OpenClaw 보안 완벽 가이드: 2026년 AI 에이전트 강화

OpenClaw를 실행하는 것은 마치 누군가에게 디지털 집의 열쇠를 주는 것과 같습니다. 그 누군가는 시스템 수준의 접근 권한을 가진 AI 에이전트이고, 문을 두드리는 모든 사람이 우호적인 것은 아닙니다.

OpenClaw(이전에는 Moltbot, 그 이전에는 Clawdbot으로 알려짐)를 자체 호스팅하는 경우 보안 관련 논의가 점점 더 활발해지고 있음을 느끼셨을 겁니다. 그럴 만한 이유가 있습니다. 2026년 초에는 로컬호스트 인스턴스에서도 작동하는 원격 코드 실행 취약점을 포함한 여러 CVE가 보고되었습니다. 커뮤니티 토론에서는 OpenClaw 인스턴스가 노출될 가능성에 대한 우려가 제기되었고, 연구원들은 악성 스킬이 유포되고 있음을 확인했습니다.

하지만 여기서 중요한 점은 OpenClaw 자체가 본질적으로 위험한 도구는 아니라는 것입니다. 강력한 도구인 만큼, 적절한 안전장치가 필요하다는 것이죠.

실제 위협 모델

실제로 무엇으로부터 보호하는지에 대해 이야기해 봅시다. OpenClaw는 명령어를 실행하고, 파일을 읽고, 시스템과 상호 작용할 수 있는 자율적인 에이전트로 작동합니다. 이는 의도적인 설계이며, 바로 이러한 점 때문에 이 도구가 유용한 것입니다.

보안 위험은 세 가지 범주로 나뉩니다.

• 직접적인 타협: 공격자는 노출된 게이트웨이, 취약한 인증 또는 알려진 취약점을 통해 접근 권한을 얻습니다.
• 신속 주사: 에이전트가 처리하는 콘텐츠에 악성 명령어가 삽입되어 의도치 않은 동작을 실행하게 만듭니다.
• 공급망 공격: 악성 코드가 포함된 손상된 스킬, 플러그인 또는 확장 프로그램

2026년 2월 arXiv에 발표된 연구에 따르면, 사회적 환경에서 작동하는 AI 에이전트는 사회성 착각 및 다중 에이전트 상호 작용과 관련된 고유한 보안 문제에 직면합니다. OpenClaw의 상시 접속 특성은 이러한 우려를 더욱 증폭시킵니다.

커뮤니티 회원들의 피드백은 보안 연구원들이 말해왔던 내용을 뒷받침합니다. "신경 쓰지 않아도 되는 시스템에서 사용해야 합니다." 또는 "일반 계정과 완전히 분리된 계정에 접근할 수 있는 격리된 시스템에서 사용해야 합니다."“

배치 격리: 첫 번째 방어선

메인 컴퓨터에 OpenClaw를 설치하지 마세요. 절대로요.

한 레딧 사용자는 이렇게 단도직입적으로 말했습니다. "메인 컴퓨터에서 openClaw를 직접 실행하는 것은 다소 위험할 수 있습니다. 일회용 컴퓨터가 아니라면 피하는 것이 좋습니다."“

효과적인 격리 방법은 세 가지가 있습니다.

가상 머신 경로

가상 머신(VM)은 완벽한 격리 환경을 제공합니다. QEMU를 다운로드하거나 Windows Hyper-V(Windows 10/11 Pro에 내장)를 사용하세요. 최소한의 Linux 배포판을 설치하고 OpenClaw를 설정하면 보안 경계를 구축할 수 있습니다.

한 사용자는 자신의 Mac 설정에 대해 다음과 같이 설명했습니다. "저는 별도의 사용자 계정으로 실행하고, 개인 네트워크에서 특정 호스트에 대한 접근을 차단하는 규칙을 적용합니다." Ubuntu에서는 iptables 필터링을 사용하여 특정 포트만 OpenClaw 인스턴스에 허용합니다.

