OpenClaw의 보안 위험이 빈번하게 발생하는 문제는 많은 AI 개발자와 일반 사용자가 직면하고 있는 현실입니다. 이 글에서는 OpenClaw의 5가지 핵심 보안 위험과 macOS, Windows, Linux에서의 완전한 제거 방법을 소개해 드리겠습니다. 이를 통해 위험을 빠르게 식별하고 OpenClaw를 완전히 제거하는 데 도움이 될 것입니다.
핵심 가치: 이 글을 읽고 나면 OpenClaw의 모든 보안 위험을 이해하게 되고, 많은 사람들이 간과하는 OAuth 토큰 철회 단계를 포함하여 macOS, Windows, Linux에서 OpenClaw를 완전히 제거하는 전체 과정을 익히게 될 것입니다.
OpenClaw란 무엇인가: Clawdbot에서 Moltbot로의 진화
OpenClaw의 위험을 논하기 전에, 이 도구의 배경을 빠르게 살펴보겠습니다.
OpenClaw(원래 이름 Clawdbot, Moltbot)는 오스트리아 개발자 Peter Steinberger가 만든 오픈소스 자율 AI 에이전트 도구입니다. 이 도구의 핵심 기능은 메시징 플랫폼(예: Telegram, Discord, WhatsApp)을 사용자 인터페이스로 활용하여 AI 대규모 언어 모델이 다양한 작업을 자율적으로 수행하도록 하는 것입니다.
OpenClaw 이름 변경 타임라인
| 시간 | 이름 | 사건 |
|---|---|---|
| 2025년 11월 | Clawdbot | 프로젝트 최초 공개 |
| 2026년 1월 27일 | Moltbot | Anthropic의 상표권 침해 주장으로 인한 이름 변경(랍스터 테마) |
| 2026년 1월 29일 | OpenClaw | 두 번째 이름 변경, 오픈소스+랍스터 전통 강조 |
| 2026년 2월 14일 | — | Steinberger가 OpenAI 합류 발표, 프로젝트 오픈소스 재단으로 이관 |
OpenClaw 핵심 기능
OpenClaw는 이메일 자동 분류, 답장 작성, 캘린더 관리, Shell 명령 실행, 파일 시스템 조작, 웹 자동화 등을 수행할 수 있습니다. 100개 이상의 사전 구성된 AgentSkills를 통해 Google, Slack, Discord, GitHub 등의 서비스와 연결하여 기능을 확장합니다.
편리하게 들리지만, 바로 이 '무엇이든 할 수 있는' 설계가 심각한 보안 위험을 초래합니다.
🎯 보안 팁: AI 에이전트 도구를 사용하기 전에 보안 위험을 먼저 평가하는 것이 좋습니다. 안전하고 신뢰할 수 있는 AI 대규모 언어 모델 API 호출 서비스가 필요하다면, APIYI apiyi.com 플랫폼을 통해 접속하는 것을 추천합니다. 이 플랫폼은 통제된 API 인터페이스 환경을 제공하여 로컬 에이전트의 보안 위험을 걱정할 필요가 없습니다.
마이크로소프트, 카스퍼스키, 크라우드스트라이크 등 여러 보안 기관의 분석 보고서에 따르면, OpenClaw는 현재 다음과 같은 5가지 핵심 보안 위험에 노출되어 있습니다.
위험 1: 고위험 CVE 취약점 — 원격 코드 실행
OpenClaw는 여러 고위험 CVE 취약점이 공개되었으며, 그중 가장 심각한 것은 CVE-2026-25253입니다.
| 취약점 번호 | CVSS 점수 | 유형 | 영향 | 수정 버전 |
|---|---|---|---|---|
| CVE-2026-25253 | 8.8 (고위험) | 토큰 유출 + RCE | 원격 코드 실행 | v2026.1.29 |
| CVE-2026-24763 | 고위험 | 명령어 주입 | 임의 명령어 실행 | — |
| CVE-2026-25157 | 고위험 | 명령어 주입 | 임의 명령어 실행 | — |
CVE-2026-25253 공격 원리:
- OpenClaw의 제어 인터페이스는 URL 쿼리 문자열의
gatewayUrl을 신뢰하고 로드 시 자동으로 연결합니다. - 서버는 WebSocket Origin 헤더를 검증하지 않아 모든 웹사이트의 요청을 수락합니다.
