오픈클로 확산이 키운 AI 에이전트 보안 위협
오픈클로(OpenClaw) 확산을 계기로 인공지능(AI) 에이전트의 보안 위협이 현실화되고 있다. 오픈클로는 챗봇 형태의 AI를 넘어 사용자를 대신해 실제 작업을 수행하는 구조라, 오류가 단순 오답에 그치지 않고 정보 유출이나 의도하지 않은 작업 실행으로 번질 수 있다. 실제 사고와 사용 제한 조치가 잇따르면서 최근 기업들은 AI 에이전트의 권한과 통제 방식에 주목하고 있다.
마음대로 메일 삭제하고, 민감 데이터에도 접근
메타에서는 지난 2월 오픈클로가 연구자의 이메일을 무단으로 삭제하는 일이 벌어졌다. 미국 IT 전문 매체 테크크런치에 따르면, 메타 AI 보안 연구자 서머 유(Summer Yue)는 오픈클로에 받은편지함 정리를 맡겼다 다수 이메일이 삭제되는 일을 겪었다. 삭제 시 의사를 먼저 물어보라고 했지만, 오픈클로는 지시를 따르지 않고 휴대전화로 보낸 중단 지시도 무시했다. 그는 직접 PC로 가서 작업을 멈춰야 했다고 밝혔다.
최근에는 또 다른 사고도 발생했다. 미국 IT 전문매체 더버지는 3월 19일, 메타의 오픈클로와 성격이 비슷한 사내 AI 에이전트가 기술 질문에 대해 부정확한 답을 공개로 올렸고, 다른 직원이 그 조언을 실행하면서 약 2시간 동안 민감한 회사 정보와 사용자 관련 데이터에 대한 비인가 접근이 가능해졌다고 보도했다. 메타 대변인 트레이시 클레이턴은 이 에이전트를 “오픈클로와 성격이 비슷한 내부 AI 에이전트”라고 설명했다. 메타는 실제 사용자 데이터 오용은 없었다고 밝혔다.
주변 생태계까지 위협할 수 있어
오픈클로 열풍은 주변 생태계의 허점도 드러내고 있다. 지난달 AI 에이전트의 SNS로 알려진 몰트북(Moltbook)에서는 비공개 메시지, 이용자 이메일 주소, 100만개가 넘는 자격정보가 노출되는 일이 발생했다. 당시 보안 전문가들은 몰트북에서 활동하는 AI 에이전트에 대한 접근 통제가 허술했다고 평가했다.
터미널에서 코드 작업을 수행하는 AI 코딩 에이전트 ‘클라인(Cline) CLI’에서는 공급망 문제가 발생했다. 클라인 운영사가 공개한 사후 보고서에 따르면, 공격자는 2월 17일 탈취한 npm 발행 토큰으로 클라인2.3.0 버전을 무단 배포했고, 이 패키지에는 오픈클로를 전역에 설치하는 스크립트가 추가돼 있었다. 오픈클로 자체는 악성코드가 아니었지만, AI 개발 도구의 배포 경로가 다른 에이전트 설치에 악용될 수 있다는 점이 확인됐다.
윤인수 카이스트 전기및전자공학부 교수는 “오픈클로가 특별히 다른 위험을 만든다기보다, (오픈클로의 경우) 연결할 수 있는 기능이 많아 취약점도 많아질 수밖에 없는 구조”라며 “지금으로선 AI 에이전트를 완전히 안전하게 만드는 방법은 사실상 없다”고 말했다. 그는 “자유도를 주면 줄수록 보안 위협은 커진다”고 덧붙였다.

중국은 사용 금지 공포, 국내 기업도 중단 조치
사용 제한 조치도 이어지고 있다. 중국은 2월부터 오픈클로 경고령을 내놨다. 중국 공업정보화부는 오픈클로가 정보 유출과 시스템 통제권 상실 같은 문제를 일으킬 수 있다고 지적했다. 3월에는 일부 정부기관과 국유기업 직원에게 업무용 기기에서 오픈클로 사용을 자제하라는 통보를 냈다. 이후 중국 국가인터넷응급센터와 중국사이버보안협회는 오픈클로를 전용 장비나 가상 머신, 컨테이너 같은 격리 환경에 설치하라고 권고했다. 개인정보를 오픈클로 환경에 저장하거나 처리하지 말라는 내용도 담겼다.
국내에서는 네이버, 카카오, 당근이 사내망과 업무용 기기에서 오픈클로 사용을 금지하거나 제한했다. 오픈클로가 기밀 업무 정보와 개인정보에 접근할 수 있고, 지시하지 않은 작업까지 실행할 수 있다는 우려 때문이다.
