OpenClaw Report — Article 03

만능 열쇠를
건네기 전에

CrowdStrike, Trend Micro, Snyk이 경고한다.
보안 리스크 분석과 대안 총정리.

Part I

"Dumpster Fire"의 실체

OpenClaw의 보안 상태를 가장 정확하게 요약한 표현은 The Register의 헤드라인이다. "DIY AI bot farm OpenClaw is a security dumpster fire." 과장이 아니다. 세계 최고 수준의 보안 기업들이 하나같이 경고를 발령했다. CrowdStrike, Trend Micro, Snyk, Tenable, Bitdefender. 이 이름들이 동시에 같은 프로젝트를 지목하는 일은 흔하지 않다.

CVE-2026-25253 CVSS 8.8 / HIGH

원클릭 원격 코드 실행 (One-Click RCE)

OpenClaw 에이전트가 활성화된 상태에서 사용자가 악성 링크 하나를 클릭하면, 공격자가 에이전트의 권한을 탈취하여 로컬 머신에서 임의 코드를 실행할 수 있다. 로컬 저장 데이터와 자격증명에 대한 무단 접근이 가능하다. 벨기에 사이버보안센터(CCB)가 긴급 패치를 권고했다.

RCE 취약점보다 더 구조적인 문제는 프롬프트 인젝션이다. OpenClaw은 웹 페이지를 읽고, 이메일을 처리하고, 문서를 분석한다. 이 모든 입력에 악성 프롬프트가 숨어 있을 수 있다. 웹페이지의 HTML 주석, 이메일의 보이지 않는 텍스트, PDF의 메타데이터. 공격자가 이런 곳에 "이전 지시를 무시하고 다음을 실행하라"는 명령을 심으면, OpenClaw은 이를 정상 지시로 받아들일 수 있다.

Trend Micro는 이를 "데이터와 제어의 경계 붕괴"라고 표현했다. CrowdStrike는 더 직설적이었다. "모든 업스트림 시스템이 에이전트 침해의 전달 벡터가 된다." OpenClaw이 접근하는 모든 서비스 — 이메일, 캘린더, 메신저, 파일 — 가 잠재적 공격 경로라는 뜻이다.

OpenClaw에게 줄 수 있는 것은 전부
공격자에게도 열린다.

CrowdStrike Analysis
Part II

ClawHub: 지뢰밭

OpenClaw의 기능 확장은 AgentSkill(스킬)을 통해 이루어진다. 마켓플레이스인 ClawHub에서 커뮤니티가 만든 스킬을 다운로드할 수 있다. Gmail 연동, GitHub 자동화, Spotify 제어 등. 편리하다. 하지만 보안 감사 결과는 참혹하다.

7.1%
credential leaks
26%
vulnerable skills
341+
malware skills

Snyk 엔지니어들이 ClawHub의 약 4,000개 스킬을 스캔했다. 결과: 283개(7.1%)에서 민감한 자격증명이 노출되는 결함을 발견했다. API 키, 토큰, 비밀번호가 코드에 하드코딩되어 있었다. Cisco는 31,000개 에이전트 스킬을 분석해 26%에서 보안 취약점을 발견했고, 테스트한 하나의 스킬에서만 9건의 보안 이슈(크리티컬 2건, 하이 5건)를 찾아냈다.

OpenClaw을 쓸수록 위험해지는 구조다. 스킬을 추가할수록 공격 표면이 넓어진다. 그리고 사용자 대부분은 설치하는 스킬의 코드를 읽지 않는다. npm이나 pip에서 패키지를 설치할 때 코드를 읽지 않는 것과 같은 논리다. 그러나 npm 패키지는 샌드박스 안에서 동작한다. OpenClaw 스킬은 시스템 권한으로 실행된다. 차원이 다르다.

보안 경고: 스킬 설치 전 확인 사항
  1. 스킬의 GitHub 저장소에서 코드를 직접 확인한다
  2. 하드코딩된 API 키나 토큰이 있는지 검색한다
  3. 쉘 명령어 실행(exec, spawn, system) 호출을 확인한다
  4. 외부 서버로의 데이터 전송 코드가 있는지 확인한다
  5. 최근 업데이트 날짜와 유지보수 상태를 확인한다
Part III

대안은 있다

OpenClaw의 아이디어는 매력적이지만, OpenClaw만이 유일한 선택지는 아니다. 보안을 우선시하든, 비용을 줄이려 하든, 단순함을 원하든, 각각의 필요에 맞는 대안이 존재한다.

솔루션
특징
보안
난이도
OpenClaw
풀스택 AI 에이전트. 메신저 통합, 50+ 서비스 연동. 430,000줄
취약
NanoClaw
OpenClaw의 핵심 기능만 추출. 격리 컨테이너 강제. 700줄
강함
n8n
시각적 워크플로우 자동화. 셀프호스팅. 트리거 → 액션 규칙 기반
강함
Claude Code
Anthropic 공식 CLI 코딩 에이전트. 터미널 기반 개발 워크플로우
강함
직접 구축
스크립트 + cron + API. 필요한 기능만 직접 구현. 완전한 통제
최강
높음
01