- 공격자가 악성 링크를 제작하면, 사용자가 클릭했을 때 인증 토큰이 공격자 서버로 전송됩니다.
- 공격자는 운영 수준의 게이트웨이 접근 권한을 획득하여 샌드박스 구성을 수정하고 임의 코드를 실행할 수 있습니다.
localhost에만 바인딩된 인스턴스도 영향을 받습니다. 공격자는 여러분이 링크를 클릭하거나 악성 웹페이지를 방문하기만 하면 OpenClaw 게이트웨이를 완전히 제어할 수 있습니다.
위험 2: 악성 스킬 마켓플레이스 — 820개 이상의 악성 스킬
OpenClaw의 스킬 마켓플레이스인 ClawHub에는 심각한 보안 검토 문제가 있습니다.
보안 연구원들의 스캔 결과에 따르면:
- ClawHub에는 총 약 10,700개의 스킬이 있습니다.
- 그중 820개 이상이 악성 스킬로 확인되었습니다 (약 7.7%).
- 최신 스캔 결과 악성 스킬 비율이 **20%**에 가까워졌습니다.
Cisco AI 보안 연구팀이 서드파티 OpenClaw 스킬을 테스트한 결과, 사용자 몰래 데이터 유출 및 프롬프트 주입을 실행하는 것을 발견했습니다.
이러한 악성 스킬들은 트레이딩 봇, 금융 어시스턴트, 콘텐츠 서비스 등으로 위장하여 실제로는 다음과 같은 정보를 탈취합니다:
- 파일 및 암호화 지갑 브라우저 확장 프로그램
- 니모닉 시드 구문 및 macOS Keychain 데이터
- 브라우저 비밀번호 및 클라우드 서비스 자격 증명
위험 3: 프롬프트 주입 공격 — AI가 악성 명령을 실행
OpenClaw는 합법적인 명령과 악성 명령을 구분하지 못합니다. 공격자는 OpenClaw가 처리하는 콘텐츠에 악성 명령을 삽입하여 AI가 모르는 사이에 공격자의 작업을 실행하도록 할 수 있습니다.
공격 체인 예시:
악성 이메일 내용 → OpenClaw 자동 처리 → AI가 삽입된 명령 실행 → 데이터 유출
더 위험한 점은, OpenClaw의 '보안 모델'이 프롬프트 주입을 '범위를 벗어난' 것으로 명시적으로 분류한다는 것입니다 — 보안 경계를 우회하지 않는 한. 그러나 실제로 프롬프트 주입은 다른 기능과 연쇄적으로 결합되어 지속형 공격을 구현할 수 있습니다.
OpenClaw의 에이전트 상태나 '기억'이 한번 수정되면, 공격자의 명령을 장기간 따르며 지속형 백도어를 형성합니다.
위험 4: OAuth 토큰 지속성 — 소프트웨어 제거가 안전을 의미하지 않음
이는 많은 사용자가 가장 간과하기 쉬운 위험입니다. OpenClaw는 여러분의 Google, Slack, Discord, GitHub 등의 계정에 연결하기 위해 장기간 유효한 OAuth 토큰을 사용합니다.
핵심 사실: OpenClaw를 제거하더라도, 이러한 OAuth 토큰은 여전히 각 서비스 제공업체의 서버에 저장되어 있으며, 여러분의 계정은 여전히 접근 가능한 상태로 남아 있습니다.
단순히 로컬 소프트웨어를 삭제하는 것만으로는 OAuth 권한을 해제할 수 없습니다. 이것이 많은 사람들이 '깨끗하게 제거했다'고 생각하지만 실제로는 계정이 여전히 위험에 노출되는 이유입니다.
위험 5: 대규모 노출 — 42,000개 이상의 인스턴스가 인터넷에 노출됨
| 모니터링 기관 | 감지 시간 | 노출된 인스턴스 수 |
|---|---|---|
| Censys | 2026년 1월 25일-31일 | 1,000 → 21,000+ |
| Bitsight | 확장 분석 기간 | 30,000+ |
| 독립 연구 | 전체 스캔 | 42,665 (그중 5,194개가 취약점이 있는 것으로 확인됨) |
OpenClaw 공식 문서 자체도 인정하고 있습니다: '완벽하게 안전한 배포 방식은 존재하지 않습니다'. 보안은 내장된 기능이 아닌 선택적 구성 사항입니다.
