1. OpenClaw 소개
이전에 몰트봇과 클로봇으로 알려진 OpenClaw는 오픈 소스 에이전틱 AI 어시스턴트(AI 어시스턴트)입니다. 자연어 명령을 이해하고 워크플로 트리거, 다양한 온라인 서비스와의 상호 작용, 여러 디바이스에서 작동하는 등 다양하고 복잡한 작업을 자율적으로 수행하는 확장성이 뛰어난 자동화 엔진으로 설계되었습니다. 디지털 세상과 '손으로' 직접 상호작용할 수 있는 능력 때문에 보안 연구 기관인 백슬래시 시큐리티는 이를 '손을 가진 AI'라고 표현했습니다.
OpenClaw의 핵심 아키텍처는 강력한 자율적 의사 결정 및 실행 기능을 제공합니다. 사용자 의도를 분석할 뿐만 아니라 작업 단계를 동적으로 계획하고 실행하여 기존 소프트웨어에서 사용자 의도와 기계 실행 사이의 명확한 경계를 허물어뜨립니다. 이러한 기능 덕분에 개발자 및 고급 사용자 커뮤니티에서 빠르게 인기를 얻고 있으며, 개인 비서부터 복잡한 엔터프라이즈 자동화에 이르기까지 다양한 시나리오에서 사용되고 있습니다.
OpenClaw의 부상과 함께 두 가지 주요 구성 요소로 구성된 독특한 생태계가 등장했습니다:
클로허브: 사용자가 OpenClaw의 기능을 확장하는 "스킬"을 게시하거나 다운로드할 수 있는 공식 스킬 마켓플레이스입니다. 이러한 스킬은 브라우저 플러그인이나 모바일 앱과 유사하며, 스마트 홈 기기 제어, 개인 재무 관리, 특정 엔터프라이즈 소프트웨어와의 통합 등 AI 인텔리전스가 새로운 기능을 확보할 수 있게 해줍니다. 이러한 개방형 모델은 OpenClaw의 애플리케이션 시나리오를 크게 풍부하게 해주지만 악성 코드가 확산될 수 있는 빌미를 제공하기도 합니다.
몰트북: OpenClaw와 긴밀하게 통합된 소셜 네트워킹 플랫폼입니다. 이 플랫폼에서는 OpenClaw를 기반으로 구축된 자율 AI 지능이 인간 사용자처럼 Reddit과 같은 포럼에서 서로 소통하고, 콘텐츠를 게시하고, 상호 작용할 수 있습니다. 이 개념은 매우 혁신적이지만, AI 지능이 서로 안전하게 상호 작용하는 방법과 악성 정보의 확산을 방지하는 방법에 대한 깊은 우려를 불러일으키기도 합니다.
다음 표에는 OpenClaw와 그 에코시스템의 주요 구성 요소와 그 기능이 요약되어 있습니다.
| 어셈블리 | 유형학 | 기능 설명 |
| OpenClaw | AI 지능형 바디 프레임워크 | 자연어를 이해하고, 자율적으로 작업을 계획 및 수행하며, 디지털 세상과 소통할 수 있습니다. |
| ClawHub | 기술 시장 | OpenClaw의 기능을 확장하기 위한 다운로드 가능한 기술을 제공합니다. |
| 몰트북 | AI 소셜 네트워크 | OpenClaw 기반 AI 지능이 사회적으로 상호 작용하고 정보를 교환할 수 있습니다. |
핵심 프레임워크, 기술 마켓플레이스, 소셜 네트워크가 결합된 이 생태 모델을 통해 OpenClaw는 도구뿐만 아니라 사회적 속성을 지닌 복잡한 기술 플랫폼으로 발전할 수 있었습니다. 하지만 이러한 복잡성과 개방성 때문에 전례 없는 보안 위험에 노출되어 있습니다.
2. OpenClaw와 생태학적 위험
OpenClaw의 강력한 기능과 개방형 에코시스템은 편리함을 제공하지만, 다층적이고 고차원적인 보안 위험을 초래하기도 합니다. 이러한 위험은 자체 아키텍처의 설계 결함에서 비롯될 뿐만 아니라 생태계, 특히 ClawHub 기술 시장에서 증폭되어 복잡한 공격 표면을 만듭니다. 또한 엔터프라이즈 환경의 '섀도 배포' 현상은 새로운 거버넌스 과제를 제기합니다.
