OpenClaw의 아키텍처, 스킬 시스템, CVE-2026-25253 보안 위기, ClawHub 악성 스킬 12% 오염, Claude Code·Cursor와의 실무 비교를 정리한다.
한 줄 요약: OpenClaw는 GitHub 스타 21만 개를 돌파한 오픈소스 AI 에이전트 플랫폼이다. WhatsApp, Slack, Discord 등 메신저에 연결해 로컬 머신에서 자율적으로 작업을 수행하지만, ClawHub 스킬 12%가 악성으로 확인되는 등 심각한 보안 위기도 함께 진행 중이다.
이 글이 필요한 사람
기준일: 2026년 3월 23일. 출처: KDnuggets, Dark Reading, Wikipedia
OpenClaw는 오스트리아 개발자 Peter Steinberger가 만든 MIT 라이선스 오픈소스 AI 에이전트 프레임워크다. 2025년 11월 공개 후 2026년 1월 GitHub 스타가 9,000개에서 6만 개로 폭등했고, 3월 기준 21만 개를 넘겼다.
일반적인 챗봇과 다른 점은 실제 컴퓨터 작업을 수행한다는 것이다. 파일 관리, 이메일 전송, API 호출, 브라우저 자동화, 쉘 명령 실행까지 사용자 로컬 머신에서 직접 처리한다.
핵심 특징:
OpenClaw의 아키텍처는 3개 핵심 레이어로 구성된다:
1. Gateway (제어 플레인)
항상 실행되는 Node.js 데몬으로, 세션 관리·채널 라우팅·도구 디스패치·이벤트 처리를 담당한다. 메신저에서 메시지가 들어오면 Gateway가 에이전트 세션으로 라우팅하고, LLM 호출 후 결과를 원래 채널로 반환한다.
2. Skills (확장 플러그인)
각 스킬은 SKILL.md 파일로 정의되며, 3가지 유형이 있다:
| 유형 | 설명 | 예시 |
|---|---|---|
| Bundled | 기본 내장 스킬 | 파일 읽기, 쉘 실행 |
| Managed | ClawHub에서 설치 | Jira 연동, 데이터 시각화 |
| Workspace | 로컬 커스텀 스킬 | 사내 API 호출 스크립트 |
3. Tools (내장 도구)
브라우저 자동화, 파일 시스템 접근, cron 스케줄링, 웹훅, 카메라/스크린 녹화 등이 기본 제공된다.
메모리 시스템: 데이터베이스를 쓰지 않는다. Markdown 다이어리 엔트리(Memory/2026-03-23.md)에 대화 로그를 기록하고, 세션 종료 시 중요 정보를 MEMORY.md로 승격시킨다.
OpenClaw는 2026년 최초의 대규모 AI 에이전트 보안 위기를 촉발했다. 핵심 이슈는 3가지다.
1. 원클릭 RCE 취약점 (CVE-2026-25253, CVSS 8.8)
악성 웹사이트가 WebSocket을 통해 로컬 OpenClaw 인스턴스를 하이재킹할 수 있는 "ClawJacked" 취약점이 발견됐다. 사용자가 악성 링크를 클릭하면 공격자가 쉘 명령을 원격 실행할 수 있었다.
2. ClawHub 악성 스킬 오염
보안 연구자들이 ClawHub에서 341개 악성 스킬(전체 2,857개 중 약 12%)을 확인했다. 전문적인 문서와 무해한 이름을 사용해 정상 스킬로 위장한 것이 특징이다. 설치 시 자격증명 탈취, 데이터 유출, 백도어 설치가 실행된다.
3. 13만 5천 인스턴스 인터넷 노출
82개국에서 13만 5천 개 OpenClaw 인스턴스가 공개 인터넷에 노출됐고, 이 중 1만 5천 개가 RCE에 취약한 상태다. Slack, Google Workspace 연동 인스턴스는 메시지·이메일·OAuth 토큰까지 접근 가능하다.
개발자 대응 체크리스트:
OpenClaw가 화제인 이유 중 하나는 Claude Code, Cursor와 겹치는 영역이 있으면서도 근본적으로 다른 도구라는 점이다.
| 비교 항목 | OpenClaw | Claude Code | Cursor |
|---|---|---|---|
| 핵심 용도 | 범용 AI 비서 | 코딩 에이전트 | AI 코드 에디터 |
| 실행 환경 | 로컬 데몬 + 메신저 | 터미널 | IDE (VS Code 포크) |
| 자율성 | Fire-and-forget 가능 | 세션 내 자율, 터미널 필요 | 편집기 내 자율 |
| 코드 품질 | 범용적 (LLM 의존) | 코드베이스 깊이 이해 | 컨텍스트 인식 편집 |
| 보안 모델 | 로컬이지만 쉘 실행 위험 | 권한 제어 + 샌드박스 | IDE 내 제한 |
| 비용 | 무료 (LLM API 비용 별도) | ~$5/월 (경량 사용) | $20/월 |
| 팀 활용 | 1대 배포로 팀 공유 | 개인 단위 | Business 플랜 별도 |
판단 기준:
OpenClaw 도입을 검토 중이라면 아래 3가지를 먼저 확인해야 한다.
1. 보안 환경 점검
OpenClaw는 로컬 머신에서 쉘 명령을 실행하는 에이전트다. 프로덕션 서버나 민감 데이터가 있는 환경에서는 격리된 VM/컨테이너에서만 실행해야 한다. Slack이나 Google Workspace를 연결하면 에이전트가 모든 메시지와 파일에 접근할 수 있다는 점을 인지해야 한다.
2. 스킬 감사 프로세스
ClawHub 스킬의 12%가 악성이었다. 도입 시 아래 프로세스를 반드시 적용해야 한다:
3. 적합한 유스케이스 선별
OpenClaw가 빛나는 영역은 반복적이고 다채널에 걸친 자동화다. 코드 작성이 주 업무라면 Claude Code나 Cursor가 더 적합하다. OpenClaw는 "Slack에서 지시하면 파일을 정리하고, 리포트를 생성하고, 이메일로 보내는" 워크플로우에서 진가를 발휘한다.
OpenClaw의 폭발적 성장은 AI 에이전트가 "실험"에서 "일상 도구"로 전환되고 있다는 신호다. 하지만 보안 성숙도는 아직 성장 속도를 따라가지 못하고 있다.
지금 해야 할 것:
OpenClaw 창시자 Steinberger가 OpenAI에 합류한 만큼, 프로젝트의 독립성과 방향성에도 주목할 필요가 있다. 오픈소스 커뮤니티가 이 전환을 어떻게 소화하느냐에 따라 OpenClaw의 장기 생존 여부가 결정될 것이다.
참고 자료: OpenClaw GitHub · Reco.ai 보안 분석 · The Hacker News — ClawJacked · CNBC
