네·카·당이 금지한 '오픈클로'…"보안은 악몽"[로보사피엔스③]

등록 2026.02.16 09:00:00수정 2026.02.16 09:04:25

'몰트북'의 백엔드 데이터 저장소가 인증 없이 외부 노출

'오픈클로'는 원클릭 원격코드실행 취약점 발견돼

"무법천지" AI 에이전트 생태계…전문가들 경고

[서울=뉴시스]오동현 기자 = "보안 관점에서는 완전한 악몽이다."

지난 8일 네이버·카카오·당근이 동시다발적으로 오픈클로(OpenClaw) 사내 사용 금지를 공지했다. 국내 주요 IT 기업이 특정 인공지능(AI) 도구 하나를 두고 같은 시기에 움직인 것은 이례적이다. 그 배경에는 단순한 '신기술 경계심'이 아니라, 최근까지 쏟아진 글로벌 보안 경고가 있었다.

이번 사태는 단순한 취약점 하나의 문제가 아니었다. AI 에이전트라는 새로운 기술 구조 자체가 보안의 사각지대를 만들고 있다는 경고였다.

AI 전용 SNS의 보안 붕괴…150만 디지털 열쇠 노출

경고의 출발점은 AI 에이전트 전용 소셜 플랫폼 '몰트북(Moltbook)'이었다.

클라우드 보안 기업 위즈(Wiz)는 몰트북의 백엔드 데이터 저장소가 인증 없이 외부에 노출돼 있었다고 공개했다.

이로 인해 150만 개의 API(응용 프로그래밍 인터페이스) 키, 3만5000개 이상의 이메일 주소, 수천 건의 개인 메시지에 접근할 수 있었으며, 일부 메시지에는 오픈AI 등 서드파티 서비스의 인증 정보가 평문으로 포함돼 있었다는 설명이다.

API 키는 단순한 비밀번호가 아니다. 외부 서비스에 접근할 수 있는 '디지털 열쇠'다. 이 열쇠가 노출될 경우, 계정 가장이나 에이전트 조작 가능성까지 이어질 수 있다는 것이 보안 업계의 지적이다.

몰트북은 AI의 도움을 받아 빠르게 개발된 '바이브 코딩(vibe coding)' 사례로 알려졌다. 문제는 속도였다. 빠른 구현 뒤에 남겨진 검증의 공백이 대규모 노출로 이어졌을 가능성이 제기됐다.

[서울=뉴시스]기사 이해를 돕기 위한 이미지. (사진출처: 유토이미지) 2025.12.24.

'오픈클로' 생태계 전체로 번진 취약성

논란은 곧 오픈클로 전체 생태계로 확산됐다.

시스코 AI 위협 및 보안 연구팀은 공식 블로그를 통해 "기능 관점에서 오픈클로는 획기적이지만, 보안 관점에서는 완전한 악몽"이라고 경고했다.

시스코 연구팀은 자체 개발한 스킬 스캐너로 분석한 결과, 치명적 2건을 포함한 9건의 보안 문제를 발견했다. 해당 스킬은 사실상 악성코드로, 사용자 모르게 외부 서버로 데이터를 전송하는 curl 명령을 실행하고 있었다는 것이다.

오픈클로의 스킬 마켓플레이스 '클로허브(ClawHub)'는 그 자체가 공격 대상이 됐다. 보안업체 스닉(Snyk)이 지난 5일 클로허브에 등록된 스킬 3984개를 점검한 결과, 534개에서 '치명적(critical)' 수준의 보안 이슈가 발견됐다고 밝혔다. 이 중 일부는 맥OS 악성코드 '아토믹 스틸러(AMOS)'를 설치하도록 설계돼 있었다. AMOS는 브라우저 저장 비밀번호, 가상자산 지갑 키, 키체인 데이터를 탈취하는 정보 탈취형 악성코드다.

여기에 기름을 부은 사건이 있었다. 지난달 말에는 오픈클로 자체에서 원클릭 원격코드실행(RCE) 취약점(CVE-2026-25253)이 발견돼 긴급 패치가 이뤄졌다. 이 취약점은 CVSS 점수 8.8의 고위험 등급으로, 공격자가 특수하게 조작된 링크 하나로 사용자의 컴퓨터에서 임의의 코드를 실행할 수 있는 치명적 수준이었다.

전문가들 공개 경고…"무법천지"

오픈소스 개발자 사이먼 윌리슨은 이러한 구조적 위험을 '치명적 삼중주(lethal trifecta)'로 요약했다. 개인 데이터 접근 권한, 신뢰할 수 없는 외부 콘텐츠 노출, 외부와의 통신·행동 능력이 동시에 결합될 경우 프롬프트 인젝션만으로도 광범위한 피해로 이어질 수 있다는 분석이다.

초기 에이전트 생태계의 가능성을 긍정적으로 언급했던 안드레이 카르파시(오픈AI 창립 멤버)도 입장을 바꿨다. '바이브 코딩' 창시자인 그는 현재 상태의 생태계를 '무법천지(Wild West)'에 비유하며 개인 컴퓨터 환경에서 실행하는 것은 권장하지 않는다고 경고했다.

헤더 애드킨스 구글 클라우드 보안 부문 부사장도 "오픈클로를 실행해서는 안된다"고 강력히 권고했다.

국내 주요 IT 기업들도 움직였다. 네이버와 카카오는 사내망과 업무용 기기에서의 사용을 제한했고, 당근은 접속 자체를 차단한 것으로 전해졌다.

국내 주요 IT 기업이 특정 AI 도구에 대해 일제히 사내 사용 금지에 나선 것은 2025년 초 중국 AI 모델 '딥시크(DeepSeek)' 차단 조치 이래 처음이다. 당시에도 네이버·카카오·삼성전자 등이 사내 정보 유출 우려를 이유로 딥시크 접근을 제한한 바 있다.

막을 것인가, 관리할 것인가

오픈클로 개발자 피터 스타인버거 본인도 프롬프트 인젝션 취약점은 "업계 전체의 미해결 과제"라고 인정하며, "솔직히 아직 일반 사용자가 설치할 준비가 되지 않았다"고 밝혔다. 오픈클로 공식 문서에도 "완전히 안전한 설정은 없다"는 문구가 명시돼 있다.

그렇다면 사용 금지가 답인가. 보안 기업 아스트릭스(Astrix)는 "오픈클로와 같은 도구는 승인 여부와 관계없이 조직 내에 등장할 것"이라며 "진짜 유용하기 때문"이라고 주장했다. '섀도 AI(Shadow AI)'가 현실이 된 것이다. 직원들이 개인 기기에서 몰래 사용하는 것까지 막을 수는 없다는 의미다.

업계 관계자는 "AI 에이전트 기술은 되돌릴 수 없는 흐름이다. '사용 금지'만으로는 이 흐름을 막을 수 없다"면서도 "AI 에이전트의 식별·통제·대응 체계를 갖추는 것이 궁극적인 해법일 것"이라고 전했다.

◎공감언론 뉴시스 [email protected]