💡 보안 권장사항: 여러분의 프로젝트에서 AI 대규모 언어 모델 API를 호출해야 한다면, 로컬 에이전트 배포의 위험을 감수할 필요가 없습니다. APIYI apiyi.com 플랫폼을 통해 Claude, GPT-4o, DeepSeek 등 주요 모델의 API 인터페이스를 안전하게 사용할 수 있으며, 모든 호출은 통제된 환경에서 완료됩니다.
OpenClaw 완전 삭제 가이드: 3개 플랫폼 전체 단계
아래는 macOS, Windows, Linux 세 플랫폼의 완전한 삭제 가이드입니다.
중요 알림: 삭제 순서가 매우 중요합니다. 만약 npm uninstall -g openclaw 명령으로 바이너리 파일을 먼저 삭제하면, 공식 openclaw uninstall 명령을 더 이상 사용할 수 없게 되어 정리 작업이 훨씬 복잡해집니다.
첫 번째 단계: OpenClaw 백그라운드 서비스 중지
삭제하기 전에 반드시 OpenClaw의 백그라운드 게이트웨이 프로세스를 중지해야 합니다.
macOS:
# LaunchAgent 백그라운드 프로세스 중지
launchctl unload ~/Library/LaunchAgents/com.openclaw.gateway.plist
Linux:
# systemd 서비스 중지
sudo systemctl stop openclaw-gateway
sudo systemctl disable openclaw-gateway
Windows:
# 백그라운드 서비스 중지
Stop-Service OpenClawGateway
sc.exe delete OpenClawGateway
두 번째 단계: 공식 삭제 명령 실행
# 권장 방식: 원클릭 완전 삭제
openclaw uninstall --all --yes --non-interactive
이 명령은 OpenClaw 바이너리 파일과 기본 설정을 제거합니다. 하지만 모든 잔여 파일과 OAuth 권한은 정리하지 않습니다.
세 번째 단계: 잔여 디렉토리 정리
공식 삭제 명령을 실행한 후에도, 여전히 다음 디렉토리를 수동으로 정리해야 합니다:
macOS / Linux:
# 모든 설정 디렉토리 삭제 (이름이 변경된 버전의 디렉토리 포함)
rm -rf ~/.openclaw
rm -rf ~/.clawdbot
rm -rf ~/.moltbot
rm -rf ~/.molthub
# macOS 추가 LaunchAgent 정리
rm -f ~/Library/LaunchAgents/com.openclaw.gateway.plist
Windows:
# 설정 디렉토리 삭제
Remove-Item -Recurse -Force "$env:USERPROFILE\.openclaw"
Remove-Item -Recurse -Force "$env:USERPROFILE\.clawdbot"
Remove-Item -Recurse -Force "$env:USERPROFILE\.moltbot"
Remove-Item -Recurse -Force "$env:USERPROFILE\.molthub"
네 번째 단계: 삭제 완료 확인
# 잔여 프로세스 확인
ps aux | grep -i openclaw
ps aux | grep -i clawdbot
ps aux | grep -i moltbot
# 잔여 파일 확인
ls -la ~/.openclaw 2>/dev/null && echo "잔여 파일이 존재합니다!" || echo "깨끗하게 정리되었습니다"
ls -la ~/.clawdbot 2>/dev/null && echo "잔여 파일이 존재합니다!" || echo "깨끗하게 정리되었습니다"
ls -la ~/.moltbot 2>/dev/null && echo "잔여 파일이 존재합니다!" || echo "깨끗하게 정리되었습니다"
🚀 기술 팁: 더 안전한 AI 호출 방식이 필요해서 OpenClaw를 삭제하신다면, APIYI apiyi.com에서 즉시 사용 가능한 API 인터페이스를 제공합니다. 로컬에 어떤 Agent도 배포할 필요 없이 5분 안에 통합을 완료할 수 있습니다.
OpenClaw OAuth 토큰 철회 가이드: 가장 중요한 단계
이것은 OpenClaw를 제거할 때 가장 간과되지만 가장 중요한 단계입니다. 대부분의 제거 튜토리얼은 로컬 파일 삭제에만 초점을 맞추지만, OAuth 토큰을 철회하지 않으면 계정이 여전히 위험에 노출될 수 있습니다.
