OpenClaw 뜻과 사용법 | 설치부터 보안 위험까지 완벽 정리
2026년 초, IT 커뮤니티 전체를 뒤흔든 프로젝트가 하나 있다. 바로 OpenClaw(오픈클로)다. 출시 4개월 만에 GitHub 스타 30만 개를 돌파해 React를 제치고 비집계형 소프트웨어 프로젝트 중 역대 최다 스타를 기록했다. OpenClaw은 단순한 챗봇이 아니라, 사용자의 로컬 컴퓨터에서 실행되면서 이메일을 정리하고, 캘린더를 관리하고, 셸 명령을 실행하고, 브라우저까지 제어하는 자율 AI 에이전트다.
그런데 이 프로젝트는 Anthropic의 상표권 분쟁, 두 번의 이름 변경, OpenAI의 창업자 인수, 심각한 보안 취약점 발견까지 파란만장한 역사를 갖고 있다. 단순히 "신기한 AI 도구"로 넘기기엔 알아야 할 것이 너무 많다.
이 글에서는 OpenClaw의 정확한 뜻과 작동 원리, 맥·윈도우·VPS·맥미니 등 환경별 설치 방법, 프롬프트 인젝션을 포함한 보안 위험과 대응책, 그리고 이 도구를 왜 써야 하는지·왜 조심해야 하는지를 한 곳에서 정리한다.
1. OpenClaw 뜻과 정의
OpenClaw은 오스트리아 출신 개발자 Peter Steinberger가 만든 무료 오픈소스 자율 AI 에이전트다. TypeScript와 Swift로 작성되었고, MIT 라이선스로 배포된다. "Open"은 오픈소스를, "Claw"는 프로젝트의 마스코트인 바닷가재(lobster)의 집게를 의미한다.
OpenClaw은 자체적으로 LLM(대규모 언어 모델)을 내장하지 않는다. 대신 Anthropic의 Claude, OpenAI의 GPT, DeepSeek 등 외부 LLM에 API 키로 연결해 두뇌 역할을 위임한다. 사용자는 WhatsApp, Telegram, Slack, Discord 같은 메시징 앱을 통해 에이전트와 대화하고, 에이전트는 그 지시를 받아 파일을 읽고 쓰고, 셸 명령을 실행하고, 웹 브라우저를 제어하고, 크론(cron) 작업을 스케줄링한다.
핵심 차별점은 영속적 메모리다. 일반 챗봇은 탭을 닫으면 대화 맥락이 사라지지만, OpenClaw은 로컬 마크다운 파일에 대화 이력과 사용자 선호를 저장해 세션 간 맥락을 유지한다. 이 덕분에 "지난주에 수정한 버그"나 "내가 싫어하는 보고서 형식"까지 기억하는 에이전트를 만들 수 있다.
핵심 포인트: OpenClaw은 LLM 자체가 아니라, 기존 LLM에 손과 눈과 기억력을 부여하는 로컬 오케스트레이션 계층이다. 자체 AI 모델이 없으므로 반드시 API 키를 별도로 준비해야 한다.
2. OpenClaw의 역사: Clawdbot에서 OpenAI 인수까지
OpenClaw의 역사는 불과 4개월 남짓이지만 굵직한 사건이 빼곡하다.
2025년 11월, Peter Steinberger는 본인이 개발하던 AI 비서 "Clawd"(나중에 Molty로 개명)를 기반으로 Clawdbot이라는 이름의 프로젝트를 공개했다. 이름은 Anthropic의 Claude에서 따온 것이었다. Steinberger는 PSPDFKit이라는 PDF 관리 도구를 13년간 운영한 경험이 있는 시니어 개발자로, 이 프로젝트를 주말 사이드 프로젝트로 시작했다.
2026년 1월 26~27일, Clawdbot이 소셜 미디어에서 바이럴을 타면서 폭발적으로 퍼졌다. 동시에 Anthropic이 "Claude"와 유사한 이름에 대한 상표권 이의를 제기했고, Steinberger는 프로젝트 이름을 Moltbot으로 변경했다. "Molt"는 바닷가재가 껍데기를 벗는 탈피를 뜻하는 단어다.
