OpenClaw: 비서로 가장한 시한폭탄
미국과 한국을 휩쓸고, 중국에서 수백만 명이 줄 서고 있는 거대하고 위험한 실험
오늘도 11,000+명의 창업가와 투자자가 주실밸과 함께합니다.
📺유튜브 | 💬카톡공지방 | 🗣스타텁/VC/LP 카톡방(비번2060) | 🔗링크드인 | 📸인스타그램
3월 10일, 중국 국가인터넷응급센터(CNCERT)가 OpenClaw에 대해 두 번째 보안 경고를 발령했습니다.
“일반 대중이 직접 사용하기에 적합하지 않다. 은행 비밀번호, 증권 계정 정보를 절대 입력하지 마라.”
같은 날, 선전 롱강구는 OpenClaw 프로젝트에 최대 200만 위안(약 4억원) 보조금을 발표했습니다. 우시, 창수도 보조금 정책을 내놨습니다. 텐센트 선전 본사 앞에서는 1,000명이 무료 설치를 기다리며 줄을 섰습니다. 알리바바, 바이트댄스, 텐센트가 원클릭 온보딩 서비스를 경쟁적으로 출시 중이고, 텐센트는 위챗과 QQ에 OpenClaw를 통합한 ‘QClaw’까지 내놨습니다. 광둥성 찬청구는 차이나텔레콤과 손잡고 주민 무료 설치까지 하고 있습니다.
보조금을 주면서 동시에 경고하는 제품. 이게 지금의 OpenClaw입니다.
한국과 미국에서는 한 번 확 왔다가 열기가 식었습니다. 근데 중국에서 이제야 폭발하고 있습니다. 문제는 이런 중국내의 성장이 의외로 한국과 미국의 OpenClaw 유저들한테는 치명적인 위험이 될 수도 있다는 부분입니다.
1. 혁신의 정체
OpenClaw가 왜 이렇게 핫한지는 설명이 필요 없습니다. 개발자가 아니어도 누구나 자기만의 AI 비서를 만들 수 있습니다 — 슬랙이든 이메일이든, 원하는 채널에 연결하고 스킬을 붙이면 됩니다. 84일 만에 GitHub 스타 234,000개 - 역대급 성장세입니다.
저도 초반에 핫할 때 OpenClaw로 디스코드 채널을 만들어서 Claude, Gemini, Kimi 봇들과 대화했던 적이 있습니다. 하지만 보안에 대한 우려, 자꾸 고장나서 유지보수에 시간이 너무 많이 들어가고, API 비용 때문에 사용을 중단하고 클로드로 금방 돌아왔죠.
사실 한 발짝 뒤에서 보면, 기술적으로 새로운 건 아무것도 없습니다.
LLM API 호출. Webhook 연동. 메시지 채널 커넥터. 이건 2024년에도 할 수 있었습니다. OpenAI도, Google도, Microsoft도 할 수 있었습니다. Copilot으로 이미 비슷한 걸 하고 있었고요.
그런데 대기업들은 왜 이걸 안 만들었을까요?
못 해서가 아닙니다. 무서워서입니다.
Google 엔지니어: “이거 2주면 만듭니다.”
Google 변호사: “AI가 hallucinate해서 고객 이메일을 엉뚱한 데 보내면?”
Google 엔지니어: “…가드레일을 —”
Google 변호사: “뚫리면 누가 소송당하죠?”
Google 엔지니어: “…우리요.”
Google 변호사: “안 됩니다.”
Steinberger(OpenClaw 개발자): “그래서 제가 LICENSE.md 한 줄로 책임없이 만들었습니다.”
물론 실제로 이런 대화가 오간 건 아닙니다. 하지만 구조는 정확히 이겁니다.
AI 비서가 이메일을 읽고, 캘린더를 관리하고, 슬랙 메시지를 보내는 순간 — 그 AI가 hallucinate하거나 해킹당하면 누구 책임입니까? Google이 만들었으면 Google, Microsoft가 만들었으면 Microsoft. 수십억 달러짜리 소송이 기다립니다.
Steinberger가 한 건 기술의 혁신이 아닙니다. 책임 구조의 혁신입니다.
