OpenClaw란 무엇인가요? 오픈 소스 AI 어시스턴트 안내서

대부분의 AI 도구는 질문에 답하는 데 시간을 씁니다. OpenClaw는 행동을 실행하도록 만들어졌습니다. 이 차이가 출시 몇 달 만에 GitHub 전체 별점 순위에서 리눅스를 앞지르게 만든 이유입니다.

정확히 말하면, OpenClaw는 AI 모델을 터미널, 파일, 브라우저, 메신저 앱과 연결하는 자체 호스팅 런타임입니다. WhatsApp 메시지를 보내면 디스크를 검색하고, 쉘 스크립트를 실행하고, 웹 페이지를 확인한 뒤 같은 스레드로 답장을 보낼 수 있습니다. 챗봇은 이런 일을 하지 못합니다.

다만, 소개는 현실보다 간결하게 들립니다. OpenClaw는 기술적 설정이 필요하고, 2026년의 보안 이력에는 중대한 사고가 있으며, 공개 스킬 레지스트리는 조직적인 멀웨어 캠페인의 타격을 받았습니다. 시작하기 전에 알아둘 가치가 있는 부분입니다.

OpenClaw란 무엇인가요?

OpenClaw는 무료이자 오픈 소스(MIT 라이선스)이며, 사용자가 소유한 하드웨어에서 실행하도록 설계되었습니다. PSPDFKit으로 알려진 오스트리아 개발자 Peter Steinberger가 만들었고, 2025년 11월에 Clawdbot으로 출시되었습니다. 이름과 관련해 Anthropic이 상표권 문제를 제기하면서 2026년 1월 27일에 Moltbot으로 바뀌었고, Steinberger의 말대로 "Moltbot은 발음이 영 자연스럽지 않았다"는 이유로 3일 뒤 OpenClaw가 되었습니다. 바닷가재 마스코트 Molty는 모든 개명을 거쳐 살아남았습니다.

OpenClaw는 모델을 로컬 도구와 연결합니다. 이미지: 필자 제작.

초기에 많은 사람이 헷갈리는 점이 하나 있습니다. OpenClaw는 AI 모델이 아닙니다. 별도로 설정한 제공자(클라우드 또는 로컬)에 연결하면, 모델이 추론을 담당하고 OpenClaw는 라우팅, 메모리, 도구 실행을 처리합니다.

핵심은 Gateway라는 Node.js 서비스입니다. 백그라운드에서 포트 18789로 실행되며, 사용자의 채팅 앱과 모델 사이에서 메시지를 라우팅하고, 도구 호출을 실행하며, 연결된 앱이 API 키에 직접 접근하지 못하도록 키를 보관합니다.

이 모든 점이 챗봇과 크게 다르게 만듭니다. OpenClaw는 셸 명령을 실행하고, 파일을 읽고 쓰며, 브라우저를 제어하고, 사용자가 보지 않을 때도 일정에 따라 작업을 수행할 수 있습니다.

OpenClaw가 인기를 끈 이유

OpenClaw는 첫날 9,000개의 GitHub 스타에서 66일 만에 195,000개를 넘어섰고, 쿠버네티스보다 18배 빠른 속도였다고 전해집니다.

개발자들은 오래전부터 이런 것을 원했습니다. 답변만 하는 것이 아니라 작업을 완료하고, 자신의 하드웨어에서 실행되며, 앱들과 연결되는 어시스턴트를요.

2026년 4월까지 프로젝트는 346,000개 이상의 스타를 넘었습니다. Steinberger는 2026년 2월 15일에 OpenAI 합류를 발표했고, 프로젝트는 OpenAI의 지원을 받는 재단 구조로 이동했습니다. 전통적인 의미의 인수는 아니며, MIT 라이선스와 커뮤니티 소유 상태를 유지했습니다.

평가는 엇갈립니다. 아이디어를 좋아하는 사용자도 있고, 설정, 신뢰성, 비용 문제에 부딪히는 사용자도 있습니다. 복잡한 자동화는 기대만큼 성과를 내지 못하고 토큰 비용은 사람들을 놀라게 합니다. 또한, 설정이 초보자 친화적이지도 않습니다.

OpenClaw의 작동 방식: Gateway, 도구, 에이전트 루프

모든 것이 Gateway를 통해 라우팅되며, 이 단일 제어 지점이 OpenClaw를 단순한 모델 래퍼와 구분 짓습니다.

메시지를 보내면, Gateway는 사용 중인 채널에서 메시지를 받아 에이전트의 메모리 파일과 로드된 스킬에서 컨텍스트를 붙여 구성된 AI 모델로 전달합니다. 모델이 동작(명령 실행, 페이지 방문, 파일 읽기)을 원하면 그 의도를 Gateway로 다시 신호합니다. Gateway는 호스트 시스템(또는 설정한 경우 샌드박스)에서 동작을 실행하고 결과를 반환합니다. 최종 응답을 내기 전에 여러 단계를 연쇄할 수 있습니다.