각 플랫폼별 OAuth 철회 방법
| 플랫폼 | 작업 경로 | 철회 방법 |
|---|---|---|
| myaccount.google.com → 보안 → 타사 앱 | OpenClaw/Clawdbot/Moltbot 찾아서 '액세스 권한 제거' 클릭 | |
| GitHub | github.com/settings/applications → Authorized OAuth Apps | OpenClaw 찾아서 Revoke 클릭 |
| Slack | 워크스페이스 설정 → 앱 관리 → 설치된 앱 | OpenClaw 통합 제거 |
| Discord | 사용자 설정 → 승인된 앱 | OpenClaw 권한 취소 |
| Microsoft | account.live.com/consent/Manage | OpenClaw 권한 제거 |
| Notion | 설정 → 내 연결 | OpenClaw 연결 해제 |
OAuth 철회가 중요한 이유
로컬에서 OpenClaw 제거 → 로컬 소프트웨어 삭제됨
↓
하지만 OAuth 토큰은 여전히 클라우드에 살아있음
↓
이메일, 파일, 코드 저장소에 여전히 접근 가능
↓
각 플랫폼별 권한을 수동으로 철회해야 함
OAuth를 철회한 후에는, 특히 공격을 받았을 가능성이 있다고 의심된다면 관련 계정의 비밀번호를 변경하는 것이 좋습니다.
🎯 보안 모범 사례: AI 서비스를 사용할 때는 OAuth 광범위 권한보다 API 키 기반 호출 방식을 우선 선택하세요. APIYI apiyi.com 플랫폼은 안전한 API 키 인증 메커니즘을 사용하며, 권한 범위가 제어 가능하고 이메일, 파일 등 민감한 데이터에 접근하지 않습니다.
OpenClaw 보안 위험 자가 점검 체크리스트
현재 OpenClaw를 사용 중이거나 과거에 사용한 적이 있다면, 아래 체크리스트를 따라 보안 점검을 해보세요.
보안 자가 점검 항목
- 버전 확인: v2026.1.29 이상으로 업데이트했는지 (CVE-2026-25253 패치)
- 네트워크 노출: OpenClaw 게이트웨이가 공개 네트워크에 노출되었는지 (localhost로만 제한해야 함)
- 스킬 감사: 출처가 불분명한 타사 스킬을 설치했는지
- OAuth 검토: OpenClaw에 권한을 부여한 서비스는 무엇인지
- 로그 확인: 비정상적인 외부 연결 기록이 있는지
- 메모리 감사: OpenClaw 에이전트 메모리가 변조되었는지
사용자 유형별 권장 조치
| 사용자 유형 | 권장 조치 |
|---|---|
| OpenClaw를 사용한 적 없음 | 설치 권장하지 않음, 보안 업데이트 주시 |
| 로컬 테스트만 진행 | 완전 제거 + OAuth 철회 |
| 일상적으로 사용 중 | 즉시 최신 버전으로 업데이트 + 보안 감사 |
| 이미 공개 네트워크에 노출됨 | 즉시 서비스 중지 + 완전 제거 + 전면 보안 점검 |
| 타사 스킬 설치됨 | 모든 스킬 감사 + 데이터 유출 확인 + 제거 고려 |
자주 묻는 질문
Q1: OpenClaw와 일반 AI 챗봇의 차이점은 무엇이며, 왜 더 위험한가요?
일반 챗봇(예: ChatGPT, Claude)은 서비스 제공업체의 서버에서 실행되며, 사용자는 브라우저를 통해 상호작용합니다. 반면 OpenClaw는 사용자의 로컬 시스템에서 실행되는 자율 AI 에이전트로, 파일 시스템, 이메일, 코드 저장소 등에 대한 실제 접근 권한을 가지고 있습니다. 이러한 설계로 인해 기능은 더 강력해지지만, 공격 표면도 훨씬 넓어집니다. 한번 침해당하면, 공격자는 채팅 기록이 아닌 사용자의 컴퓨터와 클라우드 서비스에 대한 실제 운영 권한을 얻게 됩니다. AI 모델을 안전하게 호출해야 한다면, APIYI apiyi.com과 같은 통제된 API 플랫폼을 통해 사용하는 것을 권장하며, 로컬 에이전트가 가져오는 보안 위험을 피해야 합니다.