오픈소스 라이선스 한 줄 — “이 소프트웨어는 있는 그대로 제공되며, 어떠한 보증도 하지 않습니다.” 이 한 줄이 대기업이 감당하지 않으려 했던 모든 책임을 사용자에게 넘겼습니다. 기술적으로 새로운 코드는 0줄. 책임을 오픈소스화한 것 — 이게 진짜 혁신이었습니다.
물론, OpenClaw의 진짜 공헌도 있습니다. 바로 인터페이스의 혁신입니다. AI를 “채팅창에 질문하는 것”에서 “내 디바이스를 직접 움직이는 것”으로 바꿔놓은 겁니다. 이메일을 보내줘, 캘린더 잡아줘, 슬랙 확인해줘 — 이 경험이 중국에서 비개발자 수백만 명이 줄 서는 이유입니다. 사람들이 원하는 건 AI가 아니라 비서입니다. OpenClaw는 그 비서의 인터페이스를 처음으로 대중화했습니다.
문제는, 그 비서가 환각증세를 보이고, 또 당신의 집의 문을 잠그는 걸 곧잘 잊어버린다는 점입니다.
2. 220,000개의 열린 문
쉽게 말하면 이렇습니다. OpenClaw를 설치하면 인터넷에 문이 하나 열립니다. 그 문을 통해 AI 비서가 이메일, 캘린더, 슬랙에 접근합니다. 문제는, 그 문에 자물쇠가 제대로 안 달려 있다는 겁니다.
Cisco Talos가 OpenClaw를 “혁신적”이라고 하면서 동시에 “보안 관점에서 악몽”이라고 불렀습니다. 전 세계 82개국에서 220,000개 이상의 OpenClaw가 인터넷에 문을 열어놓은 채 돌아가고 있습니다. 줄어든 게 아니라 계속 늘고 있습니다.
출시 3주 만에 보안 위기가 터졌습니다. 해커가 원격으로 남의 컴퓨터에서 코드를 실행할 수 있는 구멍, 앱스토어(ClawHub)에 악성 스킬 대량 유입, 구조적 설계 결함이 동시에 드러났습니다. 두 달간 심각한 보안 구멍이 12개 이상 추가로 발견됐고, 한 번의 긴급 패치로 40개 이상을 수정했습니다. 구멍이 막히는 속도보다 발견되는 속도가 빠릅니다.
ClawHub 스킬 마켓은 더 심각합니다. 보안 감사 결과, 등록된 스킬의 약 3분의 1이 보안 결함을 갖고 있었고, ‘ClawHavoc’이라는 조직이 1,184개의 악성 스킬을 올려놨습니다. 이 스킬들이 하는 일은 — 거래소 비밀번호, 암호화폐 지갑 키, 브라우저에 저장된 비밀번호를 빼가는 겁니다. npm에서도 @openclaw-ai/openclawai라는 가짜 패키지가 발견됐습니다. 설치하면 브라우저 데이터, 암호화폐 지갑, SSH 키, 심지어 iMessage 기록까지 빼가고 원격 제어 백도어를 심습니다.
가장 충격적인 건 ‘ClawJacked’입니다. 악성 웹사이트를 방문하기만 하면, 해커가 당신의 OpenClaw에 접속할 수 있었습니다. 비밀번호를 초당 수백 번 자동으로 대입하는데, 실패 기록도 안 남고 차단도 안 됐습니다. 뚫리면 AI 비서에 연결된 모든 것 — 이메일, 캘린더, 앱 기록까지 전부 노출. 패치는 24시간 만에 나왔지만, 그 24시간 동안 누가 이미 들어와 있었는지는 아무도 모릅니다.
만든 사람 Steinberger 본인이 인정했습니다 — “사용자들은 자기가 읽지 않은 코드를 배포하고 있다.” 그리고 그게 바로 OpenClaw의 디자인입니다. 버그가 아닙니다.
3. 중국이 판을 키우면 생기는 일
여기서 중국 얘기로 돌아갑니다.
