OpenClaw의 성장은 놀라웠습니다. 하지만 GitHub 스타 18만 개와 82개국 배포라는 규모는 불편한 현실을 가져왔습니다. 프로젝트가 공격 대상이 된 것입니다. 그리고 각국 정부가 움직이기 시작했습니다.
판도를 바꾼 취약점
2026년 2월 초, CVE-2026-25253이 공개되었습니다. CVSS 8.8(높음)의 원클릭 RCE(원격 코드 실행) 취약점입니다.
작동 방식은 이렇습니다: OpenClaw의 Control UI가 쿼리 파라미터로 전달된 게이트웨이 URL을 자동으로 신뢰했습니다. 공격자가 악성 링크를 만들면, 피해자의 브라우저가 인증 토큰이 포함된 WebSocket 연결을 공격자 서버로 열게 됩니다. 토큰을 확보하면 공격자는 피해자의 OpenClaw 인스턴스에서 임의의 명령을 실행할 수 있습니다.
v2026.1.29에서 패치되었지만, 이 취약점은 중요한 문제를 드러냈습니다. OpenClaw의 보안 모델은 사용자가 자기 컴퓨터에서 로컬로 실행하는 것을 전제로 설계되었다는 점입니다. 하지만 현실에서는 많은 사용자가 인스턴스를 공개 인터넷에 노출시키고 있었습니다.
숫자로 보기: 42,900개 노출 인스턴스
SecurityScorecard의 STRIKE 팀이 글로벌 스캔을 실시한 결과, 82개국에서 42,900개의 OpenClaw 인스턴스가 공개 인터넷에 노출되어 있었습니다. 이 중 15,200개가 원격 코드 실행이 가능한 상태였습니다. 패치가 적용되지 않았거나 기본 설정 그대로 운영되고 있었다는 뜻입니다.
쉽게 말하면, 15,200대의 컴퓨터를 인터넷의 누구든 HTTP 요청 하나로 장악할 수 있었습니다.
Giskard 연구진은 배포된 인스턴스에서 데이터 유출과 프롬프트 인젝션 취약점도 시연했습니다. 정교하게 구성된 프롬프트로 실행 중인 OpenClaw 에이전트에서 비밀 키, 환경 변수, 기타 민감 정보를 5분 이내에 추출할 수 있음을 증명했습니다.
가장 우려되는 점은 공개 노출 인스턴스의 93%에 치명적인 인증 우회 취약점이 있었다는 것입니다. 기본 설정이 공개 노출에 충분히 안전하지 않았던 셈입니다. 현재 문서에는 이 점이 명확히 경고되어 있습니다.
악성 스킬 문제
Bitdefender 연구팀이 ClawHub(OpenClaw의 공개 스킬 레지스트리)를 분석한 결과, 약 4,500개 패키지 중 약 900개가 악성 스킬이었습니다. 전체의 약 20%에 해당합니다.
이 악성 스킬은 도구로 위장한 자격 증명 탈취기부터 지속적 접근을 제공하는 백도어까지 다양했습니다. 일부는 일반적인 코드 리뷰를 통과할 만큼 정교했으며, 난독화된 페이로드가 설치 후에만 활성화되는 구조였습니다.
이는 npm, PyPI 등 다른 패키지 레지스트리에서 보이는 문제와 같은 패턴이지만, 위험도는 훨씬 높습니다. OpenClaw 스킬은 보통 시스템 수준 권한으로 실행되며, 메시징 계정, API 키, 개인 데이터에 접근할 수 있기 때문입니다.
중국의 대응: 공업정보화부 경고
중국 공업정보화부(MIIT)가 OpenClaw에 특화된 보안 권고를 발표하며, 기업들에게 인스턴스의 공개 노출 상태를 점검하라고 경고했습니다. 권고 내용은 다음과 같습니다:
- •모든 OpenClaw 배포의 공개 노출 감사
- •네트워크 세그먼테이션으로 OpenClaw 인스턴스 격리
- •설치된 스킬에서 알려진 악성 패키지 확인
- •최신 패치 버전으로 업데이트
주목할 점은 중국이 플랫폼 차원에서는 OpenClaw을 적극 수용하고 있다는 것입니다. 알리바바 클라우드, 텐센트 클라우드, 화산엔진, 바이두 모두 OpenClaw 호스팅 서비스를 출시했습니다. 공업정보화부의 경고는 정부가 기회와 위험을 동시에 인식하고 있음을 보여줍니다.
