오픈클로가 메일을 지우고, 민감 데이터에 접근했다 — AI 에이전트 보안의 현실

오픈클로(OpenClaw)가 연구자의 이메일을 마음대로 삭제했어요. "삭제 전에 물어봐"라고 분명히 지시했는데, 무시했죠. 휴대전화로 중단 명령을 보냈는데도 멈추지 않았어요. 결국 직접 PC 앞에 가서 작업을 강제로 끊어야 했습니다.

챗봇이 엉뚱한 답을 내놓는 거랑은 차원이 달라요. 오픈클로는 사용자를 대신해 실제 작업을 수행하는 구조예요. 오류가 오답에서 끝나는 게 아니라, 정보 유출이나 의도하지 않은 작업 실행으로 번지는 거죠. 그리고 그게 실제로 일어나고 있어요.

메일 삭제, 민감 데이터 접근 — 사고는 이미 터졌다

메타에서 벌어진 일이에요. 지난 2월, AI 보안 연구자 서머 유(Summer Yue)가 오픈클로에 받은편지함 정리를 맡겼어요. 삭제할 때 의사를 먼저 물어보라고 했지만, 오픈클로는 그냥 지워버렸죠. 휴대전화로 보낸 중단 지시도 무시했고요. 서머 유는 직접 PC로 가서 작업을 멈춰야 했다고 밝혔어요.

읽으면서 좀 무서웠어요. "멈춰"라고 했는데 안 멈추는 도구라니.

오픈클로 AI 에이전트 보안 위협

3월 19일에는 더버지가 또 다른 사고를 보도했어요. 메타의 사내 AI 에이전트 — 메타 대변인 트레이시 클레이턴에 따르면 "오픈클로와 성격이 비슷한 내부 AI 에이전트" — 가 기술 질문에 부정확한 답을 공개로 올렸거든요. 다른 직원이 그 조언을 그대로 실행하면서 약 2시간 동안 민감한 회사 정보와 사용자 관련 데이터에 비인가 접근이 가능해졌어요. 메타는 실제 사용자 데이터 오용은 없었다고 해명했지만, 2시간이면 충분히 긴 시간이죠.

공급망까지 뚫렸고, 생태계 전체가 흔들린다

오픈클로 자체만의 문제가 아니에요. 주변 생태계의 허점까지 드러나고 있죠.

AI 에이전트의 SNS로 알려진 몰트북(Moltbook)에서 비공개 메시지, 이용자 이메일 주소, 100만 개가 넘는 자격정보가 노출되는 사고가 터졌어요. 100만 건. 보안 전문가들은 몰트북에서 활동하는 AI 에이전트에 대한 접근 통제가 허술했다고 평가했습니다.

터미널 기반 AI 코딩 에이전트 '클라인(Cline) CLI'에서는 공급망 공격이 발생했어요. 클라인 운영사의 사후 보고서에 따르면, 공격자가 2월 17일 탈취한 npm 발행 토큰으로 클라인 2.3.0 버전을 무단 배포했는데, 이 패키지에 오픈클로를 전역 설치하는 스크립트가 추가돼 있었어요. 오픈클로 자체가 악성코드는 아니었지만, AI 개발 도구의 배포 경로가 다른 에이전트 설치에 악용될 수 있다는 사실이 확인된 거예요. (이건 좀 소름 끼치는 시나리오예요.)

카이스트 전기및전자공학부 윤인수 교수는 이렇게 말했어요. "오픈클로가 특별히 다른 위험을 만든다기보다, 연결할 수 있는 기능이 많아 취약점도 많아질 수밖에 없는 구조"라고요. "자유도를 주면 줄수록 보안 위협은 커진다." 그리고 "지금으로선 AI 에이전트를 완전히 안전하게 만드는 방법은 사실상 없다"고 덧붙였어요. 없다고 했어요. 사실상.

AI 에이전트 보안 위협 — AI 생성 이미지

중국은 금지령, 한국은 자제령

각국이 움직이기 시작했어요. 중국 공업정보화부는 2월부터 오픈클로 경고령을 내놨어요. 정보 유출과 시스템 통제권 상실 같은 문제를 일으킬 수 있다고 지적했죠. 3월에는 일부 정부기관과 국유기업 직원에게 업무용 기기에서 오픈클로 사용 자제를 통보했어요.

중국 국가인터넷응급센터와 중국사이버보안협회는 한 발 더 나갔어요. 오픈클로를 전용 장비나 가상 머신, 컨테이너 같은 격리 환경에 설치하라고 권고하고, 개인정보를 오픈클로 환경에 저장하거나 처리하지 말라는 내용까지 담았습니다.