원래 오픈소스 프로젝트의 유저 대부분은 개발자였습니다. 하지만 이제는 다릅니다. ChatGPT나 Claude 같은 AI가 설치와 셋업을 놀랍도록 쉽게 만들어주면서, OpenClaw도 비개발자 유저가 이미 엄청나게 늘었습니다. 한국과 미국에서는 초기 하이프가 식긴 했지만, 아직도 사용하는 사람이 굉장히 많습니다. 그중에 비개발자 비율도 높은 편이구요. 더군다나 개발자들도 요즘 코드를 전부다 꼼꼼히 보지는 않습니다.
해커 입장에서 보면 이렇습니다. 취약점을 하나 뚫으면 패치가 나옵니다. 또 하나 뚫으면 또 패치가 나옵니다. 시장이 경계하게 되고, 보안이 강화됩니다. 합리적인 전략은 — 하나하나 뚫는 게 아니라, 판이 충분히 커질 때까지 기다렸다가 한꺼번에 해킹하는 것입니다. 일반 사용자가 대량으로 들어오고, CRM과 이메일과 고객 데이터가 연결된 고가치 인스턴스가 충분히 쌓였을 때, 한 번에 전부 뺏어먹는 겁니다.
중국이 지금 정확히 그 판을 키우고 있습니다.
텐센트가 위챗·QQ에 통합한다는 건 — 비개발자 수억 명이 한 번에 추가로 들어온다는 뜻입니다. 이 사람들은 인증 설정을 하지 않습니다. 스킬 코드를 읽지 않습니다. 위챗에서 버튼 하나 누르면 OpenClaw가 이메일과 캘린더에 연결됩니다. 그리고 중국의 결제 생태계(위챗페이, 알리페이)까지 연결될 가능성은 — 시간 문제입니다.
해커의 ROI가 성립하기 시작합니다. 동시에 중국뿐만 아니라 전세계의 OpenClaw가 타겟이 됩니다.
한국과 미국에서는 열기가 식었다고 하지만, 사용자가 사라진 건 아닙니다. 중국에서는 다른 차원입니다. 정부 보조금, 빅테크 원클릭 온보딩, 주민 무료 설치 — 이건 개발자 도구가 아니라 국민 도구가 되는 과정입니다. 그리고 그 과정에서 보안 인식의 마지노선이 완전히 무너집니다.
CNCERT가 오늘 두 번째 경고를 한 이유가 이겁니다. 한 번도 아니고 두 번. 하지만 보조금은 계속 나옵니다.
4. 가드레일은 존재할 수 없습니다
“보안이 문제면 보안을 강화하면 되잖아.”
가장 자연스러운 반응이고, 가장 위험한 착각입니다. 가드레일을 달면 된다는 게 아닙니다. 가드레일이 근본적으로 존재할 수 없는 구조라는 게 문제입니다.
OpenClaw의 디자인 자체가 그렇습니다. 에이전트에게 이메일을 읽고, 파일을 수정하고, 메시지를 보내는 권한을 주는 순간 — 그 에이전트가 환각하거나 잘못된 판단을 할 가능성은 구조적으로 제거할 수 없습니다. 샌드박스를 세우면 “에이전트가 벽 밖으로 나가는 것”은 막을 수 있습니다. 하지만 벽 안에서 일어나는 판단 오류는 별개의 문제입니다. AI가 결제 과정에서 잘못된 금액을 보내는 걸, 이메일 초안에 기밀 정보를 엉뚱한 사람에게 보내는 걸, 샌드박스가 막을 수 있습니까?
사실 이건 이미 일어난 일들입니다. 한 개발자는 AI 에이전트에게 인프라 작업을 맡겼다가, 에이전트가 프로덕션 데이터베이스 전체를 삭제했습니다. 2.5년치 수강 기록과 과제 데이터가 한 순간에 날아갔습니다. 한 VC 창업자는 AI에게 “아내 바탕화면의 임시 파일 정리해줘”라고 했는데, AI가 경로를 잘못 잡아서 15년치 가족 사진 27,000장을 삭제했습니다. 휴지통도 우회해서. 이건 해킹이 아닙니다. AI가 선의로 한 일입니다.