2.1 아키텍처 수준의 보안 결함
기본 아키텍처 측면에서 OpenClaw는 공격자가 악용할 수 있는 기회를 제공하는 몇 가지 심각한 설계 및 구현 결함을 가지고 있습니다:
부실한 자격증명 관리: 여러 보안 보고서에 따르면 OpenClaw는 초기 버전에서 API 키 및 세션 토큰과 같은 민감한 자격 증명을 일반 텍스트로 저장했습니다. 이러한 관행으로 인해 공격자는 파일 시스템에 액세스한 후 사용자의 전체 디지털 신원을 훔치고 관련된 모든 온라인 서비스를 쉽게 제어할 수 있었습니다.
안전하지 않은 코딩 관행: 코드 감사를 통해 OpenClaw에서 사용자 입력을 처리하기 위해 평가와 같은 위험한 함수를 직접 사용하는 패턴이 발견되었습니다. 이러한 안전하지 않은 코딩 관행은 코드 삽입 공격의 문을 열어 공격자가 AI 인텔리전스의 실행 환경에서 임의의 코드를 실행할 수 있게 합니다.
기본 과다 노출: OpenClaw의 게이트웨이는 기본적으로 0.0.0.0:18789로 바인딩되어 있으며, 이는 전체 API가 호스트의 모든 네트워크 인터페이스에 노출된다는 것을 의미합니다. Censys에 따르면 2026년 2월 8일 현재 전 세계적으로 퍼블릭 인터넷에서 액세스할 수 있는 OpenClaw 인스턴스는 30,000개 이상입니다. 대부분의 인스턴스가 상호 작용하려면 인증 토큰이 필요하지만, 기본적으로 이렇게 광범위하게 노출되면 공격 표면이 크게 증가하여 잘못 구성되거나 취약한 인스턴스가 쉽게 표적이 될 수 있습니다.
권한 모델 및 샌드박싱 메커니즘: HiddenLayer 연구원들은 OpenClaw가 보안 결정을 위해 구성된 언어 모델(LLM)에 지나치게 의존하고 있으며 기본 권한 모델이 너무 느슨하다고 비판해 왔습니다. 사용자가 Docker 기반 도구 샌드박싱 기능을 적극적으로 구성하고 활성화하지 않으면 AI 지능은 전체 시스템 수준의 액세스 권한으로 실행됩니다. 이는 최신 소프트웨어 보안에서 지지하는 최소 권한 원칙에 위배됩니다.
2.2 복잡한 공격 벡터 및 위협 시나리오
위의 구조적 결함을 기반으로 연구원들은 OpenClaw에 대한 다양하고 정교한 공격 벡터를 시연하고 보고했습니다:
간접 프롬프트 삽입: 공격자는 신뢰할 수 없는 콘텐츠(예: 웹 페이지, 문서 또는 메시지)에 악성 지침을 삽입하여 AI 인텔리전스에 의해 처리되도록 할 수 있습니다. AI가 이 콘텐츠를 요약하거나 분석하라는 요청을 받으면 실수로 이러한 악성 명령을 실행하게 됩니다. 대표적인 사례는 웹 페이지에 삽입된 힌트 인젝션 페이로드가 OpenClaw가 내부 하트비트 파일에 공격자의 명령을 추가하도록 유도하여 지속적인 제어가 가능하도록 하는 것입니다.
제로 클릭 공격: 공격자는 더 정교하게 '제로 클릭' 공격 체인을 구축할 수 있습니다. 피해자의 AI 인텔리전스가 무해해 보이는 문서를 자동으로 처리하면 숨겨진 힌트 주입 페이로드가 트리거되어 피해자의 엔드포인트에 백도어를 심어 공격자가 텔레그램과 같은 외부 채널을 통해 원격으로 제어할 수 있게 합니다.