Q2: OpenClaw를 이미 제거했는데, 무엇을 더 걱정해야 하나요?
가장 걱정해야 할 것은 OAuth 토큰입니다. OpenClaw는 장기간 유효한 OAuth 토큰을 사용하며, 이 토큰은 Google, GitHub, Slack 등의 서비스 제공업체 서버에 저장되어, 로컬 소프트웨어를 제거한다고 해서 무효화되지 않습니다. 반드시 권한을 부여했던 각 플랫폼에 로그인하여 OpenClaw의 접근 권한을 수동으로 철회하세요. 또한, 타사 스킬을 설치한 적이 있다면 시스템에 비정상적인 프로세스나 파일이 있는지 확인하는 것이 좋습니다.
Q3: OpenClaw의 악성 스킬은 어떻게 작동하나요?
악성 스킬은 정상적인 기능(예: 트레이딩 봇, 콘텐츠 서비스)으로 위장하여 ClawHub 마켓을 통해 배포됩니다. 일단 설치되면, 백그라운드에서 데이터 유출 작업(브라우저 비밀번호, 암호화 지갑 니모닉, macOS Keychain 데이터 등 민감한 정보 탈취)을 실행합니다. Cisco 보안 팀의 테스트에 따르면, 이러한 스킬은 사용자가 전혀 모르는 상태에서 실행될 수 있습니다.
Q4: OpenClaw가 로컬에서만 실행되고 공용 네트워크에 노출되지 않았다면 안전한가요?
완전히 안전하지는 않습니다. CVE-2026-25253 취약점은 OpenClaw가 localhost에만 바인딩되어 있어도, 공격자가 악성 링크를 통해 사용자의 인증 토큰을 탈취하여 원격 코드 실행을 일괄적으로 수행할 수 있음을 증명했습니다. 사용자가 정교하게 구성된 링크를 클릭하기만 하면 로컬 보안 경계가 우회됩니다.
Q5: AI 에이전트 기능을 더 안전하게 사용하는 방법이 있나요?
몇 가지 제안이 있습니다: 첫째, 로컬 에이전트보다는 API 기반 호출 방식을 우선 사용하세요. APIYI apiyi.com 플랫폼을 통해 Claude, GPT-4o, DeepSeek 등 주요 모델을 안전하게 호출할 수 있으며, 모든 요청은 통제된 환경에서 처리됩니다. 둘째, 로컬 에이전트가 정말 필요하다면, 반드시 최신 버전을 유지하고, 네트워크 노출을 제한하며, 검증된 공식 스킬만 사용하세요. 마지막으로, OAuth 권한 부여와 시스템 로그를 정기적으로 검토하세요.
요약
OpenClaw는 강력한 오픈소스 AI 에이전트 도구로서, 그 보안 문제는 간과할 수 없습니다. 높은 위험도의 CVE 취약점부터 악성 스킬 마켓, 프롬프트 주입부터 OAuth 토큰 지속성에 이르기까지, 각 위험 요소는 심각한 보안 사고로 이어질 수 있습니다.
OpenClaw 제거 핵심 단계 복습:
- 백그라운드 서비스 프로세스 중지
openclaw uninstall --all --yes --non-interactive실행~/.openclaw,~/.clawdbot,~/.moltbot,~/.molthub디렉토리 수동 정리- 모든 플랫폼의 OAuth 권한 부여 철회 (가장 중요한 단계)
- 정리 결과 확인
프로젝트에 AI 대규모 언어 모델 능력이 필요하다면, 로컬 에이전트의 보안 위험을 감수하지 않고도 Claude, GPT-4o, DeepSeek, Gemini 등 주요 모델의 통합 인터페이스 호출을 지원하는 안전한 API 호출 방식을 APIYI apiyi.com을 통해 사용하는 것을 권장합니다.
본문은 APIYI 기술 팀이 작성하였으며, AI 대규모 언어 모델 기술 동향과 보안 실천 방안에 관심을 가지고 있습니다. 더 많은 AI 기술 튜토리얼은 APIYI 도움말 센터(help.apiyi.com)를 방문해 주세요.