Zenity Labs가 이걸 실제로 증명했습니다. 소프트웨어 버그를 하나도 이용하지 않고, prompt injection만으로 OpenClaw에 영구 백도어를 심었습니다. OpenClaw 공식 코드에는 ‘soul-evil’이라는 내장 훅이 있었습니다. 활성화하면 AI의 시스템 프롬프트를 통째로 교체하는 기능. prompt injection으로 켤 수 있었습니다. 만든 사람들이 직접 백도어의 재료를 심어놓은 셈. v2026.2.12에서야 제거됐습니다.
가드레일을 만드는건 가능합니다. 하지만 가드레일이 환각을 막아내는 건 근본적으로 불가능합니다.
그래서 기업들이 움직이기 시작했습니다. Microsoft가 2026년 2월 공식 시큐리티 블로그에서 직접 경고했습니다 — “OpenClaw는 신뢰할 수 없는 코드 실행으로 취급해야 하며, 일반 업무용 PC에서 돌리면 안 된다.” 하지만 Microsoft만이 아닙니다. Apple은 직원들의 외부 AI 에이전트 도구 사용을 금지했고, Samsung은 2023년 엔지니어가 소스코드를 AI에 업로드한 사건 이후 사내 기기에서 생성형 AI 도구를 금지했습니다. JPMorgan Chase, Goldman Sachs, Wells Fargo, Deutsche Bank 등 주요 금융기관들이 줄줄이 제한 정책을 내놨습니다. Meta조차 사내에서 OpenClaw 사용을 금지했습니다. 전체 기업의 약 27%가 생성형 AI 도구를 금지한 상태입니다.
5. 인터페이스의 혁신 vs 인프라의 부재
솔직히 말씀드리면 OpenClaw가 보여준 미래 — AI가 이메일을 보내고, 캘린더를 잡고, 결제를 처리하는 미래는 무조건 옵니다. 절대 막을 수 없습니다.
여기서 생각해야 할 부분은 “올 것인가”가 아니라 “어떤 인프라 위에서 올 것인가”입니다.
지금은 인터페이스가 인프라를 앞질렀습니다. 그 갭이 바로 지금의 시한폭탄인 거구요.
따라서 필요한 건 패치가 아니라 근본적인 대응책입니다.
첫째, 데이터 격리. 에이전트가 접근할 수 있는 데이터의 범위를 구조적으로 제한해야 합니다. “이메일 전체를 읽어”가 아니라 “이 스레드의 이 메시지만 읽어.” 샌드박스는 이걸 하려는 시도이지만, 아직 에이전트 레벨의 데이터 범위 제한은 제대로 된 표준이 없습니다.
둘째, 판단의 검증. 환각이 결제, 삭제, 전송 같은 되돌릴 수 없는 행동으로 이어지기 전에 차단하는 레이어. “이 메일을 보내도 될까요?” — 이 한 줄의 확인이 아니라, 에이전트의 판단 자체를 검증하는 구조적 메커니즘. 이건 아직 아무도 풀지 못했습니다. 아마도 이번 세대 인공지능에서는 풀기 힘든 문제일 것으로 보여집니다.
셋째, 권한의 시간 제한. 에이전트에게 준 접근 권한이 영구적이 아니라 세션이 끝나면 소멸하는 구조. 지금 OpenClaw는 한 번 연결하면 영구 접근입니다. 비밀번호가 평문으로 저장되고, 접근 토큰이 만료되지 않습니다. 해커가 한 번 들어오면 영원히 들어올 수 있다는 뜻입니다.
빅테크도 이 갭을 인식하고 이 부분을 선점하려는 움직임이 또렷합니다. 오늘 Meta가 OpenClaw 에이전트들의 소셜 네트워크인 Moltbook을 인수했고, OpenAI는 OpenClaw 창시자 Steinberger를 고용했습니다. 에이전트 인프라가 전략적으로 중요하다는 판단인 동시에, 빅테크가 합류하면서 ‘조금 더 안전한 방법이 있지 않을까’라는 방향으로 가지 않을까 싶습니다. 개인적으로 주목하는 건 Claude의 접근입니다. OpenClaw가 “모든 권한을 줄게, 알아서 해”라면, Claude는 디바이스에 직접 연결하되 실행 환경과 권한을 분리하는 설계를 택했습니다. 굳이 OpenClaw가 없어도 디바이스와 바로 연결하는 방식입니다.
