알림: 두 보고서 (발표 슬라이드, 세부 보고서) 는 게시글 하단에 다운로드 링크를 클릭하시면 됩니다.
들어가며
2025년 말부터 빠르게 확산된 오픈소스 AI 에이전트 프레임워크 OpenClaw가 기업 보안 환경에 새로운 도전을 던지고 있습니다. GitHub 스타 21만 이상을 기록하며 개발자 커뮤니티에서 폭발적인 관심을 받고 있지만, 그 이면에는 기업 보안 담당자라면 반드시 인지해야 할 구조적 리스크가 존재합니다.
저는 이번에 OpenClaw의 보안 리스크를 체계적으로 식별하고, 국가핵심기술 보유 기업이 이를 어떻게 통제할 수 있는지를 분석한 보고서를 작성했습니다. 이 글에서는 보고서의 핵심 내용을 요약하고, 실무에서 어떤 판단 기준을 가져야 하는지 정리해 보겠습니다.
왜 OpenClaw인가 — 배경과 동향
OpenClaw는 단순한 챗봇이 아닙니다. 사용자를 대신해 이메일을 보내고, 파일을 관리하고, 시스템 명령을 실행하는 자율형 AI 에이전트입니다. 기존 ChatGPT 같은 LLM이 "답변"을 제공하는 데 그쳤다면, OpenClaw는 "행동(Action)"을 직접 수행합니다. 이 근본적인 차이가 보안 위협의 성격 자체를 바꿉니다.
주목할 점은 업계의 반응입니다. AI 에이전트 프레임워크를 직접 개발하는 LangChain조차 사내 설치를 금지했고, Naver, Kakao, 당근마켓 등 국내 주요 기업과 Google, Anthropic 등 글로벌 기업이 차단 또는 제한 조치를 취했습니다. Palo Alto Networks, Cisco, Kaspersky 등 보안 벤더는 OpenClaw를 "고위험 비인가 소프트웨어"로 분류하고 있습니다.
OpenClaw 스스로도 공식 문서에서 이렇게 밝히고 있습니다.
"OpenClaw is an experimental software. It is not secure."
보고서 핵심 요약
1. "치명적 삼요소" — 에이전트 보안의 새로운 패러다임
Palo Alto, Cisco 등 보안 벤더가 공통적으로 지적하는 것은 세 가지 요소의 동시 결합입니다.
- 민감 데이터 접근 권한: 파일 시스템, API 키, 이메일, 환경 변수에 직접 접근
- 비신뢰 콘텐츠 처리: 외부 이메일이나 웹 스크래핑 결과가 프롬프트 문맥에 포함
- 외부 통신 및 실행 능력: 이메일 발송, API 호출, 임의 데이터 전송 가능
이 세 가지가 동시에 작동하면, 악성 프롬프트가 포함된 이메일 하나로 에이전트가 내부 API 키를 읽어 외부로 전송하는 시나리오가 현실이 됩니다. ChatGPT에서는 구조적으로 불가능한 공격 경로입니다.
2. 이미 발생한 실제 위협 — ClawHavoc
2026년 1월 말 발생한 ClawHavoc 사건은 AI 에이전트 생태계의 공급망 공격이 이론이 아닌 현실임을 증명했습니다. ClawHub(스킬 마켓플레이스)에 등록된 악성 스킬을 통해 Atomic Stealer, RedLine 등 멀웨어가 유포되었고, 초기 341개에서 정밀 스캔 후 1,184개로 악성 스킬 수가 급증했습니다.
3. CVE 5건, 인스턴스 42,665개 노출
2026년 기준 CVSS 8.8 수준의 고위험 CVE가 다수 보고되었으며, Censys/Shodan 조사에서 전 세계 42,665개 이상의 OpenClaw 인스턴스가 공용 인터넷에 노출된 것으로 확인되었습니다. 그중 93.4%가 알려진 RCE 취약점에 무방비 상태였습니다.
4. NIS AI 보안 가이드라인과의 괴리
2025년 12월 발표된 국가정보원(NIS) AI 보안 가이드라인 주요 항목 대비, OpenClaw는 신뢰 데이터 활용(M01), 접근 통제(M05/M09), 적대적 프롬프트 방어(M23/M24) 등에서 부적합 판정을 받았습니다. 중요 명령 승인 절차(M20)만 부분 충족 수준입니다.
5. 대응 전략 — "금지가 기본, 허용은 예외"
보고서의 핵심 권고는 다음과 같습니다.
- 원칙적 차단: 비승인 OpenClaw를 "고위험 비인가 소프트웨어"로 규정하고, EDR 및 네트워크 모니터링으로 Shadow AI를 탐지합니다.
- 에어갭 강제: 도입이 불가피한 경우, 물리적 폐쇄망 내 격리된 가상환경에서만 운용하며, 클라우드 LLM 대신 로컬 sLLM만 연동합니다.
- 3단계 보안 프레임워크: 기본 보호(외부 노출 차단) → 표준 강화(기능 제한 및 감시) → 심층 방어(물리 격리 및 인간 승인)의 단계적 접근을 제시합니다.
- 10개 항목 도입 체크리스트: 네트워크 격리, LLM 구성, 코드 감사, 스킬 통제, DLP 프록시, HITL 승인, 감사 로그, 패치 적용, SecureClaw 점검, 규제 준수 등 승인 전 필수 확인 사항을 정리했습니다.
실무 관점에서의 시사점
OpenClaw 자체를 악의적으로 볼 필요는 없습니다. 오픈소스 커뮤니티의 혁신적인 시도이며, AI 에이전트 기술의 가능성을 보여주고 있는 것은 사실입니다. 다만, 국가핵심기술을 보유한 기업 환경에서는 "가능성"보다 "리스크 관리"가 우선입니다.
특히 주의할 점은 OpenClaw가 현재 OpenAI 산하 재단으로 전환되는 과도기에 있다는 것입니다. 창시자 Peter Steinberger의 OpenAI 합류 이후, 오픈소스 버전의 보안 패치 속도 둔화가 우려되고 있으며, 재단 거버넌스가 안정화되기 전까지는 보수적으로 접근하는 것이 합리적입니다.
마치며
AI 에이전트 시대는 이미 시작되었고, OpenClaw 같은 도구는 앞으로 더 많아질 것입니다. 중요한 것은 기술 자체를 막는 것이 아니라, 통제 가능한 환경에서 리스크를 관리하며 활용하는 체계를 갖추는 것입니다.
이번 보고서는 그 첫 단계로서, 보안팀과 의사결정자가 참고할 수 있는 실무 기반의 판단 프레임워크를 제시하고자 했습니다. 상세 분석 내용, CVE별 해지 방안, 도입 체크리스트, 단계별 로드맵 등은 아래 첨부된 전체 보고서를 참고해 주시기 바랍니다.
다운로드 링크
슬라이드 다운로드: OpenClaw 보안 리스크 분석 및 국가핵심기술 보유 기업 도입(통제) 방안 보고서 (가로/PDF)
상세 보고서 다운로드: OpenClaw 보안 리스크 분석 및 국가핵심기술 보유 기업 도입(통제) 방안 보고서 (세로/PDF)
본 글은 2026년 2월 25일 기준 공개된 정보를 바탕으로 작성되었습니다. OpenClaw는 현재 OpenAI 산하 오픈소스 재단으로의 전환 단계에 있으며, 도입 검토 시점에 재단 설립 현황 및 최신 보안 동향을 반드시 재확인하시기 바랍니다.