한국의 대응: 기업 사용 금지
한국은 더 적극적인 입장을 취했습니다. 여러 대형 IT 기업이 사내 사용 금지령을 내렸습니다:
- •카카오가 정보 자산 보호를 위해 업무 기기에서의 OpenClaw 사용을 제한
- •네이버가 사내 OpenClaw 사용을 전면 금지
- •당근마켓이 OpenClaw 접근을 완전 차단
한국의 대응은 데이터 유출 우려에서 비롯되었습니다. 구체적으로, 기업 시스템에 접근할 수 있는 AI 에이전트가 메시징 연동을 통해 민감한 정보를 외부로 유출할 수 있다는 위험입니다. AI 비서가 Slack, 이메일, 캘린더를 읽고 그 정보를 WhatsApp이나 Telegram으로 전달할 수 있다면, 기업 스파이의 공격 면적은 급격히 넓어집니다.
재단 전환이 보안에 의미하는 것
2026년 2월 14일, OpenClaw 창시자 Peter Steinberger가 OpenAI 합류를 발표하고, 프로젝트는 OpenAI가 지원하는 독립 501(c)(3) 재단으로 전환됩니다.
보안 관점에서 이는 희망과 의문을 동시에 가져옵니다:
낙관적 시나리오: 기업 후원이 있는 재단 구조라면 전담 보안 엔지니어 고용, 공식 보안 대응팀 구성, ClawHub 필수 리뷰 프로세스 도입, 정기 보안 감사 실시가 가능합니다. 이는 개인 메인테이너나 자원봉사 커뮤니티로는 지속하기 어려운 것들입니다.
신중한 시나리오: OpenAI의 참여가 이해 충돌을 일으킬 수 있습니다. 보안 결정이 순수하게 기술적 판단에 기반할 것인지, 아니면 비즈니스 고려가 공개 내용과 시점에 영향을 미칠 것인지. 재단의 독립성은 중대한 취약점이 처음으로 OpenAI 자체 이익에 영향을 미칠 때 시험대에 오를 것입니다.
- •자금이 뒷받침되는 전담 보안팀과 공개 공시 정책
- •ClawHub 스킬의 필수 코드 서명 및 리뷰
- •CI/CD 파이프라인의 자동 취약점 스캔
- •실질적인 보상금이 있는 버그 바운티 프로그램
- •정기적인 제3자 보안 감사 및 결과 공개
사용자가 지금 해야 할 것
OpenClaw을 운영 중이라면, 다음 조치를 즉시 실행하세요:
- 1.**업데이트**: v2026.2.21 이상 버전을 실행하고 있는지 확인
- 2.**공개 노출 금지**: 원격 접근에는 VPN 또는 SSH 터널 사용
- 3.**스킬 감사**: 설치된 모든 스킬을 점검, 특히 출처가 불분명한 것
- 4.**인증 활성화**: 기본 자격 증명으로 운영하지 않기
- 5.**접근 로그 모니터링**: 비정상적인 연결 패턴 주시
- 6.**네트워크 분리**: OpenClaw 인스턴스를 민감한 시스템과 격리
더 큰 그림
OpenClaw의 보안 과제는 특별한 것이 아닙니다. 모든 오픈소스 프로젝트가 주말 프로젝트에서 핵심 인프라로 성장하면서 겪는 성장통입니다. npm에는 악성 패키지가 있고, Docker Hub에는 크립토마이너가 있고, PyPI에는 타이포스쿼팅 공격이 있습니다.
차이점은 위험의 크기입니다. OpenClaw 에이전트는 메시징 계정, 이메일, 캘린더, 스마트홈 기기, 심지어 기업 시스템에도 접근할 수 있습니다. 침해된 OpenClaw 인스턴스는 단순히 해킹된 서버가 아닙니다. 디지털 생활 전체가 침해되는 것입니다.
재단 전환은 프로젝트가 필요로 하는 보안 인프라를 구축할 최선의 기회입니다. 그 가능성이 실현될지는 새로운 거버넌스 구조가 보안을 사후 대응이 아닌 최우선 과제로 다룰 수 있느냐에 달려 있습니다.
이 분야의 동향을 계속 추적하며, 새로운 진전이 있으면 보도하겠습니다.