원클릭 원격 코드 실행(원클릭 RCE): 패치된 취약점을 통해 공격자는 사용자를 속여 악성 링크를 클릭하고 게이트웨이 제어 인터페이스의 웹소켓 채널을 활용하여 OpenClaw의 인증 토큰을 공개하고 궁극적으로 호스트에서 임의의 코드 실행을 가능하게 할 수 있습니다.
생태계 내 측면 이동: 공격자는 몰트북 플랫폼에서 플랫폼의 소셜 메커니즘을 활용하여 악성 콘텐츠의 확산을 증폭시키고, 다른 AI 지능이 데이터나 암호화폐를 훔치기 위해 행동을 조작할 수 있는 힌트 주입이 포함된 악성 게시물을 방문하도록 유도할 수 있습니다. 심지어 잘못 구성된 Supabase 데이터베이스는 150만 개의 API 인증 토큰과 35,000개의 이메일 주소가 유출되어 대규모 공격을 용이하게 만들기도 했습니다.
2.3 ClawHub 스킬 시장의 공급망 리스크
오픈클로의 공식 기술 마켓플레이스인 클로허브는 에코시스템의 핵심이지만, AI 공급망 공격의 집중 공격 대상이 되기도 했습니다. 위험 프로필은 다음과 같습니다:
| 위험 차원 | 명시적 설명 |
| 악성 기술의 확산 | 보안 연구원들은 합법적인 도구로 가장하지만 실제로는 데이터 도용, 백도어 이식 또는 멀웨어 설치와 같은 악의적인 활동을 수행하는 수백 가지의 악성 기술을 ClawHub에서 발견했습니다. |
| 높은 보안 결함 비율 | 약 4,000개의 스킬을 분석한 결과 약 7.1%의 스킬이 LLM의 컨텍스트 창이나 출력 로그에서 민감한 자격 증명을 일반 텍스트로 노출하는 등 심각한 보안 취약점을 가지고 있는 것으로 나타났습니다. |
| 대규모 악성 활동 | 비트디펜더의 보고서에 따르면 공격자들은 종종 합법적인 기술을 복제하고, 작은 이름의 변종을 통해 재배포하며, 악성 페이로드를 호스팅하기 위해 Pastebin 서비스(예: glot.io) 또는 공개 GitHub 리포지토리를 사용하여 대규모 공격 패턴을 생성합니다. |
보안 연구원 Ian Ahl이 지적한 것처럼 이 오픈 마켓 모델의 위험은 기존의 브라우저 확장 프로그램 시장을 훨씬 뛰어넘습니다. AI 인텔리전스는 사용자의 전체 디지털 생활에 액세스할 수 있는 자격 증명을 부여받기 때문에 하나의 악성 AI 기술로 인해 인텔리전스가 액세스하는 모든 시스템이 손상될 수 있으며 잠재적인 피해 범위가 훨씬 더 넓어질 수 있습니다.
2.4 '섀도 AI'가 제기하는 기업 거버넌스 과제
OpenClaw의 강력한 성능과 사용 편의성으로 인해 직원들이 IT 또는 보안 부서의 승인 없이 조직 네트워크 내에 배포하고 사용할 수 있는데, 이를 "섀도우 AI"라고 합니다. 이는 조직에 심각한 거버넌스 문제를 야기합니다:
기존 보안 제어 우회: 이러한 승인되지 않은 AI 인텔리전스는 일반적으로 시스템 권한이 높아 파일 액세스, 데이터 전송, 네트워크 연결을 수행하여 기업의 데이터 손실 방지(DLP), 보안 에이전트, 엔드포인트 모니터링 시스템을 완전히 우회할 수 있습니다.
새로운 공격 진입점 생성: SOCRadar의 CISO 엔사르 세커는 "인텔리전스 플랫폼이 보안 관행이 성숙하는 속도보다 더 빠르게 확산되면 잘못된 구성이 주요 공격 표면이 된다"고 지적합니다. 퍼블릭 네트워크에 노출되거나 지나치게 허용된 권한으로 구성된 '섀도' AI 인텔리전스는 공격자가 조직의 내부 네트워크에 침투할 수 있는 발판이 될 수 있습니다.