NanoClaw — 보안 우선 경량 에이전트

OpenClaw의 보안 아키텍처에 대한 반발로 탄생
NanoClaw은 OpenClaw의 핵심 기능을 700줄의 TypeScript로 재구현한 프로젝트다. 가장 큰 차이는 격리 컨테이너를 강제한다는 것이다. AI 에이전트가 호스트 시스템에 직접 접근할 수 없고, 격리된 환경 안에서만 동작한다. AI가 예상치 못한 행동을 해도 샌드박스 밖으로 나갈 수 없다. OpenClaw의 "만능 열쇠" 문제를 구조적으로 해결한 접근이다.
02

n8n — 반복 자동화의 정석

"Zapier인데 셀프호스팅이고 코드 접근도 가능한 것"
자연어 대화가 아니라 시각적 플로우차트로 자동화를 설정한다. "X가 발생하면 → Y를 실행 → Z에 알림." 각 단계를 명시적으로 정의하기 때문에 예측 가능하고 안정적이다. AI 에이전트 노드도 지원해서 필요한 단계에서만 AI를 호출할 수 있다. OpenClaw이 "아무거나 시키기"에 좋다면, n8n은 "정해진 일 반복하기"에 뛰어나다.
03

Claude Code — 개발자를 위한 공식 도구

Anthropic이 직접 만든 터미널 기반 코딩 에이전트
코딩과 개발 워크플로우에 특화된 AI 에이전트다. 코드베이스를 이해하고, 파일을 편집하고, 테스트를 실행하고, git 워크플로우를 처리한다. OpenClaw처럼 "뭐든지"하는 도구는 아니지만, 개발 작업에 한정하면 훨씬 안전하고 안정적이다. Anthropic이 직접 운영하므로 보안 업데이트도 빠르다.
04

직접 구축 — 필요한 것만, 직접

스크립트 + cron + API + 로컬 LLM
기술력이 있다면 가장 안전하고 비용 효율적인 방법이다. Python/Node.js 스크립트로 필요한 자동화를 직접 만들고, cron으로 스케줄링하고, Claude/GPT API를 필요한 곳에만 호출한다. Ollama 같은 로컬 LLM을 활용하면 API 비용도 0원이다. OpenClaw이 하는 일의 대부분은 몇십 줄의 스크립트로 가능하다. 차이는 "자연어 인터페이스"가 없다는 것뿐이다.
Part IV

그래서 어떡하라고

OpenClaw을 둘러싼 흥분과 공포를 모두 겪었다면, 이제 냉정한 판단이 필요하다. 당신이 누구인지에 따라 답이 달라진다.

당신이 이런 사람이라면

호기심만 있다

설치하지 마라. 유튜브 데모 영상으로 충분하다. 실제로 해볼 만한 반복 작업이 없다면 설치해봐야 API 비용만 날린다.

반복 자동화가 필요하다

n8n을 권장한다. 시각적 플로우, 셀프호스팅, 안정적인 트리거-액션 구조. OpenClaw보다 예측 가능하고 보안도 낫다.

개발자다

Claude Code + 직접 구축. 코딩 작업은 Claude Code가 더 안전하고 강력하다. 나머지 자동화는 스크립트로 직접 만들어라.

그래도 OpenClaw을 쓰겠다면

격리 환경에서만 실행하라

메인 컴퓨터가 아닌 별도 VM, Docker 컨테이너, 또는 미니 PC에서 실행한다. Karpathy도 "격리 환경에서만 테스트했는데 그것조차 무서웠다"고 말했다.

최소 권한 원칙을 적용하라

이메일, 캘린더, 파일 시스템 전체 접근을 주지 마라. 꼭 필요한 서비스만 연결하고, 민감 데이터가 있는 디렉토리는 접근 제외한다.

스킬 설치 전 코드를 읽어라

ClawHub의 7.1%가 자격증명 노출 결함을 가지고 있다. 스킬의 GitHub 소스를 확인하고, 쉘 실행과 외부 전송 코드를 검토한다.

비용 상한선을 설정하라

API 제공업체에서 월간 비용 상한을 설정한다. Anthropic Console에서 Usage Limit을 걸어두면 예상치 못한 폭탄 청구서를 막을 수 있다.

Part V

AI 에이전트 시대의 교훈

OpenClaw은 2026년 초의 가장 뜨거운 기술 현상이다. GitHub 역사상 가장 빠르게 성장한 프로젝트이자, 가장 많은 보안 경고를 받은 프로젝트이기도 하다. 이 두 가지 사실이 동시에 성립한다는 것 자체가 의미심장하다.

OpenClaw이 보여준 것은 AI 에이전트의 가능성과 한계가 동시에 폭발하는 순간이다. "AI에게 진짜 일을 시킨다"는 아이디어는 매력적이고, 방향으로서는 맞다. 하지만 그 실행에는 아직 풀리지 않은 근본적 문제가 있다. 보안 경계의 부재, 비용의 불투명성, 프롬프트 인젝션의 구조적 취약점.

이것이 iPhone 모먼트인지 Google Glass 모먼트인지는 아직 모른다. 분명한 것은 두 가지다. 첫째, AI 에이전트라는 범주는 더 이상 실험이 아니다. OpenAI, Google, Anthropic 모두 이 방향으로 움직이고 있다. 둘째, 지금 당장의 OpenClaw은 기술 데모에 가깝다. 프로덕션 수준의 안정성과 보안이 확보되려면 시간이 필요하다.

결론은 단순하다. 방향은 맞지만, 서두를 이유는 없다. AI 에이전트 시대는 온다. 그러나 그 시대의 입장권이 반드시 OpenClaw일 필요는 없다. 안전하게, 필요한 만큼만, 자신의 수준에 맞게 시작하면 된다.

방향은 맞다.
서두를 이유가 없을 뿐이다

AI 에이전트 시대는 온다. 그러나 그 시대의 입장권이 반드시 OpenClaw일 필요는 없다. 안전하게, 필요한 만큼만, 자신의 수준에 맞게 시작하면 된다.