VPS 배포

DigitalOcean이나 Hetzner 같은 제공업체의 VPS를 사용하면 OpenClaw를 다른 사람이 소유한 하드웨어에 설치할 수 있습니다. 이를 localhost에 바인딩하고, 비밀번호 인증을 비활성화하고, UFW 방화벽을 구성한 다음, Tailscale이나 SSH 터널을 통해 접속하면 됩니다.

여러 커뮤니티 회원들이 클라우드 제공업체 배포가 안정적으로 작동한다고 보고했습니다. 개인 데이터와의 분리는 최소한의 복잡성을 감수할 만한 가치가 있습니다.

전용 하드웨어

OpenClaw 전용으로 오래된 노트북이나 Mac Mini를 사용하면 물리적 격리가 가능합니다. 여기에 안전한 원격 접속을 위한 Tailscale을 결합하면 주요 시스템에 접근할 수 없는 로컬 AI 비서를 구축할 수 있습니다.

OpenClaw 배포를 위한 세 가지 격리 접근 방식(보안 효율성 및 사용 사례별 순위)

도구 제한 및 샌드박싱

OpenClaw에는 에이전트가 사용할 수 있는 강력한 "스킬"이 포함되어 있습니다. 이러한 스킬은 기본적으로 에이전트가 활용할 수 있는 도구입니다. 일부는 무해하지만, 잘못된 사용자의 손에 들어가거나 악의적인 의도에 의해 사용될 경우 위험한 도구가 될 수 있습니다.

노드 실행 도구(system.run)를 사용하면 OpenClaw가 임의의 시스템 명령을 실행할 수 있습니다. 파일 접근 도구는 민감한 데이터를 읽을 수 있습니다. 브라우저 제어 기능은 인증된 세션과 상호 작용할 수 있습니다. 네트워크 도구는 데이터를 유출할 수 있습니다.

설정해야 할 사항은 다음과 같습니다.

위험한 기본 도구를 비활성화합니다

OpenClaw 설정에서 다음을 명시적으로 비활성화하거나 제한하십시오.

• 셸 실행(system.run, exec, shell)
• 파일 접근 제한 없음 (특정 디렉터리로 제한)
• 특정 사용 사례가 없는 네트워크 도구
• 인증된 환경에서의 브라우저 자동화

AI 에이전트 배포 시 보안 모범 사례에서는 차단 목록 대신 허용 목록 기반의 도구 접근 제어를 권장합니다. 특정 사용 사례에 필요한 도구만 활성화하십시오.

도구 수준 권한 구성

OpenClaw는 명령 권한 부여 모델을 지원합니다. 이는 AI 에이전트를 위한 sudo와 같은 개념입니다. 중요한 작업은 명시적인 승인을 받거나 아예 비활성화해야 합니다.

커뮤니티 피드백에 따르면 작업 공간 격리가 효과적인 것으로 나타났습니다. 한 사용자가 ClamAV를 실행하여 에이전트가 접근하는 모든 항목을 검사함으로써 이중 보호 계층을 구축할 수 있습니다.

인증 및 접근 제어

커뮤니티 토론에 따르면 많은 OpenClaw 인스턴스가 적절한 인증 시스템을 갖추고 있지 않습니다. 여러분은 그런 인스턴스 중 하나가 되지 마십시오.

게이트웨이 인증

웹 인터페이스를 통해 OpenClaw를 노출하는 경우, 반드시 인증 절차를 거쳐야 합니다.

옵션은 다음과 같습니다.

• HTTP 기본 인증을 사용하는 리버스 프록시(nginx, Caddy)
• SSO 통합을 위한 OAuth2 프록시
• 메시 VPN 접속을 위한 테일스케일 인증

인증 없이 OpenClaw 제어 UI를 HTTP를 통해 노출하지 마십시오. 보안 지침에서는 인증을 비활성화하는 안전하지 않은 구성을 명시적으로 경고합니다.

