구성. Docker보다 격리 수준이 높지만 설정이 더 복잡합니다.
  • VPS: DigitalOcean이나 Hetzner 같은 클라우드 서버에 설치하고 UFW 방화벽으로 트래픽 제한
  • 전용 기기: 구형 노트북이나 Mac Mini 같은 별도 기기에 설치하고 Tailscale로 VPN 접근

핵심은 메인 작업 환경과 물리적·논리적으로 분리하는 것입니다. 시작이 부담스럽다면 Docker부터 해보는 걸 추천해요. 익숙해지면 VM이나 VPS로 넘어가도 늦지 않습니다.

2. 기본 포트 인증 즉시 설정하기

설치하자마자 가장 먼저 해야 할 일입니다.

# nginx reverse proxy 설정 예시
server {
    listen 443 ssl;
    location / {
        auth_basic "OpenClaw";
        auth_basic_user_file /etc/nginx/.htpasswd;
        proxy_pass http://localhost:18789;
    }
}

절대로 HTTP로 인증 없이 OpenClaw 제어 UI를 외부에 노출하면 안 됩니다. nginx나 Caddy로 리버스 프록시를 설정하고, 기본 인증이나 OAuth2를 붙여두세요. Tailscale을 쓴다면 VPN 안에서만 접근 가능하게 제한하는 것도 좋습니다.

3. 위험한 기본 도구 비활성화

OpenClaw는 기본적으로 셸 실행, 무제한 파일 접근 등 강력한 도구들이 활성화되어 있습니다. 자신의 용도에 필요하지 않은 기능은 과감하게 비활성화하세요.

# config.yaml - 허용 도구 화이트리스트 방식
tools:
  allowed:
    - browser.navigate
    - calendar.read
    - email.read
  disabled:
    - system.run
    - shell.exec
    - filesystem.unrestricted

블랙리스트(차단 목록) 방식보다는 화이트리스트(허용 목록) 방식이 안전합니다. 필요한 것만 열어두고, 나머지는 전부 막는 거예요.

4. ClawHub 스킬은 반드시 코드를 직접 확인하고 설치

전체 스킬의 20%가 악성이었다는 걸 기억하세요. 스킬을 설치하기 전에:

  1. GitHub에서 소스 코드를 직접 확인
  2. VirusTotal에 스킬 파일 스캔
  3. 커뮤니티 리뷰와 설치 수 확인 (최근 급등한 것은 주의)
  4. 요청하는 권한이 기능에 비해 과도하지 않은지 확인

유명한 스킬이라도 업데이트 이후에 악성 코드가 삽입된 케이스가 있었으니, 자동 업데이트보다는 수동으로 변경 사항을 확인하고 적용하는 게 안전합니다.

5. 별도 계정과 최소 권한 원칙

OpenClaw용으로 전용 이메일 계정, 전용 API 키를 만들어 사용하세요. 메인 개인 계정과 연동하면 뚫렸을 때 피해가 너무 커집니다.

각 서비스 연동 시 필요한 최소한의 권한만 부여하는 원칙도 중요합니다. “이메일 읽기”만 필요하면 “이메일 읽기” 권한만 주고, “이메일 발송” 권한은 주지 마세요.

6. 로그 남기고 주기적으로 확인

OpenClaw가 어떤 명령을 실행했는지 로그를 남기고, 주기적으로 확인하는 습관이 필요합니다. 예상치 못한 명령이 실행됐다면 빠르게 감지할 수 있거든요.

# 감사 로그 활성화
audit:
  enabled: true
  log_commands: true
  log_file_access: true
  log_network: true
  storage: /var/log/openclaw/ # 인스턴스와 분리된 경로

로그는 OpenClaw 인스턴스와 별도 경로에 저장하는 게 좋습니다. 인스턴스가 침해됐을 때 로그까지 조작될 수 있거든요.

정리하면

OpenClaw는 분명히 뭔가 다른 도구입니다. “진짜 AI 직원”이라는 말이 과장이 아닐 만큼 자율 실행 능력이 인상적이고, 이미 쓰는 메신저에서 바로 사용할 수 있다는 점은 진짜 편해요.

근데 그 강력함이 곧 위험이기도 합니다. AI가 내 컴퓨터에서 파일을 열고, 이메일을 보내고, 명령을 실행할 수 있다는 건 — 누군가 그 AI를 탈취하면 똑같이 할 수 있다는 뜻이니까요.

2026년 2월의 보안 위기는 이 위험이 이론이 아니라 실제라는 걸 보여줬습니다. 14만 스타 뒤에는 135,000개의 무방비 인스턴스가 있었고, ClawHub의 스킬 5개 중 1개는 악성이었어요.

그래서 결론은: 호기심에 그냥 설치해서 쓰는 건 솔직히 지금 단계에서 권하기 어렵습니다. 보안 설정에 자신 있고, VM이나 별도 기기로 격리할 수 있고, 정기적으로 업데이트와 로그를 확인할 의향이 있다면 — 써볼 만한 가치가 충분히 있는 도구입니다. 그 조건을 갖추지 못한 상태라면 조금 더 기다리는 게 나을 것 같아요.

프로젝트 자체는 빠르게 발전하고 있고, 보안 패치도 활발하게 나오고 있습니다. 생태계가 좀 더 성숙해지면 일반 사용자도 편하게 쓸 수 있는 날이 올 거라고 생각해요.

그날까지는 격리 환경에서 조심스럽게.