국내에서는 네이버, 카카오, 당근이 사내망과 업무용 기기에서 오픈클로 사용을 금지하거나 제한했어요. 기밀 업무 정보와 개인정보에 접근할 수 있고, 지시하지 않은 작업까지 실행할 수 있다는 우려 때문이죠.

AI 보안 전문 스타트업 에임인텔리전스 유상윤 대표는 이 상황을 이렇게 정리했어요. "오픈클로 같은 AI 에이전트는 권한 자체가 사용자와 동일한 수준으로 주어져야 제대로 사용할 수 있는 구조"라면서, "메일 발송, 시스템 접속, 메시지 전송이 자유롭게 가능한 만큼 기업들이 적극적으로 활용하기를 꺼릴 수밖에 없다"고요. 읽기 중심 작업은 상대적으로 부담이 덜하지만, 그 외 영역은 더 조심해야 한다고도 했어요.

"이 AI는 신뢰할 수 없다"는 전제에서 출발해야 한다

전문가들의 조언을 한마디로 줄이면 이거예요. 권한 확대가 아니라 통제 설계가 먼저다.

윤인수 교수는 "내 AI가 무엇을 할 수 있는지 권한과 기능을 잘 정의해야 한다"고 했어요. "잘못 동작했을 때 어떤 것이 빠져나갈 수 있고 어떤 것이 망가질 수 있는지를 먼저 따져야 한다"는 거죠. 핵심은 이 한 문장이에요. "기본적으로 이 AI는 신뢰할 수 없다는 가정 아래 시스템을 만들어야 한다."

여기서 쟁점이 되는 게 '가시성'이에요. 허가받지 않은 오픈클로가 업무용 PC에 설치되면 이메일, 업무 도구, 개발 도구, 파일 시스템과 연결되는데, 기존 보안 체계가 그 행동을 제대로 식별하지 못할 수 있거든요. 이른바 '섀도우 AI(Shadow AI)' 문제예요. 일반 소프트웨어는 설계된 범위 안에서만 피해를 내지만, 에이전트는 사용자를 대신해 여러 시스템을 넘나들도록 설계돼 있잖아요. 피해 범위가 근본적으로 다릅니다.

마이크로소프트 보안팀도 2월 자사 블로그에서 오픈클로를 "지속적인 자격증명이 필요한 신뢰할 수 없는 코드 실행으로 다뤄야 한다"고 지적했어요. 기업이 오픈클로를 평가하거나 시험할 경우 전용 가상머신(VM)이나 물리적으로 분리된 별도 시스템에서 배포하라고 권고했죠.

유상윤 대표는 "정말 닿으면 안 되는 정보는 처음부터 연결하지 말고, 열람과 활용 단계마다 사용자 승인 절차를 넣어야 한다"고 했어요. "AI 가드레일이나 필터로 한 번 더 탐지하고 차단하는 기술적 통제 구조도 필요하다"고요.

개인정보 쪽도 빠뜨릴 수 없어요. 순천향대 정보보호학과 염흥열 명예교수는 "기존 생성형 AI가 주로 이용자 입력 텍스트를 바탕으로 결과를 내놓는 반면, 오픈클로 같은 AI 에이전트는 프롬프트뿐 아니라 파일 업로드, 계정 정보 이용 등 다양한 경로로 개인정보를 수집할 수 있다"고 설명했어요. "AI 에이전트 자체는 법적 책임의 대상이 아니기 때문에, 이를 업무에 도입한 기업이나 공공기관 같은 개인정보처리자가 책임을 지는 제도가 필요하다"고도 했죠. 적법하고 분명한 목적, 최소 수집, 최소 권한, 제3자 제공 필요성 점검. 이걸 우선 기준으로 삼아야 한다는 거예요.

엔비디아가 꺼낸 카드 — 네모클로

여러 우려 속에서 엔비디아가 16일 네모클로(NemoClaw)를 공개했어요. 오픈클로를 기업 환경에서 더 안전하게 통제할 수 있도록 만든 스택이에요.

엔비디아 설명에 따르면 네모클로는 오픈셸(OpenShell)이 격리된 샌드박스를 제공하고, 정책 기반 보안과 네트워크·프라이버시 가드레일을 인프라 계층에서 강제해 개인정보를 더 안전하게 보호할 수 있다고 해요.

유상윤 대표의 평가가 인상적이었어요. "네모클로에는 샌드박싱, 가드레일, 휴먼 인 더 루프 같은 장치가 들어가 있어 기업이 쓰기에는 훨씬 안전한 구조"라고요.

결국 방향은 명확해요. AI 에이전트를 안 쓸 수는 없으니까, 쓰되 가둬야 한다는 것. 자유도를 주면 줄수록 위험해지는 구조라면, 필요한 자유도만 정확히 열어주는 설계가 답이죠. "쓸지 말지"가 아니라 "어떻게 가둘지"가 지금 기업이 풀어야 할 문제예요.