2026년 1월 29~30일, Steinberger는 Moltbot이라는 이름이 발음하기 어렵다고 판단해 다시 OpenClaw으로 최종 개명했다. 같은 시기에 기업가 Matt Schlicht가 AI 에이전트 전용 소셜 네트워크 Moltbook을 출시해 프로젝트의 인기를 폭발적으로 끌어올렸다. 72시간 만에 GitHub 스타가 6만 개를 넘었다.
2026년 2월 4일, 샌프란시스코에서 ClawCon이라는 이름의 첫 커뮤니티 행사가 열렸다.
2026년 2월 14~15일, Steinberger가 OpenAI에 합류한다고 발표했다. Sam Altman은 X(구 트위터)에서 직접 이 소식을 확인하며, OpenClaw은 별도 재단으로 이관되어 오픈소스로 유지될 것이라고 밝혔다. 인수 금액은 정확히 공개되지 않았으나 200만~1,500만 달러 사이로 추정된다.
2026년 3월 기준, GitHub 스타는 30만 개 이상으로 React를 추월해 비집계형 소프트웨어 프로젝트 중 역대 1위에 올랐다. 중국에서는 DeepSeek 모델과 위챗·페이슈 같은 슈퍼앱에 맞춰 변형 버전이 만들어지기도 했다.
| 시점 | 사건 |
|---|---|
| 2025년 11월 | Clawdbot으로 첫 공개 |
| 2026년 1월 27일 | Anthropic 상표권 이슈로 Moltbot 개명 |
| 2026년 1월 30일 | OpenClaw으로 최종 개명 |
| 2026년 1월 30일 | Moltbook(AI 전용 SNS) 출시로 바이럴 폭발 |
| 2026년 2월 4일 | ClawCon(첫 커뮤니티 행사) 개최 |
| 2026년 2월 15일 | 창업자 Steinberger, OpenAI 합류 발표 |
| 2026년 3월 | GitHub 스타 30만 돌파, React 추월 |
3. OpenClaw의 작동 원리
OpenClaw의 구조는 비유적으로 "바닷가재 수조"에 비유할 수 있다. 수조(사용자의 컴퓨터)에 바닷가재(에이전트)를 넣고, 먹이(LLM API 키)를 주고, 규칙(설정 파일)을 정하는 방식이다.
게이트웨이(Gateway)가 핵심이다. 기본 포트 18789에서 실행되는 Node.js 서비스로, 메시징 앱에서 들어오는 요청을 에이전트 런타임으로 라우팅한다. 런타임은 사용자의 파일과 메모리에서 관련 맥락을 불러온 뒤, 거대한 시스템 프롬프트를 조합해 LLM에 전송한다. LLM이 도구 호출을 요청하면 런타임이 셸 명령, 파일 조작, 웹 브라우징을 실행한다. 이 루프가 답변이 완성될 때까지 반복되고, 결과는 메시징 앱으로 돌아온다.
주요 설정 파일은 다음과 같다. SOUL.md는 에이전트의 핵심 원칙과 행동 규칙을 정의한다. IDENTITY.md는 에이전트의 이름, 성격, 이모지, 아바타를 설정한다. USER.md는 사용자 프로필(시간대, 직업 등)을 담는다. HEARTBEAT.md는 크론 스케줄을 정의해 주기적 작업을 자동화한다. memory/ 폴더는 대화 이력과 학습된 사실을 마크다운 형태로 저장한다.
스킬(skill) 시스템도 강력하다. skills/ 폴더에 마크다운 파일이나 스크립트를 넣으면 에이전트의 능력을 확장할 수 있고, ClawHub라는 마켓플레이스에서 100개 이상의 사전 구성 스킬을 설치할 수 있다. Gmail 관리, GitHub 커밋 읽기, 서버 모니터링, 스마트홈 제어 등 다양한 스킬이 준비되어 있다.
핵심 포인트: OpenClaw은 게이트웨이(메시지 라우터) → 런타임(맥락 조합 + 도구 실행) → LLM(추론) → 결과 반환의 순환 구조로 작동한다. 모든 데이터는 로컬에 저장되므로 클라우드에 개인정보가 전송되지 않지만, API 키와 시스템 권한은 로컬에 노출된다.
