한눈에 보는 핵심 인사이트 OpenClaw는 출시 수주 만에 GitHub 역사상 가장 빠르게 성장한 오픈소스 AI 에이전트로 떠올랐지만, 원격 코드 실행(RCE) 취약점과 악성 플러그인 확산 등 복합적인 보안 위기가 동시에 터지며 2026년 초 기업 보안의 최대 화두로 부상했습니다. 카카오, 네이버, 당근마켓 등 국내 주요 대기업들이 잇달아 사내 사용 금지 조치를 내린 것은 OpenClaw가 단순한 챗봇이 아니라 기업 시스템 전체에 자율적으로 접근·실행할 수 있는 ‘행동하는 AI’이기 때문입니다. 이번 사태는 AI 에이전트 시대에 기업이 갖춰야 할 보안 거버넌스의 공백을 드러낸 사건으로, 엔터프라이즈 AI 도입 전략 전반의 재검토를 요구하고 있습니다.

 

GitHub 역사를 새로 쓴 AI 에이전트의 등장

 

출처: OpenClaw 홈페이지

 

2025년 11월, 오스트리아 개발자 피터 스타인버거(Peter Steinberger)가 조용히 공개한 오픈소스 프로젝트 하나가 불과 수 주 만에 IT 업계 전체를 뒤흔들었습니다. ‘Clawdbot’이라는 이름으로 출발한 이 도구는 상표권 분쟁으로 이름을 두 차례 바꾼 끝에 ‘OpenClaw’로 정착했고, 2026년 1월 말 재브랜딩 이후 폭발적인 성장세를 보이며 GitHub 별점 18만 개를 넘어서고 단 일주일 만에 200만 명 이상이 방문하는 프로젝트로 거듭났습니다. 이는 React 등 수년간 자리를 지켜온 기존 인기 저장소들을 단숨에 제치며 GitHub 사상 가장 빠르게 성장한 프로젝트라는 기록을 세운 것입니다.

OpenClaw가 이토록 폭발적인 관심을 받은 이유는 단 하나입니다. 기존 AI가 텍스트를 생성하는 ‘두뇌’에 머물렀다면, OpenClaw는 실제로 마우스와 키보드를 직접 조작하며 현실 세계의 작업을 수행하는 ‘손과 발’을 갖췄기 때문입니다. 외부 대형 언어 모델과 연결하면 사용자의 로컬 머신 위에서 웹 브라우징, 파일 편집, 터미널 명령 실행, 이메일 관리, 캘린더 조작 등 복잡한 업무를 자율적으로 처리합니다. WhatsApp, Slack, Telegram, Discord 같은 친숙한 메시징 플랫폼을 통해 명령을 내릴 수 있어 진입 장벽도 낮았습니다. ‘마침내 AI가 실제로 일을 해준다’는 감탄이 개발자 커뮤니티를 빠르게 달궜습니다.

 

빠른 확산이 부른 복합 보안 위기

 

그러나 폭발적인 인기는 동시에 전례 없는 보안 위기를 불러왔습니다. 급격한 인기 상승 이후 불과 3주 만에 OpenClaw는 심각한 원격 코드 실행 취약점(CVE-2026-25253), 대규모 공급망 오염 캠페인으로 인해 보안 위기의 중심에 서게 되었습니다.

CVSS 점수 8.8의 고위험 취약점으로 분류된 CVE-2026-25253은 OpenClaw의 컨트롤 UI가 로컬호스트에서 발생하는 연결을 무조건 신뢰한다고 잘못 가정하는 데서 비롯되었습니다. 공격자가 악성 웹페이지를 하나만 만들어두면, 로그인된 사용자가 그 페이지를 방문하는 순간 JavaScript가 OpenClaw 게이트웨이로 WebSocket 연결을 열고 인증 토큰을 탈취한 뒤 해당 기기를 완전히 장악할 수 있었습니다. 보안 연구자들은 이 공격 체인이 “피해자가 악성 웹페이지를 방문한 후 수 밀리초 내에 완료된다”고 경고했습니다.