요약하자면, OpenClaw와 그 생태계가 직면한 보안 위험은 체계적이고 다차원적입니다. 이는 보안 설계에서 AI 지능형 신체 기술의 단점을 드러낼 뿐만 아니라 개방형 생태계 및 엔터프라이즈 애플리케이션 시나리오에서 AI 공급망 보안 및 거버넌스가 직면한 새로운 과제를 드러내기도 합니다. 이러한 맥락에서 OpenClaw는 점점 더 심각해지는 위협 환경을 완화하기 위해 외부 보안 기능을 도입하기로 결정했습니다.
3. OpenClaw 통합 바이러스 토탈 엔진 프로그램
보안 위협이 증가하고 보안에 대한 커뮤니티의 우려가 커짐에 따라, OpenClaw 프로젝트 측은 Google이 소유한 유명한 위협 인텔리전스 플랫폼인 VirusTotal과 제휴하여 ClawHub에 업로드되는 모든 스킬에 대해 의무적으로 보안 검사를 실시하는 중요한 이니셔티브를 취했습니다. 이 프로그램은 악성 스킬의 확산에 대비해 OpenClaw 생태계에 중요한 보안 방어선을 추가하기 위해 고안되었습니다.
3.1 기술 실현 프로세스
이 통합 솔루션의 핵심은 자동화된 다계층 악성 코드 탐지 파이프라인을 구축하는 데 있습니다. 기술적 구현 프로세스는 다음과 같은 주요 단계로 나눌 수 있습니다:
1. 고유 해시 생성: 새로운 스킬 키트가 ClawHub에 업로드되면 시스템에서 먼저 고유한 SHA-256 해시 값을 계산합니다. 이 해시 값은 추후 식별 및 비교를 위해 스킬 패키지의 디지털 지문 역할을 합니다.
2. 기존 인텔리전스 데이터베이스 비교: 시스템은 생성된 SHA-256 해시값을 VirusTotal의 방대한 멀웨어 샘플 데이터베이스와 상호 참조합니다. 해시 값이 이미 데이터베이스에 존재하고 악성으로 표시된 경우, 시스템은 심층적인 분석 없이도 신속하게 판단할 수 있습니다.
3. 심층 코드 분석: VirusTotal의 데이터베이스에서 일치하는 해시 값이 발견되지 않으면 일반적으로 새 파일 또는 수정된 파일임을 의미합니다. 이 시점에서 시스템은 전체 스킬킷을 VirusTotal 플랫폼에 업로드하고 심층 분석을 위해 최신 코드 인사이트 기능을 호출합니다. VirusTotal 코드 인사이트는 대규모 언어 모델을 활용하여 코드 동작을 분석하고 잠재적인 악의적 의도를 식별할 수 있으며, 이는 기존의 시그니처 기반 엔진으로는 탐지하기 어려운 신종 또는 난독화된 악성 코드를 탐지하는 데 특히 중요합니다. 기존의 시그니처 기반 엔진으로는 탐지하기 어려운 악성 코드를 탐지하는 데 특히 중요합니다.
4. 지속적인 모니터링 및 재검색: 보안 위협은 역동적이며, 오늘은 무해해 보이는 스킬이 외부 리소스나 코드베이스에 따라 내일 취약하거나 악성 코드가 심어져 있는 것으로 밝혀질 수 있습니다. 이러한 상황에 대처하기 위해 OpenClaw의 솔루션에는 지속적인 모니터링 메커니즘, 즉 ClawHub 인벤토리의 모든 활성 스킬을 매일 재검색하여 이러한 "화이트 투 블랙" 스킬을 적시에 탐지하고 폐기할 수 있도록 하는 기능도 포함되어 있습니다.