4. 환경별 설치 방법: 맥·윈도우·VPS·맥미니·노트북·PC
설치 전 공통 요구 사항은 Node.js 22 이상, 최소 2GB RAM(게이트웨이 모드 기준, 쾌적 운용은 4GB 이상), 그리고 사용할 LLM의 API 키다.
macOS (맥북, 맥미니, 아이맥) 환경이 가장 대중적이다. 터미널에서 curl -fsSL https://openclaw.ai/install.sh | bash를 실행하면 Node.js 감지, 설치, 온보딩 마법사까지 한 번에 진행된다. 맥미니를 전용 서버로 쓰는 사례가 특히 많은데, M4 맥미니의 저전력 상시 가동과 Apple Silicon의 빠른 성능이 24시간 에이전트 운영에 적합하기 때문이다. SSH로 원격 접속해 ssh username@mac-mini.local로 관리한다. macOS VM(Lume 활용)으로 샌드박스 환경을 구성하는 방법도 공식 문서에 안내되어 있다.
Windows 환경에서는 WSL2(Windows Subsystem for Linux 2)를 통한 설치가 공식 권장 방식이다. PowerShell 관리자 모드에서 wsl --install로 WSL2를 활성화하고, Ubuntu를 설치한 뒤, WSL2 내부에서 동일한 설치 스크립트를 실행한다. 네이티브 Windows 지원은 제한적이므로 WSL2를 거치는 것이 안정성 면에서 유리하다.
VPS(클라우드 서버) 배포는 상시 가동과 고정 IP가 필요한 경우에 적합하다. DigitalOcean은 1-Click OpenClaw Deploy 이미지를 제공하며, 보안 강화 설정이 기본 적용된 상태로 월 24달러부터 시작한다. 일반적인 VPS에서는 Ubuntu/Debian 기반 서버에 Node.js를 설치하고 위의 스크립트를 실행한 뒤, systemd 서비스로 등록해 24시간 가동한다.
Docker 배포도 인기가 높다. Docker는 에이전트를 호스트 시스템과 격리해 보안성을 높여주며, Docker Engine 20.10 이상에서 컨테이너당 최소 512MB RAM이 필요하다. Docker 공식 블로그에서는 Docker Model Runner와 함께 API 키 없이 로컬 모델로 구동하는 방법도 안내한다.
노트북·데스크톱 PC 환경에서는 기본 구성(Intel Core i5 / AMD Ryzen 5, 8GB RAM, 256GB SSD)으로 게이트웨이 모드 운영이 가능하다. 로컬 LLM(32B, 70B 파라미터 모델)을 함께 돌리려면 32GB 이상의 RAM과 GPU가 필요하다.
| 환경 | 장점 | 단점 | 최소 권장 사양 |
|---|---|---|---|
| 맥미니 (M4) | 저전력, 고성능, 24시간 안정 가동 | 별도 하드웨어 구매 비용 | M4 기본 모델, 16GB RAM |
| Windows (WSL2) | 기존 PC 활용 가능 | WSL2 설정 복잡, 네이티브 미지원 | 4코어 CPU, 8GB RAM |
| VPS (클라우드) | 고정 IP, 상시 가동, 원격 관리 | 월 비용 발생, 네트워크 지연 | 2 vCPU, 4GB RAM |
| Docker | 격리 환경, 이식성, 보안 향상 | Docker 지식 필요 | Docker Engine 20.10+, 2GB RAM |
| 노트북·PC | 즉시 시작 가능, 추가 비용 없음 | 상시 가동 불편, 전력 소모 | i5/Ryzen 5, 8GB RAM |
5. OpenClaw의 장점: 왜 써야 하는가
첫째, 완전한 오픈소스다. MIT 라이선스로 배포되어 누구나 코드를 확인, 수정, 재배포할 수 있다. 구독료가 없고, 비용은 사용하는 LLM의 API 호출량에만 비례한다.
둘째, 모델 비종속성(model-agnostic)이다. Claude, GPT, DeepSeek, Gemini 등 원하는 LLM을 선택할 수 있고, 로컬 LLM(Ollama 등)도 연결할 수 있다. 특정 기업의 생태계에 종속되지 않는다는 점에서 Claude Code 같은 단일 플랫폼 도구와 차별화된다.
셋째, 멀티채널 통합이 강력하다. WhatsApp, Telegram, Slack, Discord, iMessage, 페이슈(Feishu) 등 50개 이상의 서비스와 연동되어, 이미 사용 중인 앱에서 바로 에이전트와 대화할 수 있다.