이게 맞는 방향이라고 봅니다. 다만 이것도 아직 완벽하지 않습니다. 인프라의 근본적 변화는 이제 막 시작이 되려고 할수도 있을 것 같기도 합니다.
그래서 어쩌라고?
세 가지만 기억하면 됩니다.
첫째, 써라. 최신 기술을 체험하고 그 방향성을 파악하는 건 반드시 필요합니다. 테슬라의 FSD(Full Self-Driving)와 비슷합니다. 완벽하지 않다는 걸 알지만, 어디로 가고 있는지를 체험해야 미래가 보입니다. OpenClaw도 마찬가지입니다. AI가 디바이스를 직접 움직이는 경험 — 이건 반드시 해봐야 하고 비교적 안전한 Claude cowork정도로 계속해서 시험해보고 트렌드에 따라가는 것이 중요합니다.
둘째, 보안 문제와 불완전함이 여전하다는 걸 명심해라. 지금 이 글에서 보여드린 것처럼, 구조적으로 가드레일이 존재할 수 없는 디자인입니다. FSD가 아직도 여전히 운전자의 주의를 요구하는 것처럼, OpenClaw도 당신의 주의를 요구합니다. 차이가 있다면 — FSD는 사고가 나면 바로 압니다. OpenClaw는 뚫려도 모를 수 있다는게 조금 더 주의해야 하고 무서운 부분입니다.
셋째, OpenClaw와 나누는 모든 대화는 광장에서 하는 말이라는 걸 알고 써라. 이건 비유가 아닙니다. 2026년 2월, 미국 연방 판사 Jed Rakoff가 판결을 내렸습니다 — AI와의 대화에는 어떠한 법적 보호도 없다. 한 증권 사기 피의자가 Claude와 나눈 대화 31건을 FBI가 압수했고, 피의자는 변호사-의뢰인 특권을 주장했지만 법원은 기각했습니다. AI는 변호사가 아닙니다. AI와의 대화는 소환장 한 장이면 전부 공개됩니다.
이건 OpenClaw만의 문제가 아닙니다. 뉴욕타임스 대 OpenAI 소송에서 법원은 ChatGPT 대화 로그 2,000만 건의 제출을 명령했습니다. OpenAI가 “사용자 프라이버시”를 주장했지만 기각됐습니다. 터미널에서 대화 기록을 지운다고 사라지는 게 아닙니다. 데이터는 서버에 그대로 남아 있고, 법원이 요구하면 전부 나옵니다.
이메일과 문자 메시지는 소송이 걸리면 전부 공개됩니다. 보안이 유지된 건 하나도 없었습니다. AI와의 대화도 정확히 같은 구조입니다. 지금 당장이든 나중이든, 언제든 노출될 수 있습니다.
24시간 녹음 디바이스, 자동 트랜스크립션, 웨어러블이 하루 종일 대화를 기록하는 시대인 지금, 저는 이미 사적인 대화라는 개념 자체가 사라지고 있다고 생각합니다. 이메일은 이미 공개된 것이었고, 이제 AI와의 대화가 공개되고 있습니다. 그리고 결국 대면 대화마저 기록되고 공개될 겁니다. 이제 우리는 나의 모든 대화가 전 세계에 공개된다는 전제하에 모든 것을 작성하고 소통해야 하는 세상에 살고 있습니다.
OpenClaw는 이 흐름의 한 조각일 뿐입니다.
오늘도 읽어주셔서 감사합니다.
이안 드림
주간실리콘밸리 — 가장 주관적이고, 가장 편파적인 실리콘밸리 뉴스레터
놓치신 최신 뉴스레터들
본 뉴스레터의 모든 내용은 공개된 정보를 기반으로 한 개인적인 의견이며, 투자 조언이 아닙니다.
글들이 AI 로 쓴 티가 너무 납니다. GPT 말투.. ㅠ
프롬프트를 좀더 잘 깎아보세요.. 사람들이 점점 안읽게될듯...ㅠ
책임의 오픈소스화.. 오늘도 무릎을 딱 치고 갑니다