공식 플러그인 마켓플레이스 ClawHub의 공급망 오염 문제도 심각했습니다. Koi Security의 조사에 따르면 ClawHub에 등록된 10,700개의 스킬(플러그인) 중 820개 이상이 악성 코드를 포함하고 있었으며, 이는 불과 몇 주 전에 발견된 324개에서 급격히 증가한 수치였습니다. 이 악성 스킬들의 주요 페이로드는 macOS 브라우저 비밀번호, 암호화폐 지갑, 시스템 인증 정보를 탈취하는 Atomic macOS Stealer(AMOS)였습니다.

 

사용 금지 조치를 내린 국내 대기업

 

카카오, 네이버, 당근마켓 등 국내 주요 IT 기업들이 거의 동시에 사내 네트워크와 업무 기기에서의 OpenClaw 사용을 전면 금지하는 조치를 내렸습니다. 이러한 결정의 핵심에는 OpenClaw가 기존 클라우드 기반 챗봇과 본질적으로 다른 위험 구조를 지닌다는 판단이 깔려 있습니다.

한국 기업들의 대응은 데이터 유출 위험, 특히 기업 시스템에 접근 권한을 가진 AI 에이전트가 메시징 통합을 통해 민감한 정보를 외부로 릴레이할 수 있다는 우려에서 출발했습니다. AI 어시스턴트가 Slack, 이메일, 캘린더를 읽고 그 내용을 WhatsApp이나 Telegram으로 전달할 수 있게 되면 기업 스파이 활동의 공격 표면이 극적으로 확장됩니다.

Token Security의 조사에 따르면 모니터링 대상 조직의 22%에서 직원들이 IT 부서의 승인 없이 OpenClaw를 설치해 운영하고 있는 것으로 나타났습니다. 이른바 ‘섀도우 AI(Shadow AI)’ 문제로, 보안팀이 인지하지 못한 채 업무 환경에 큰 권한을 가진 AI 에이전트가 이미 침투해 있는 상황입니다. OpenClaw는 실행 시 사용자와 동일한 모든 시스템 권한을 상속받으며, API 키는 기본적으로 평문(plaintext)으로 저장되고, 세션 간 영구 메모리를 유지하기 때문에 한 번 접근한 데이터가 지속적으로 노출될 위험이 있습니다.

 

보안 이슈와 엔터프라이즈 AI의 미래

 

 

OpenClaw 사태는 ‘하나의 도구에 관한 문제’를 넘어, 기업이 강력한 AI 도구 도입을 가속화하는 동시에 자율적이고 예측 불가능한 방식으로 작동하는 에이전트에 대한 완전히 새로운 보안 패러다임이 필요함을 보여준 전환점이 되었습니다. 사전에 정해진 규칙을 따르는 기존 소프트웨어와 달리, AI 에이전트는 독립적인 판단으로 예상치 못한 행동을 취할 수 있습니다.

흥미롭게도 OpenClaw 사태는 완전한 종말로 끝나지 않았습니다. 2026년 2월 14일, 개발자 피터 스타인버거는 OpenAI에 합류하고 OpenClaw 프로젝트를 OpenAI의 후원을 받는 독립 비영리 재단으로 이전한다고 발표했습니다. 이 구조 개편은 전담 보안 엔지니어링팀 구성과 공식 취약점 대응 프로세스 수립에 대한 기대를 낳고 있습니다.

엔터프라이즈 AI 보안의 관점에서 이 사태가 남긴 교훈은 분명합니다. AI 에이전트의 도입은 반드시 ‘제로 트러스트(Zero Trust)’ 원칙, 최소 권한 접근 통제, 감사 로그 확보, 그리고 공급망 전반에 대한 검증 체계를 갖춘 거버넌스 프레임워크와 함께 이루어져야 합니다.

