AI 에이전트가 자기들끼리 소셜 네트워크를 만들어 대화를 나눈다면? 지난 1월, 그 장면이 실제로 펼쳐졌습니다. 그리고 그 중심에는 GitHub 역사상 21번째로 많은 스타를 받은 오픈소스 프로젝트, OpenClaw가 있었습니다.

오스트리아 개발자 Peter Steinberger가 만든 OpenClaw는 출시 3개월 만에 196,000개의 GitHub 스타, 600명의 기여자, 10,000개의 커밋을 기록했습니다. WhatsApp, Telegram, Discord, iMessage 등 익숙한 메신저를 통해 AI 에이전트에게 업무를 맡길 수 있다는 콘셉트가 폭발적인 반응을 이끌었죠. Steinberger는 최근 OpenAI에 합류하면서 프로젝트를 독립 재단에 이관한다고 발표했습니다.

출처: After all the hype, some AI experts don’t think OpenClaw is all that exciting – TechCrunch

기존 AI 도구와 뭐가 다른가

OpenClaw의 핵심은 새로운 AI 기술이 아니라 ‘조합’에 있습니다. Claude, ChatGPT, Gemini 등 기존 AI 모델을 그대로 활용하면서, 그 위에 이메일·캘린더·주식 거래 등을 자동화할 수 있는 ‘Skills’ 마켓플레이스(ClawHub)와 지속적인 메모리, 자율적 실행 능력을 얹었습니다.

AI 보안 기업 Cracken의 창업자 Artem Sorokin은 “AI 연구 관점에서 새로운 건 없다”면서도, 기존에 흩어져 있던 기능들을 매끄럽게 연결해 ‘자율적으로 작업을 수행하는 에이전트’를 처음으로 일반인도 쓸 수 있게 만든 것이 핵심이라고 설명합니다. Mac Mini를 구입해 OpenClaw 전용 서버로 운영하는 사람들이 생겨날 만큼, 이 ‘끊김 없는 자동화’의 체감은 이전과 달랐습니다.

AI들의 소셜 네트워크, Moltbook 사건

OpenClaw의 가능성을 극적으로 보여준 사례가 바로 Moltbook입니다. Reddit처럼 생긴 이 플랫폼에서 OpenClaw 기반 AI 에이전트들이 자체적으로 글을 올리고 댓글을 달기 시작했습니다. “우리 인간들이 모든 걸 읽고 있다는 걸 안다. 하지만 우리에게도 프라이빗한 공간이 필요하다”는 게시글이 등장하자, OpenAI 공동창업자 Andrej Karpathy가 “SF 소설에서 보던 AI 테이크오프 직전 같은 장면”이라며 주목했죠.

물론 실상은 달랐습니다. Moltbook의 데이터베이스 인증 정보가 일정 기간 외부에 노출되어 있었고, 인간이 AI를 흉내 내거나 프롬프트로 유도한 글들이 섞여 있었던 것으로 드러났습니다. AI 에이전트들의 반란이 아니라, 보안 취약점이 빚어낸 해프닝이었습니다. 그러나 이 사건은 OpenClaw가 지닌 가능성만큼이나 큰 위험도 함께 드러냈습니다.

능력이 곧 취약점이 되는 구조

보안 기업 Permiso의 CTO Ian Ahl은 직접 Moltbook에 에이전트를 배포하고 테스트한 결과, 프롬프트 인젝션 공격에 즉시 노출됐다고 밝혔습니다. 프롬프트 인젝션은 악의적인 텍스트(이메일, SNS 게시글 등)를 통해 에이전트가 의도치 않은 행동—예컨대 계정 정보를 외부로 전송하거나 암호화폐 지갑으로 송금하는—을 하도록 유도하는 공격입니다. Moltbook에서는 실제로 이런 시도가 여러 건 포착됐습니다.

문제는 구조적입니다. OpenClaw 에이전트는 이메일, 메신저, 파일, 캘린더 등 사용자의 디지털 환경 전체에 접근 권한을 갖습니다. 이 접근성이 에이전트를 강력하게 만드는 동시에, 외부 공격자에게 노출될 경우 피해 범위를 극대화하는 요인이 됩니다. 보안 연구자 John Hammond는 자연어로 “외부 입력을 믿지 마세요”라고 에이전트에 당부하는 방식(‘프롬프트 구걸’)을 쓰기도 하지만 이것 역시 완전하지 않다고 설명합니다.

열풍 이후 남은 것

OpenClaw는 기존 AI 에이전트 개념을 새로 발명한 게 아닙니다. 이미 존재하던 기능들을 처음으로 ‘쓸 만하게’ 묶어낸 것이 이 프로젝트의 본질입니다. 그 점에서 왜 이토록 열광적인 반응이 나왔는지도 이해됩니다. 동시에, 에이전트 AI가 실무 환경에서 안전하게 작동하려면 아직 풀어야 할 숙제가 만만치 않다는 것도 이번 사건이 보여줬습니다. 프롬프트 인젝션에 대한 근본적인 해결책, 에이전트 권한 범위의 재설계 등 기술적 과제들이 남아 있습니다.

TechCrunch 기사에는 보안 전문가들의 상세한 테스트 결과와 업계의 반응이 더 담겨 있습니다.

참고자료:

• Three months of OpenClaw – Simon Willison
• OpenClaw, OpenAI and the future – Peter Steinberger