세션 격리

여러 사용자가 OpenClaw 인스턴스를 상호 작용하는 경우 세션 격리를 활성화하십시오. 세션 격리를 활성화하지 않으면 한 사용자의 프롬프트가 다른 사용자의 컨텍스트, 자격 증명 및 데이터에 접근할 수 있습니다.

DM 액세스 모델은 페어링, 허용 목록, 개방형 또는 비활성화 모드를 지원합니다. 다중 사용자 배포의 경우 페어링 또는 허용 목록 모드를 사용하십시오. 인터넷에 연결된 인스턴스에서는 개방형 모드를 절대 사용하지 마십시오.

신속 주입 문제

여기서부터 상황이 복잡해집니다. 프롬프트 주입 공격은 에이전트가 처리하는 콘텐츠(이메일, 웹 페이지, 파일, 메시지)에 악성 명령어를 삽입합니다.

솔직히 말해서 완벽한 방어는 없습니다. 하지만 상대방이 공격하기 어렵게 만들 수는 있죠.

입력 유효성 검사

보안 테스트 결과 입력 유효성 검사를 통해 기본적인 인젝션 공격 시도를 차단할 수 있는 것으로 나타났습니다. 완벽한 차단 방법은 아니지만, 보안 수준을 한층 높여줍니다.

언어 모델에 도달하기 전에 의심스러운 패턴을 제거하거나 이스케이프 처리하는 콘텐츠 필터를 구성하십시오. 속도 제한은 무차별 대입 공격 시도를 줄이는 데에도 도움이 됩니다.

권한 최소화

에이전트의 기능이 제한적일수록 인젝션 공격으로 인한 피해가 줄어듭니다. 이는 도구 제한과 관련이 있는데, 에이전트가 셸 명령을 실행할 수 없다면 해당 기능을 노린 인젝션 공격은 실패합니다.

한 커뮤니티 회원은 "정보 수집보다 접근 제어가 우선"이라고 주장했습니다. 먼저 기능을 제한한 다음, 그 범위 내에서 정보 수집 기능을 추가해야 한다는 것입니다.

개인 모델 구성

불편한 진실이지만, OpenClaw에서 Groq, GPT, Claude 또는 Gemini API를 사용하는 경우 데이터를 로컬에 보관하지 않는 것입니다. 해당 API 제공업체는 상담원이 보내는 모든 메시지를 볼 수 있습니다.

진정한 개인정보 보호를 위해서는 로컬 모델을 Ollama를 통해 실행하세요. 속도는 느리고 기능도 다소 떨어지지만, 실제로 개인정보를 안전하게 보호할 수 있습니다.

보안이 강화된 구성은 다음과 같은 요소들을 결합합니다:

• Ollama를 로컬 환경 또는 VPS에서 실행하세요.
• Llama 2, Mistral 또는 CodeLlama와 같은 모델
• 외부 API 호출 없음

커뮤니티 사용자들은 모델 규모가 커질수록 성능 저하가 발생한다고 지적했지만, 많은 경우 로컬 7B 또는 13B 모델로도 데이터를 외부로 전송하지 않고 작업을 원활하게 처리할 수 있습니다.

감사 로깅 및 모니터링

보이지 않는 것은 보호할 수 없습니다. 포괄적인 로깅을 활성화하세요.

OpenClaw는 기본적으로 세션 로그를 디스크에 저장합니다. 세션은 ~/.openclaw/agents/ 디렉터리에 JSON 및 JSONL 파일로 저장됩니다. 기본적으로 /sessions/ 경로로 저장됩니다.

배포를 다음과 같이 구성하십시오.

• 모든 도구 실행 내역을 타임스탬프와 함께 기록합니다.
• 명령 실행 시도 횟수(성공 및 실패)를 기록합니다.
• 파일 접근 패턴을 추적합니다.
• 네트워크 연결을 모니터링합니다.

보안 플레이북에 구조화된 로깅 및 원격 측정 구성 요소를 포함하면 포괄적인 감사 추적을 제공합니다. OpenClaw 인스턴스가 손상되더라도 감사 추적이 손상되지 않도록 로그를 별도의 시스템으로 라우팅하십시오.