AI 보안 전문 스타트업 에임인텔리전스 유상윤 대표는 “오픈클로 같은 AI 에이전트는 권한 자체가 사용자와 동일한 수준으로 주어져야 제대로 사용할 수 있는 구조”라며 “메일 발송, 시스템 접속, 메시지 전송이 자유롭게 가능한 만큼 기업들이 적극적으로 활용하기를 꺼릴 수밖에 없다”고 말했다. 그는 “자료 검색처럼 읽기 중심 작업은 상대적으로 부담이 덜하지만, 그 외 영역은 더 조심해야 한다”고 덧붙였다.
현재 가장 현실적인 대응은 ‘더 촘촘한 통제’
전문가들은 AI 에이전트가 가져온 보안 위협에 대응하기 위해서는 권한과 기능을 무작정 확대하는 게 아니라, 통제 설계부터 제대로 해야 한다고 조언한다. 윤인수 교수는 “내 AI가 무엇을 할 수 있는지 권한과 기능을 잘 정의해야 한다”며 “잘못 동작했을 때 어떤 것이 빠져나갈 수 있고 어떤 것이 망가질 수 있는지를 먼저 따져야 한다”고 설명했다. 이어 “기본적으로 이 AI는 신뢰할 수 없다는 가정 아래 시스템을 만들어야 한다”고 했다.
여기서 중요한 쟁점은 ‘가시성‘이다. 허가받지 않은 오픈클로가 업무용 PC에 설치되면 이메일, 업무 도구, 개발 도구, 파일 시스템과 연결되는데도 기존 보안 체계가 그 행동을 제대로 식별하지 못할 수 있다. 이른바 ‘섀도우 AI(Shadow AI)’ 문제가 생긴다. 오픈클로가 사용자의 권한을 넓게 이어받는 구조라는 점도 기업이 민감하게 보는 대목이다. 일반 소프트웨어가 설계된 범위 안에서만 피해를 내는 것과 달리, 에이전트는 사용자를 대신해 여러 시스템을 넘나들도록 설계돼 있기 때문이다.
마이크로소프트 보안팀은 2월 자사 블로그에서 오픈클로를 “지속적인 자격증명이 필요한 신뢰할 수 없는 코드 실행으로 다뤄야 한다”고 지적하기도 했다. 또 “기업이 오픈클로를 평가하거나 시험할 경우 전용 가상머신(VM)이나 물리적으로 분리된 별도 시스템처럼 완전히 격리된 환경에서 배포해야 한다”고 권고했다.
유상윤 대표는 “정말 닿으면 안 되는 정보는 처음부터 연결하지 말고, 열람과 활용 단계마다 사용자 승인 절차를 넣어야 한다”며 “AI 가드레일이나 필터로 한 번 더 탐지하고 차단하는 기술적 통제 구조도 필요하다”고 말했다.
개인정보 보호 측면에서도 통제가 중요하다. 염흥열 순천향대 정보보호학과 명예교수는 “기존의 생성형 AI가 주로 이용자 입력 텍스트를 바탕으로 결과를 내놓는 반면, 오픈클로 같은 AI 에이전트는 프롬프트뿐 아니라 파일 업로드, 계정 정보 이용 등 다양한 경로로 개인정보를 수집할 수 있다”고 설명했다.
그는 또 “AI 에이전트 자체는 법적 책임의 대상이 아니기 때문에, 이를 업무에 도입한 기업이나 공공기관 같은 개인정보처리자가 책임을 지는 제도가 필요하다”고 말했다. 특히 “(AI 에이전트 사용 시) 적법하고 분명한 목적, 최소 수집, 최소권한, 제3자 제공 필요성 점검을 우선 기준으로 삼아야 한다”고 강조했다.
엔비디아, 통제 강화한 ‘네모클로’ 공개
여러 우려 속에서 엔비디아는 지난 16일 네모클로(NemoClaw)를 공개했다. 네모클로는 오픈클로를 기업 환경에서 더 안전하게 통제할 수 있는 방식으로 사용하기 위한 스택에 가깝다. 엔비디아는 네모클로에 대해 “오픈셸(OpenShell)이 격리된 샌드박스를 제공하고, 정책 기반 보안과 네트워크·프라이버시 가드레일을 인프라 계층에서 강제해 개인정보를 더 안전하게 보호할 수 있다”고 설명했다.
유상윤 대표는 “네모클로에는 샌드박싱, 가드레일, 휴먼 인 더 루프 같은 장치가 들어가 있어 기업이 쓰기에는 훨씬 안전한 구조”라고 말했다. 이어 “오픈클로 같은 AI 에이전트가 확산될수록, 기업들은 더 촘촘한 통제 장치를 요구하게 될 것으로 보인다”고 덧붙였다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
[무료 웨비나] IdentityTV 2026: 아이덴티티 보안의 미래를 지금 확인하세요.
일시 : 2026년 7월 9일 (목) 14:00 ~ 15:40