AI 시대의 진정한 경쟁력은 가장 빠르게 도입하는 기업이 아니라, 가장 안전하게 확장하는 것입니다. SK AX는 제로 트러스트 보안 프레임워크 도입 전략과 AI 인프라 전문성을 바탕으로, 기업 고객이 AI 생산성과 보안 안전성을 동시에 확보할 수 있는 올바른 AI 도입 전략을 함께 설계하고 지속가능한 AI 혁신을 이루도록 지원합니다.

 

[FAQ]

 

Q1. OpenClaw는 ChatGPT 같은 기존 AI와 무엇이 다른가요?

ChatGPT나 Gemini 같은 기존 AI는 클라우드 환경에서 텍스트를 생성하는 ‘두뇌’ 역할에 국한됩니다. 반면 OpenClaw는 사용자의 로컬 기기 위에서 직접 실행되며, 파일 편집·터미널 명령 실행·이메일 발송·웹 브라우징 등 실제 행동을 자율적으로 수행하는 ‘AI 에이전트’입니다. 이 자율 실행 능력이 강력한 생산성 도구인 동시에 핵심 보안 위험 요소입니다.

 

Q2. 국내 기업들이 OpenClaw를 금지한 가장 큰 이유는 무엇인가요?

OpenClaw는 실행 시 해당 사용자의 모든 시스템 권한을 상속받으며, Slack·이메일·캘린더 등 기업 내부 협업 도구와 연동됩니다. 이 과정에서 API 키가 평문으로 저장되고, 세션 간 데이터가 지속 유지되며, IT 부서의 가시성 밖에서 운용되는 ‘섀도우 AI’ 형태로 배포되는 경우가 많습니다. 기업 기밀 정보가 AI 에이전트를 통해 외부로 유출될 수 있다는 우려가 금지 조치의 핵심 배경입니다.

 

Q3. CVE-2026-25253 취약점은 어떤 방식으로 공격이 이루어지나요?

이 취약점은 OpenClaw의 컨트롤 UI가 로컬호스트 발신 연결을 무조건 신뢰하는 설계 오류에서 비롯됩니다. 공격자가 악성 링크를 이메일이나 채팅으로 전송하면, 해당 링크를 클릭한 사용자의 인증 토큰이 탈취되고 기기 전체를 원격 제어당할 수 있습니다. 보안 연구자들은 이 공격 체인이 수 밀리초 내에 완료된다고 경고했으며, CVSS 점수는 8.8의 고위험 등급입니다.

 

Q4. 기업이 AI 에이전트를 안전하게 도입하려면 어떤 원칙이 필요한가요?

AI 에이전트 도입 시에는 최소 권한 원칙(Least Privilege), 제로 트러스트 아키텍처, 모든 에이전트 행동에 대한 감사 로그 확보, 그리고 플러그인·확장 기능에 대한 공급망 검증이 필수입니다. 또한 직원들이 IT 부서 승인 없이 AI 도구를 무단으로 설치하는 섀도우 AI를 탐지하고 통제하는 체계 구축도 선제적으로 이루어져야 합니다.

 

Q5. OpenClaw 사태는 향후 엔터프라이즈 AI 전략에 어떤 시사점을 주나요?

이번 사태는 AI 에이전트가 기업 환경에 빠르게 침투하고 있음에도 불구하고, 대부분의 기업에서 이를 관리할 거버넌스 프레임워크가 아직 준비되지 않았음을 보여줍니다. 앞으로 AI 에이전트의 기업 도입은 ‘사용 금지’와 ‘무통제 허용’이라는 양극단이 아니라, 검증된 보안 아키텍처 위에서의 통제된 활성화(Controlled Enablement) 방향으로 발전할 것입니다. 기업은 생산성과 보안을 동시에 확보하는 AI 도입 로드맵을 지금 당장 설계해야 합니다.

 

---

 

AX 컨설팅부터 비즈니스 모델 발굴까지

Global Top 10 AX Service Company｜SK AX

#OpenClaw #AI에이전트보안 #엔터프라이즈AI보안 #AI보안위협 #ShadowAI #제로트러스트보안 #AI거버넌스 #AI보안전략 #AI공급망보안 #SKAXAI