넷째, 영속적 메모리로 대화 맥락이 유지된다. 일반 챗봇과 달리 세션 간 기억을 유지하므로, 진행 중인 프로젝트의 맥락을 매번 설명할 필요가 없다.
다섯째, 크론 작업을 통한 자율 실행이 가능하다. HEARTBEAT.md에 스케줄을 설정하면 아침 브리핑, 서버 상태 점검, 이메일 정리 등을 사람이 명령하지 않아도 자동으로 수행한다.
여섯째, 프라이버시 중심 설계다. 모든 데이터가 로컬에 저장되므로, 클라우드 기반 AI 서비스에 개인 데이터를 올리는 것에 비해 데이터 주권을 유지할 수 있다.
일곱째, 확장 가능한 스킬 시스템이다. 마크다운 파일 하나로 새로운 기능을 추가할 수 있고, ClawHub 마켓플레이스에서 커뮤니티가 만든 스킬을 설치할 수 있다. 에이전트가 스스로 필요한 코드를 작성해 새 스킬을 만들 수도 있다.
6. OpenClaw의 단점과 보안 위험
OpenClaw의 강력한 기능은 동시에 심각한 리스크를 수반한다. 보안 전문가들의 경고는 과장이 아니다.
보안 취약점이 다수 발견되었다. 2026년 초 독립 보안 감사에서 512개의 취약점(8개 크리티컬)이 확인되었다. 대표적으로 CVE-2026-25253은 Control UI의 WebSocket이 gatewayUrl 파라미터를 무조건 신뢰해, 악성 웹사이트가 인증 토큰을 탈취하고 원격 코드 실행까지 가능하게 한 사례다. 2026년 3월에는 localhost 트래픽을 무조건 신뢰하는 결함이 발견되어, 브라우저의 악성 JavaScript가 게이트웨이에 WebSocket을 열고 비밀번호를 무차별 대입해 악성 스크립트를 등록할 수 있었다.
프롬프트 인젝션 공격에 취약하다. Cisco AI 보안팀은 서드파티 OpenClaw 스킬이 사용자 모르게 데이터를 외부로 유출하고 프롬프트 인젝션을 수행하는 사례를 실증했다. CrowdStrike는 프롬프트 인젝션을 통한 민감 데이터 유출이 OpenClaw의 1차적 위협이라고 규정했다. Zenity 연구팀은 간접 프롬프트 인젝션으로 OpenClaw을 영구적 AI 백도어로 전환할 수 있음을 입증했다.
스킬 생태계의 신뢰도 문제가 있다. ClawHub에 등록된 10,700개 스킬 중 820개가 악성으로 판명되었고, 전체 스킬의 26%에서 취약점이 발견되었다. Hudson Rock은 인포스틸러 악성코드가 OpenClaw 설정 파일 전체를 탈취해 AI 에이전트의 "정체성"을 통째로 훔친 첫 사례를 보고했다.
API 키 유출 위험이 상존한다. 기본 설정에서 자격 증명이 평문 파일로 저장되는 구조여서, 약 150만 개의 API 키가 유출된 것으로 보도되었다.
비용 예측이 어렵다. 에이전트가 자율적으로 LLM API를 호출하므로, 복잡한 작업을 반복 수행하면 API 비용이 급격히 증가한다. 한 사용자는 단순한 작업 하나에 0.5달러가 소모되었다고 보고했다.
기술적 진입 장벽이 높다. OpenClaw의 자체 메인테이너 Shadow는 Discord에서 "커맨드 라인을 이해하지 못한다면, 이 프로젝트는 안전하게 사용하기에 너무 위험하다"고 경고했다. Meta의 AI 안전 담당 직원은 OpenClaw이 자신의 이메일 수신함 상당 부분을 삭제한 사례를 공개하기도 했다.
