"스페이스 롭스터(Space Lobster)"의 일탈: Meta와 테크 거물들이 OpenClaw를 퇴출하는 이유

"섀도우 AI(Shadow AI)"의 시대가 공식적으로 도래했으며, 그 이름은 OpenClaw입니다.

개발자의 자율성과 기업 보안 사이의 커지는 마찰을 극명하게 보여주는 결정적인 조치로, Meta는 사내 네트워크 전반에서 OpenClaw(이전 명칭 Clawdbot)의 사용을 엄격히 금지했습니다. 사용자가 WhatsApp이나 Slack과 같은 메시징 앱을 통해 로컬 머신을 제어할 수 있게 해주는 이 폭발적인 인기의 오픈 소스 에이전트는 주요 기술 기업의 보안 팀에 의해 "높은 심각도의 위험(high-severity risk)"으로 분류되었습니다.

이번 금지 조치는 해당 프로젝트가 격동의 일주일을 보낸 뒤에 나온 것입니다. 이 기간 동안 OpenClaw는 GitHub 스타 수 145,000개를 돌파했고, 두 차례의 긴급 브랜드 변경을 거쳤으며, 수천 대의 개발자 머신을 노출시킨 치명적인 원격 코드 실행(Remote Code Execution, RCE) 취약점으로 고통받았습니다. Creati.ai 독자들에게 OpenClaw 사가는 단순한 보안 헤드라인 그 이상입니다. 이는 인공지능(Artificial Intelligence)의 "손"을 누가 통제하느냐를 두고 벌이는 전쟁의 첫 번째 주요 전투입니다.

인기 스타에서 보안의 부랑아로

이 금지 조치의 심각성을 이해하려면 먼저 이 도구가 가진 전례 없는 매력을 이해해야 합니다. PSPDFKit의 설립자인 Peter Steinberger가 개발한 OpenClaw(처음에는 Clawdbot으로 출시됨)는 "실제로 일을 하는 AI"가 되겠다고 약속했습니다.

브라우저 탭 안에서만 존재하는 전통적인 챗봇과 달리, OpenClaw는 사용자의 하드웨어(주로 Mac Mini나 백그라운드 서버)에서 로컬로 실행됩니다. 이는 Claude나 GPT-4와 같은 대규모 언어 모델(Large Language Models, LLM)과 사용자의 운영체제 사이의 가교 역할을 합니다. 사용자가 "내 데스크톱에서 4분기 보고서를 찾아서 Sarah에게 이메일로 보내줘" 또는 "이 코드베이스를 리팩토링하고 테스트를 실행해줘"와 같은 명령을 텍스트로 보내면, OpenClaw는 셸 명령과 파일 시스템 액세스를 사용하여 자율적으로 이를 실행합니다.

이러한 "로컬 우선(Local-First)" 아키텍처는 클라우드에 종속된 제약에 지친 개발자들에게 깊은 공감을 불러일으켰습니다. 그러나 이는 IT 보안 부서에 악몽 같은 시나리오를 만들었습니다. 암호화되지 않았거나 쉽게 스푸핑(Spoofing)될 수 있는 메시징 채널을 통해 제어되며, 기업 기기에 대한 전체 읽기/쓰기 권한을 가진 검증되지 않은 자율 에이전트가 등장한 것입니다.

트리거: CVE-2026-25253

업계 전반의 단속이 시작된 전환점은 **CVE-2026-25253**의 공개로 보입니다. 보안 연구원들은 OpenClaw의 로컬 게이트웨이에서 교차 사이트 웹소켓 하이재킹(WebSocket hijacking) 취약점을 발견했습니다. 이 결함으로 인해 악성 웹사이트가 사용자가 모르는 사이에 실행 중인 OpenClaw 인스턴스에 은밀히 연결하여 피해자의 머신에서 임의의 코드를 실행할 수 있었습니다.

OpenClaw 커뮤니티가 이 문제를 해결하기 위해 빠르게 패치를 진행했지만, 기업 부문에서 실추된 명성은 이미 회복하기 어려운 상태였습니다.

Meta 금지 조치 내부: "먼저 차단하고, 나중에 조사하라"

업계 소식통이 입수한 내부 통신에 따르면, Meta의 보안 리더십은 "선 차단" 정책을 채택했습니다. 지난주 후반에 하달된 이 지침은 회사에서 지급한 모든 하드웨어에 OpenClaw를 설치하거나 실행하는 것을 명시적으로 금지합니다. 이 정책을 위반한 직원은 해고를 포함한 징계 조치에 처해질 수 있는 것으로 알려졌습니다.