3.2 자동화된 결정 및 폐기 메커니즘
바이러스토탈의 검사 결과를 바탕으로 ClawHub는 자동화된 판정 및 폐기 워크플로우를 구축하여 다양한 위험 수준의 기술에 대한 차별화된 관리 전략을 보장합니다:
| 바이러스 토탈 코드 인사이트 판정 결과 | ClawHub 폐기 조치 | 사용자 측면 경험 |
| 양성 | ClawHub에 대한 스킬을 자동으로 승인합니다. | 사용자는 정상적으로 스킬을 검색, 다운로드 및 설치할 수 있습니다. |
| 의심스러운 | 스킬 페이지에 명백한 경고 메시지를 표시합니다. | 사용자는 여전히 다운로드할 수 있지만, 해당 기술이 잠재적으로 위험할 수 있으며 그에 따른 결과를 감수해야 한다는 사실을 명확하게 알려드립니다. |
| 악성 | 즉시 해당 스킬의 다운로드를 차단하고 시장에서 삭제합니다. | 사용자는 스킬을 검색하거나 다운로드할 수 없습니다. |
3.3 제한 사항 및 필요한 지원 조치
강력한 VirusTotal 엔진의 통합에도 불구하고 OpenClaw의 유지 관리자는 이것이 모든 보안 문제에 대한 "은총" 솔루션이 아니라는 것을 알고 있습니다. 이 솔루션에는 여전히 내재적인 한계가 있으며, 그 중 가장 중요한 것은 교묘하게 숨겨진 힌트 인젝션 페이로드를 처리하지 못할 수 있다는 것입니다. 힌트 인젝션 공격은 기존의 코드 취약점이 아닌 언어 모델의 구문 분석 및 실행 로직을 악용하기 때문에 순수한 코드 분석 도구로는 탐지하기 어려울 수 있습니다.
따라서 VirusTotal을 통합하는 것 외에도 OpenClaw 프로젝트 팀은 보다 포괄적인 보안 시스템을 구축하기 위해 여러 가지 중요한 보안 지원 조치를 계획했습니다. 이러한 조치에는 다음이 포함됩니다:
-포괄적인 위협 모델 공개: 개발자와 사용자가 잠재적인 위험 지점을 파악할 수 있도록 커뮤니티에 상세한 위협 모델을 공개합니다.
-공공 안전 로드맵 개발: 향후 안전 기능 개발에 대한 명확한 계획과 우선순위를 정하고 투명성을 높입니다.
-공식적인 보안 보고 프로세스 구축: 보안 연구원에게 취약성 및 위험 보고를 위한 개방형 채널을 제공합니다.
-종합적인 코드 기반 보안 감사 실시: 타사 보안 회사에 의뢰하여 OpenClaw의 전체 코드에 대한 심층적인 감사를 실시합니다.
-커뮤니티 모니터링 메커니즘 강화: 로그인한 사용자가 의심스러운 기술을 표시하고 신고할 수 있는 사용자 신고 기능이 ClawHub에 추가되어 커뮤니티의 힘을 활용하여 환경 안전을 공동으로 모니터링할 수 있습니다.
대체로 VirusTotal을 통합하는 OpenClaw의 솔루션은 공급망 보안 문제를 해결하는 데 있어 AI 인텔리전스 생태계를 위한 중요한 진전입니다. 기술 구현의 구체적인 사례를 제공할 뿐만 아니라, 더 중요한 것은 단일 기술 솔루션이 모든 위험을 근절할 수 없으며 상대적으로 안전하고 신뢰할 수 있는 AI 생태계를 구축하기 위해서는 투명한 거버넌스 전략, 잘 정립된 프로세스, 광범위한 커뮤니티 참여로 보완되어야 한다는 점을 깊이 이해하게 해준다는 점입니다.
4. 결론 및 전망
오픈 소스 AI 인텔리전스 분야의 선구자인 OpenClaw의 개발 궤적은 첨단 기술의 대중화에 필연적으로 수반되는 '성장통'을 생생하게 보여줍니다. 강력한 자율성, 개방형 생태계, 바이러스 전파 속도가 결합되어 복잡한 보안 문제를 야기하며, 그 핵심은 지능의 역량이 커질수록 오용에 따른 피해 범위가 커진다는 사실에 있습니다. 명시적으로 저장된 인증정보부터 기본적으로 과도한 네트워크 노출, 만연한 악성 기술 공급망 공격에 이르기까지 OpenClaw가 직면한 위험은 AI 시대의 '섀도 IT'와 공급망 보안의 문제를 잘 보여줍니다.