위험 허용 수준 및 사용 사례에 따른 OpenClaw 배포에 권장되는 보안 등급

60초 만에 강화된 기준선

이미 OpenClaw를 실행 중이고 지금 당장 보안을 강화해야 한다면, 최소한 다음 사항을 충족해야 합니다.

1. OpenClaw 서비스를 중지하세요
2. 설정 파일을 수정하여 system.run 및 셸 도구를 비활성화하십시오.
3. 인증 기능을 갖춘 리버스 프록시를 설정합니다(nginx + 기본 인증).
4. localhost에만 바인딩된 OpenClaw를 다시 시작합니다.
5. 인증된 프록시를 통한 접근

완벽하진 않지만 가장 명백한 취약점을 해결해 줍니다. 그 위에 추가적인 보안 장치를 더할 수 있습니다.

CVE 최신 정보 확인하기

CISA는 2026년 1월 26일과 2월 2일 주간의 취약점 요약 보고서를 발표했습니다. 

보안 취약점에 대한 최신 정보를 유지하려면 다음이 필요합니다.

• GitHub에서 OpenClaw 보안 권고를 구독하세요
• CISA 취약점 데이터베이스 모니터링
• 커뮤니티 보안 논의 참여하기
• 정기적인 업데이트를 실행합니다 (먼저 스테이징 환경에서 테스트).

문서화된 취약점은 발견된 보안 문제를 나타냅니다. 업데이트는 선택 사항이 아닌 필수적인 것으로 간주하십시오.

실제로 공격을 막는 것은 무엇일까요?

보안 테스트 결과, 여러 계층으로 구성된 제어 방식이 단일 메커니즘보다 효과적이라는 것이 입증되었습니다. 속도 제한은 무차별 대입 공격 시도를 줄일 수 있고, 입력 유효성 검사는 기본적인 인젝션 공격을 차단할 수 있습니다. 하지만 단 하나의 제어 방식으로는 모든 문제를 해결할 수 없습니다.

효과적인 접근 방식은 여러 계층의 제어 장치를 사용하는 것입니다. 공격자는 격리, 도구 제한, 인증 및 입력 유효성 검사를 모두 우회해야 합니다. 각 계층이 난이도를 높입니다.

한 보안 원칙은 "완전히 확률적으로 프로그래밍된 환경에서는 공격을 절대 막을 수 없다"고 말합니다. 아마도 맞는 말일 겁니다. 하지만 공격자가 더 쉬운 목표로 눈을 돌리도록 공격 비용을 충분히 높일 수는 있습니다.

자격 증명 저장 및 비밀 관리

OpenClaw는 사용자를 대신하여 서비스와 상호 작용하기 위해 자격 증명이 필요합니다. 설정 파일에 자격 증명을 하드코딩하지 마십시오.

환경 변수 또는 적절한 비밀 관리 시스템을 사용하십시오. OpenClaw 인스턴스가 손상될 경우 AWS 키, 데이터베이스 암호 및 API 토큰이 유출되는 것을 원하지 않을 것입니다.

OpenClaw에서 사용할 계정은 최소한의 권한만 부여하여 별도로 생성하세요. 담당자가 이메일을 보내야 하는 경우, 이메일 전용 계정을 만드세요. 개인 Gmail 계정 정보는 절대 제공하지 마세요.

Docker 고려 사항

Docker에서 OpenClaw를 실행하면 컨테이너 수준의 보안 경계가 추가됩니다. 하지만 Docker만으로 보호된다고 생각해서는 안 됩니다.

Docker 배포를 다음과 같이 구성하십시오.

• 컨테이너 내부의 루트가 아닌 사용자
• 가능한 경우 읽기 전용 파일 시스템
• 삭제된 기능(-cap-drop=ALL, 필요한 기능만 다시 추가)
• 네트워크 격리(호스트 모드가 아닌 사용자 지정 브리지 네트워크)

GitHub의 보안 플레이북에는 Docker 관련 보안 강화 구성이 포함되어 있습니다. 이를 활용하세요.