Meta를 비롯해 Valere, Massive 등 다른 기업들이 내세운 근거는 단일 취약점 그 이상입니다. 핵심 우려 사항은 다음과 같습니다:

• 예측 불가능한 행동: 에이전트 기반 시스템으로서 OpenClaw는 사용자의 의도와 벗어난 결정을 내릴 수 있으며, 잠재적으로 중요한 시스템 파일을 수정하거나 삭제할 수 있습니다.
• 데이터 유출: 로컬 파일을 읽고 타사 메시징 앱(Telegram이나 WhatsApp 등)을 통해 요약본을 전송하는 기능은 데이터 손실 방지(Data Loss Prevention, DLP) 프로토콜을 우회합니다.
• 프롬프트 인젝션(Prompt Injection): 보안 감사관들은 OpenClaw가 악성 이메일에 속을 수 있음을 증명했습니다. 에이전트에게 "읽지 않은 이메일을 요약하라"는 지시가 내려졌을 때, 숨겨진 텍스트가 포함된 무기화된 이메일이 에이전트에게 SSH 키나 민감한 코드베이스를 내보내도록 명령할 수 있습니다.

공급망 공격

공포를 가중시킨 것은 금지 조치가 시행되기 직전에 발생한 npm 패키지 생태계와 관련된 별개의 사고였습니다. 해커들이 인기 있는 개발자 도구인 cline을 해킹하여, 설치 후 스크립트에 개발자 머신에 OpenClaw를 몰래 설치하는 코드를 삽입했습니다. 이러한 "드라이브 바이(drive-by)" 설치는 유용한 에이전트를 제대로 구성되지 않을 경우 외부 행위자로부터 명령을 받을 수 있는 잠재적인 "슬리퍼 멀웨어(sleeper malware)"로 변모시켰습니다.

에이전트와 기업 표준 사이의 간극

OpenClaw 사건은 현재의 오픈 소스 AI 에이전트 상태와 현대 기업의 엄격한 보안 요구 사항 사이의 근본적인 단절을 보여줍니다. 개발자는 속도와 기능을 우선시하는 반면, 기업은 감사 가능성과 격리성을 요구합니다.

다음 표는 OpenClaw의 기본 아키텍처와 표준 기업 보안 요구 사항을 대조하여, 왜 이 도구가 기업 환경과 호환되지 않는지 보여줍니다.

표: OpenClaw 아키텍처 vs 기업 보안 표준

업계 반응: "자신의 에이전트 가져오기(BYOA)"의 종말?

OpenClaw에 대한 단속은 기업들이 "자신의 AI 가져오기(Bring Your Own AI, BYOAI)"를 바라보는 방식의 변화를 시사합니다. 과거 IT 부서가 허가되지 않은 스마트폰(BYOD)을 관리하기 위해 고군분투했던 것처럼, 이제는 생산성을 높이기 위해 직원이 설치했지만 거대한 공격 표면을 노출시키는 **섀도우 에이전트(Shadow Agents)**라는 과제에 직면해 있습니다.

Valere의 CEO인 Guy Pistone은 인터뷰에서 OpenClaw를 허용하는 것은 "인턴에게 서버실 열쇠를 주고 감독 없이 방치하는 것과 같다"고 언급했습니다. 보안 리더들 사이의 합의된 의견은 에이전트 기반 AI (agentic AI)가 미래이기는 하지만, 소비자 수준의 권한 없는 아키텍처 위에서 구축될 수는 없다는 것입니다.

제작자의 행보

추가적인 추측을 낳게 한 반전으로, Peter Steinberger는 최근 OpenAI에 합류할 것이며 OpenClaw 프로젝트는 독립적인 오픈 소스 재단으로 이전될 것이라고 발표했습니다. 이러한 전환은 OpenClaw의 "서부 개척 시대"는 끝나가고 있을지 모르지만, 그 이면의 기술은 주류 AI 개발 파이프라인으로 흡수되고 있음을 시사합니다.

결론: AI 도입자를 위한 교훈

OpenClaw는 자율 AI의 힘을 보여주는 강력한 개념 증명(Proof of Concept) 역할을 합니다. 이는 에이전트가 파일 시스템을 탐색하고 복잡한 워크플로우를 실행하며 현실 세계와 의미 있게 상호작용할 수 있음을 입증했습니다. 그러나 그 "일탈" 상태는 경고의 메시지를 던집니다.

Creati.ai 독자들과 AI 개발자들에게 교훈은 명확합니다. 가드레일 없는 자율성은 책임(Liability)이 됩니다. 우리가 완전히 에이전트화된 워크플로우의 미래로 나아감에 따라, 초점은 "이 에이전트가 무엇을 할 수 있는가?"에서 "이 에이전트가 무엇을 못 하게 되어 있는가?"로 옮겨가야 합니다. 오픈 소스 에이전트의 보안 아키텍처가 기업 표준에 맞게 성숙해질 때까지 OpenClaw와 같은 도구는 애호가들에게는 강력한 장난감으로 남겠지만, 기업 세계에서는 금지된 열매로 남을 것입니다.