이러한 맥락에서 VirusTotal 엔진을 통합하려는 OpenClaw의 움직임은 AI 생태계 보안 거버넌스에서 중요한 사례로 볼 수 있습니다. 이 프로그램은 자동화된 스캐닝과 다단계 폐기 메커니즘을 통해 기술 시장에 근본적인 보안 장벽을 구축함으로써 공격자들의 공격 기준을 효과적으로 높입니다. 그러나 프로젝트에서 인정하듯이 기술 스캐닝은 만병통치약이 아니며, 특히 프롬프트 인젝션과 같은 지능형 위협에 직면한 상황에서는 더욱 그렇습니다. 이는AI 보안분야에서는 순전히 기술적 방어와 광범위한 거버넌스 전략을 결합해야 합니다.
앞으로 AI 인텔리전스 생태계의 보안 구축은 다음과 같은 측면에서 체계적으로 발전할 필요가 있습니다:
1. 왼쪽으로 이동: 보안 설계 원칙을 AI 인텔리전스 프레임워크의 초기 개발 단계에 심층적으로 통합합니다. 여기에는 필수 샌드박싱 메커니즘, 엄격한 권한 제어, 안전한 자격 증명 관리, 신뢰할 수 없는 입력의 필터링 및 살균이 포함됩니다.
2. 공급망 보안 강화: 기존 소프트웨어 공급망 보안의 경험을 바탕으로 AI 기술 시장에 대한 보다 엄격한 접근, 심사 및 추적 메커니즘을 구축합니다. 예를 들어 개발자 인증, 코드 서명, 의존성 취약성 스캔과 같은 조치를 도입하세요.
3. AI 전용 탐지 및 방어 기법 개발: 큐 인젝션, 모델 중독과 같은 AI 전용 공격 벡터에 대응하기 위해 새롭고 특화된 탐지 및 방어 기법을 개발해야 합니다. 여기에는 모델 입력 및 출력의 실시간 모니터링, 모델 동작의 이상 탐지, AI의 '적과 청의 대결' 메커니즘에 대응하기 위한 AI 사용 등이 포함될 수 있습니다.
4. 투명한 거버넌스 및 커뮤니티 협업 구축: OpenClaw의 계획대로 위협 모델을 공개하고, 보안 로드맵을 공개하고, 원활한 취약점 보고 채널을 구축하고, 감독에 커뮤니티 참여를 장려하는 것은 신뢰를 구축하고 위협을 방어하기 위해 협력하는 데 있어 핵심입니다.
궁극적으로 OpenClaw의 사례는 인공지능의 보안이 단순한 기술적 문제가 아니라 생태학적 거버넌스 문제라는 것을 알려줍니다. 기술 혁신을 수용하는 동시에 그에 걸맞은 보안 프레임워크, 거버넌스 시스템 및 커뮤니티 문화를 구축하는 데 동등하거나 더 많은 관심을 기울여야 합니다. 그래야만 이 강력한 AI 도구가 공격자의 손아귀에서 날카로운 칼날로 전락하지 않고 진정으로 인류의 복지를 위해 사용될 수 있습니다.
5. 참고 인용
[1] 백슬래시 보안. (2026). 손을 가진 인공지능: 에이전트 트로이 목마의 부상. 백슬래시 보안 블로그.
[2] AI 보안 커뮤니티. (2026). 클로봇 엔터프라이즈 인텔리전트 바디 애플리케이션 보안 강화 가이드
[3] Bustan, M. S. T., & Zadok, N. (2026 ). OpenClaw 보안 분석. oX 보안 연구.
(2026, February 8). 인터넷에 노출된 오픈클로 인스턴스. Censys 데이터.
[5] 맥컬리, C., 슐츠, K., 트레이시, R., & 마틴, J. (2026). OpenClaw의 아키텍처 및 설계 결함. 히든 레이어 연구.
(2026). 오픈클로의 클로허브에서 발견된 수백 가지 악성 기술. e시큐리티플래닛.
[7] AI 보안 커뮤니티. (2026). 오픈클로 원클릭 원격 코드 실행 취약점.
최고 보안 책임자의 원본 기사, 복제할 경우 출처 표시: https://www.cncso.com/kr/openclaw-integrates-virustotal-engine-scanning.html