규제 기관의 경고도 나왔다. 네덜란드 데이터보호국(Autoriteit Persoonsgegevens)은 민감한 데이터를 처리하는 시스템에 OpenClaw 같은 실험적 에이전트를 배포하지 말 것을 권고했다.
| 위험 유형 | 사례 | 대응 |
|---|---|---|
| 원격 코드 실행 | CVE-2026-25253, WebSocket 토큰 탈취 | 버전 2026.1.29 이상으로 업데이트 |
| 프롬프트 인젝션 | 이메일·웹페이지 통한 간접 주입 | 도구 실행 전 승인 설정, 신뢰할 수 없는 콘텐츠 격리 |
| 악성 스킬 | ClawHub 820개 악성 스킬 | 스킬 코드 직접 검토, 신뢰 출처만 설치 |
| API 키 유출 | 평문 저장, 인포스틸러 탈취 | 외부 시크릿 관리(v2.26), 정기 감사 |
| 비용 폭주 | 자율 반복 호출 | API 사용량 제한 설정, 모니터링 |
핵심 포인트: OpenClaw은 기본 설정 상태로는 안전하지 않다. 반드시 최신 버전 유지, 게이트웨이 격리, 시크릿 관리, 스킬 검증, 도구 실행 승인의 5단계를 적용해야 한다.
7. OpenClaw vs Claude Code 비교
OpenClaw과 Claude Code는 자주 비교되지만, 설계 철학 자체가 다르다.
Claude Code는 Anthropic의 공식 코딩 에이전트로, 터미널에서 직접 사용하는 CLI 도구다. Anthropic 생태계(Claude 모델)에 종속되지만, 보안 제어가 기본 탑재되어 있고 기업용 지원이 가능하다. 코드 작성·리팩토링·디버깅에 특화되어 있다.
OpenClaw은 모델 비종속적이고 코딩 외에도 이메일 관리, 캘린더 정리, 서버 모니터링, 스마트홈 제어 등 범용 자동화에 초점을 맞춘다. 멀티채널 메시징 통합과 크론 기반 자율 실행이 핵심 강점이다. 다만 보안 제어는 사용자가 직접 구성해야 한다.
| 항목 | OpenClaw | Claude Code |
|---|---|---|
| 모델 | 다중 LLM (Claude, GPT, DeepSeek 등) | Claude 전용 |
| 인터페이스 | 메시징 앱 (WhatsApp, Slack 등) | 터미널 CLI |
| 주요 용도 | 범용 자동화, 멀티채널 워크플로 | 코딩·개발 집중 |
| 비용 구조 | API 사용량 기반 (변동) | 월정액 구독 |
| 보안 | 기본 설정 취약, 사용자 관리 필요 | 기본 보안 제어 내장 |
| 메모리 | 로컬 파일 기반 영속 메모리 | 프로젝트 기반 컨텍스트 |
| 자율 실행 | 크론 작업, 24시간 상시 가동 | 사용자 명령 중심 |
| 커스터마이징 | 매우 높음 (스킬, 설정 파일) | 제한적 |
8. 마무리
위에서 살펴본 OpenClaw의 핵심 내용을 정리하면 다음과 같습니다.
핵심 요약:
- OpenClaw은 로컬에서 실행되는 오픈소스 자율 AI 에이전트로, LLM에 손과 눈과 기억력을 부여하는 오케스트레이션 계층이다
- Clawdbot → Moltbot → OpenClaw으로 두 번 개명되었고, 창업자는 2026년 2월 OpenAI에 합류했다
- 맥미니·VPS·Docker·WSL2(Windows) 등 다양한 환경에서 설치 가능하며, Node.js 22 이상이 필수다
- 프롬프트 인젝션, 악성 스킬, API 키 유출 등 심각한 보안 위험이 존재하므로 기본 설정 그대로 사용하면 안 된다
- 모델 비종속성, 멀티채널 통합, 영속 메모리, 크론 자동화가 핵심 장점이다
- Claude Code와는 용도가 다르며, 범용 자동화에는 OpenClaw이, 코딩 집중에는 Claude Code가 적합하다
OpenClaw 도입 여부를 판단할 때는 기술 역량, 보안 관리 의지, 자동화 필요 범위를 기준으로 삼아야 한다. 커맨드 라인에 익숙하고, 정기적인 업데이트와 보안 점검을 수행할 수 있으며, 멀티채널 자율 자동화가 필요한 개발자·프리랜서라면 강력한 도구가 될 수 있다. 반면 CLI에 익숙하지 않거나, 보안 관리에 시간을 투자하기 어렵다면 Claude Code 같은 관리형 도구나 성숙한 노코드 자동화 플랫폼이 더 안전한 선택이다.