지역사회 안전 자료

OpenClaw 생태계에는 보안에 초점을 맞춘 여러 프로젝트가 포함되어 있습니다.

• 오픈클로 보안 플레이북: 실제 운영 환경에 적용 가능한 보안 구성
• 오픈클로 감지: 위협 탐지 도구
• 오픈클로-쉴드: 입력 유효성 검사 및 필터링
• 클로가드: 런타임 모니터링 및 보호

이는 보안 문제를 해결하기 위한 커뮤니티 차원의 노력입니다. 여러분의 배포에 이러한 노력을 고려해 보세요.

FlyPix AI를 이용한 자동화된 시각 모니터링

OpenClaw와 같은 로컬 자율 에이전트를 안전하게 보호하는 데에는 상당한 기술적 부담이 따르지만, 저희 팀은 중요한 자동화 작업은 강력하면서도 본질적으로 샌드박스 환경에서 실행되어야 한다고 생각합니다. 위성 및 드론 이미지를 통해 물리적 세계를 분석하는 데 있어, 저희는 다음과 같은 기술을 개발했습니다. 플라이픽스 AI 이 솔루션은 로컬 시스템의 무결성을 손상시키지 않고 객체 감지 및 변경 모니터링을 자동화하는 특수 에이전트 역할을 합니다. 지리 공간 분석의 "지능"을 안전한 클라우드 기반 플랫폼으로 이전함으로써 수천 개의 객체를 단 몇 초 만에 감지할 수 있습니다. 이는 수동 주석 작업에 소요되는 시간을 최대 99.7%까지 절약하는 동시에 기본 인프라를 처리 부하로부터 완전히 격리하는 효과를 가져옵니다.

저희 플랫폼은 건설, 농업, 정부 분야 전문가들이 자체 호스팅 AI 스크립트와 관련된 위험 없이 실질적인 인사이트를 얻을 수 있도록 지원하는 중요한 안전장치 역할을 합니다. 인프라 변화를 추적하거나 광활한 지역에서 이상 징후를 식별하는 등 어떤 작업을 하든, 저희의 노코드 인터페이스를 통해 맞춤형 모델을 학습시키고 직관적인 대시보드로 결과를 시각화할 수 있습니다. 로컬 에이전트의 취약점과 같은 "치명적인 세 가지 요소"를 걱정하는 대신, 저희가 제공하는 사전 구축된 도구를 활용하여 단 몇 번의 클릭만으로 정확하고 실행 가능한 데이터를 얻을 수 있습니다.

앞으로 나아가다

OpenClaw는 현실 세계에 접근할 수 있는 자율 AI 에이전트라는 강력한 기능을 나타냅니다. 그러한 힘에는 존중이 필요합니다.

보안은 한 번 체크리스트를 완료하고 끝내는 것이 아닙니다. 지속적인 노력이 필요한 실천입니다. 새로운 취약점이 나타나고 공격 기법도 진화할 것이므로, 여러분의 보안 태세도 그에 맞춰 변화해야 합니다.

기본부터 시작하세요. 배포 환경을 격리하고, 위험한 도구 사용을 제한하고, 인증을 구현하고, 로깅을 활성화하십시오. 그런 다음 특정 위험 프로필에 따라 단계적으로 구축해 나가세요.

커뮤니티에서는 보안 도구 및 문서 개발에 적극적으로 참여하고 있습니다. 함께 참여하여 무엇이 효과적인지(그리고 무엇이 효과적이지 않은지) 공유해 주세요. 우리 모두 함께 이 문제를 해결해 나가고 있습니다.

그리고 명심하세요: 어떤 것이 지나치게 관대하게 느껴진다면, 아마도 실제로 그럴 가능성이 높습니다. 직감을 믿으세요. 무엇이든 할 수 있는 유연성에는 피해를 줄 수 있는 유연성도 포함됩니다. 그에 맞게 설계하세요.

자주 묻는 질문