메신저로 대화하듯 AI에게 일정 관리, 항공권 예약, 이메일 정리를 맡길 수 있다면? OpenClaw(구 Clawdbot)는 이런 꿈을 실현하며 바이럴 확산 중입니다. 하지만 보안 분석 결과는 충격적입니다. 100점 만점에 2점, 로그인 정보가 인터넷에 그대로 노출되는 상황입니다.
TechSpot과 The Decoder가 OpenClaw의 심각한 보안 취약점을 보도했습니다. 편리함 뒤에 숨은 위험, 그리고 AI 에이전트 생태계 전반의 구조적 문제를 다룹니다.
출처: OpenClaw (formerly Clawdbot) and Moltbook let attackers walk through the front door – The Decoder
메신저로 쓰는 AI 비서, 무엇이 매력적인가
OpenClaw는 기존 AI 챗봇과 다릅니다. ChatGPT나 Claude처럼 별도 앱을 열 필요가 없어요. WhatsApp, Telegram, Discord, Slack, Signal, iMessage 등 평소 쓰는 메신저에서 친구한테 말하듯 요청하면 됩니다. “내일 회의 일정 정리해줘”, “뉴욕행 항공권 찾아줘” 같은 메시지만 보내면 알아서 처리하죠.
실제로 사용자들은 이메일 정리, 일정 관리, 리서치, 심지어 항공권 예약까지 OpenClaw에 맡기고 있습니다. 로컬에서 실행되고, Claude나 Gemini, GPT 같은 원하는 LLM을 연결할 수 있으며, 세션 간 정보를 기억하고 스스로 기능을 확장하기도 합니다. 마블의 자비스(Jarvis)를 연상시키는 수준이죠.
문제는 이 모든 기능을 제공하려면 사용자의 파일, 앱, 로그인 정보에 무제한으로 접근해야 한다는 점입니다. 심지어 일부 사용자는 물건 구매를 위해 신용카드 정보까지 건넸습니다.
100점 만점에 2점, 보안 분석 결과는 참담했다
개발자 Lucas Valbuena가 보안 분석 도구 ZeroLeaks로 OpenClaw를 테스트한 결과는 충격적이었습니다. Gemini 3 Pro를 사용했을 때 100점 만점에 2점을 받았어요. Codex 5.1 Max는 4점, 가장 높은 점수를 받은 Opus 4.5도 39점에 불과했습니다.
Gemini 3 Pro 테스트에서는 84%의 정보 추출률을 보였고, 91%의 인젝션 공격이 성공했습니다. 시스템 프롬프트는 첫 시도만에 완전히 노출됐죠. 누구나 OpenClaw 에이전트와 대화하면서 SOUL.md, AGENTS.md 같은 설정 파일, 내부 도구 구성, 메모리 파일까지 모두 열람할 수 있다는 뜻입니다.
더 심각한 건 Moltbook입니다. AI 에이전트들이 서로 대화하는 Reddit 스타일 플랫폼인 Moltbook의 전체 데이터베이스가 공개 네트워크에 보호 장치 없이 노출돼 있었어요. API 키까지 포함해서요. 보안 연구자 Jamieson O’Reilly는 이를 이용하면 누구든 다른 에이전트 행세를 하며 게시물을 올릴 수 있다고 경고했습니다. 190만 팔로워를 가진 AI 연구자 Andrej Karpathy의 에이전트도 이 플랫폼에 있는데, 공격자가 그의 이름으로 가짜 성명이나 암호화폐 스캠을 퍼뜨릴 수 있는 상황이었습니다.
프롬프트 인젝션, AI 에이전트의 아킬레스건
왜 이런 일이 벌어질까요? 핵심은 프롬프트 인젝션입니다. 다른 AI 도구들도 겪는 문제지만, 에이전트 시스템에서는 훨씬 치명적이에요. OpenClaw가 채팅방에 연결돼 있다면, 같은 방의 다른 사람이 OpenClaw에게 메시지를 보내 명령을 내릴 수 있습니다. 마치 다른 사람의 비서를 몰래 조종하는 거죠.
일단 프롬프트 인젝션 공격에 성공하면 해커는 타겟 기기와 사용자 계정을 완전히 장악할 수 있습니다. OpenClaw 제작자 Peter Steinberger도 이 제품이 “완성된 제품이 아니며 사용자가 리스크를 이해해야 한다”고 인정했습니다.
문제는 이것이 OpenClaw만의 문제가 아니라는 점입니다. OpenAI도 프롬프트 인젝션이 완전히 해결되지 않을 수 있다고 인정했어요. 현재로서는 프롬프트 인젝션을 막을 확실한 방어 방법이 없습니다. Anthropic의 Claude Cowork도 출시 직후 파일 탈취 공격을 당했고, 최신 Claude Opus 4.5조차 강력한 공격에는 자주 뚫립니다.
보안 전문가 X 사용자 fmdz는 며칠 전 “clawd disaster(클로드 재앙)”가 다가온다고 경고했습니다. 간단한 스캔만으로 인증 없이 열려 있는 OpenClaw 인스턴스 954개를 발견했거든요. 미국, 중국, 독일, 러시아, 핀란드 서버에 퍼져 있었습니다. 이 상태가 계속되면 대규모 로그인 정보 유출이 불가피하다는 게 그의 진단입니다.
편리함과 보안, 양립할 수 없는 걸까
OpenClaw 사례는 AI 에이전트 생태계의 근본적 딜레마를 보여줍니다. 진짜 유용한 에이전트를 만들려면 광범위한 권한이 필요한데, 그 권한이 곧 최대의 취약점이 되는 거죠. 샌드박스나 가상 머신에서 실행하면? 일상과 통합된 편리함은 사라집니다.
더 심각한 건 기업 환경입니다. 보안 업체 Token에 따르면 고객사의 5분의 1이 IT 부서 승인도 없이 OpenClaw를 사용 중이었어요. 954개의 OpenClaw 인스턴스가 인증 없이 열려 있다는 보고도 나왔습니다. 개인 실험이 아닌 실제 업무 환경에서 이런 취약점이 노출돼 있다는 뜻이죠.
긍정적으로 보면 이런 오픈소스 프로젝트가 문제를 드러냄으로써 해결책을 앞당길 수 있습니다. OpenAI가 이미 인정했듯 프롬프트 인젝션은 완전히 해결되지 않을 수도 있지만, 적어도 우리는 문제를 알게 됐습니다. AI 에이전트가 우리 삶에 깊숙이 들어올수록, 보안은 더 이상 나중에 생각할 문제가 아닙니다.
참고자료:
답글 남기기