모델은 파일 시스템이나 터미널과 직접 통신하지 않습니다.

모든 동작은 Gateway를 경유합니다. 이미지: 필자 제작.

메모리와 스케줄링

OpenClaw는 에이전트 작업공간(~/.openclaw/workspace)의 일반 Markdown 파일에 메모리를 저장합니다. 메인 파일 MEMORY.md에는 각 세션 시작 시 로드되는 지속 정보와 선호 설정이 담깁니다. SOUL.md는 성격과 톤을 정의합니다. AGENTS.md에는 동작 규칙이 저장됩니다. 모델은 세션 시작 시 이 모두를 읽기 때문에, 사용자가 한 편집은 재시작 후에도 유지됩니다.

스케줄링은 두 트랙으로 동작합니다. 하트비트는 기본적으로 대부분의 제공자에서 30분 간격으로 메인 세션에서 정기 체크인을 합니다. HEARTBEAT.md 체크리스트는 매번 무엇을 검토할지 에이전트에 알려줍니다. 크론 작업은 격리된 세션에서 정확한 시간에 실행되며, 일일 보고처럼 타이밍이 실제로 중요한 경우에 적합합니다. 둘 다 실행할 때마다 토큰을 소모하므로, (팁) 끝이 정해지지 않은 작업에는 명확한 중단 조건을 꼭 두는 것이 좋습니다.

지원 모델과 채널

OpenClaw는 하나의 모델 제공자에 묶여 있지 않습니다. Anthropic, OpenAI, Google, AWS Bedrock, 그리고 Ollama 또는 LM Studio를 통한 로컬 서버와도 작동합니다. 로컬 모델은 세션 시작 시 OpenClaw가 주입하는 컨텍스트가 많기 때문에 최소 64,000토큰 컨텍스트 윈도우가 필요합니다. 채널 측면에서는 WhatsApp, Telegram, Discord, Slack, Google Chat, Signal, iMessage, Matrix, Microsoft Teams 등과 연동됩니다.

OpenClaw 사용 사례: 실제로 무엇을 할 수 있나요?

유용성은 작업을 얼마나 명확히 정의하느냐에 달려 있습니다. 넓은 요청은 표류하고, 입력이 명확한 좁고 반복 가능한 작업이 잘 동작하는 경향이 있습니다.

• 개인 생산성: 가장 안정적으로 보고되는 사용 사례는 아침 브리핑입니다. 하트비트 스케줄로 최근 이메일, 캘린더 이벤트, 뉴스 등을 모아 요약을 휴대폰으로 보내는 작업입니다.
• 개발자 워크플로: OpenClaw는 리포지토리를 검사하고, 빌드 스크립트를 실행하고, 로그를 확인하며, GitHub CLI 또는 MCP 서버를 통해 PR을 관리할 수 있습니다. 만료일이 있는 리포지토리 범위 토큰을 사용하세요. 광범위한 셸 접근은 유용하지만, 범위에 들어온 .env 파일에서 자격 증명이 유출되거나 실수로 파일을 삭제할 가능성이 가장 높은 부분이기도 합니다.
• 웹 자동화: 에이전트는 페이지를 탐색하고 데이터를 추출하며 Chrome DevTools Protocol을 통해 브라우저 인터페이스와 상호작용할 수 있습니다. 다만, 실제 페이지와 HTML에 악성 지시가 포함된 페이지를 구분하진 못합니다. 브라우저 권한을 주는 순간 외부 콘텐츠는 공격 표면이 됩니다. 보안 섹션에서 그와 정확히 일치하는 사례를 다루겠습니다.
• 파일 및 문서 관리: 작업공간 루트가 민감한 내용이 전혀 없는 전용 폴더일 때 잘 작동합니다. 실패 패턴은 예측 가능합니다. 홈 디렉터리에 접근을 주면, 언젠가 공유 의도가 없던 내용을 읽게 됩니다.
• 예약 자동화: 반복적이고 잘 정의된 작업에 신뢰할 수 있습니다. 한 문서화된 사례에서는 토큰 제한 없이 열린 작업이 실행되며 하루 만에 API 비용이 수천 달러에 달했습니다. 일정을 잡기 전에 제한을 설정하세요.

OpenClaw 스킬과 ClawHub: 알아둘 점과 피해야 할 점

스킬은 사용자가 OpenClaw의 내장 기능을 넘어 확장하는 방법입니다. 그리고 이것이 오픈 소스 에이전트 영역에서 심각한 공급망 공격을 받은 경로이기도 합니다.

스킬이란

스킬은 YAML 프런트매터와 Markdown 본문을 가진 SKILL.md 파일이 들어 있는 폴더입니다. 프런트매터에는 스킬 이름, 설명, 필요한 바이너리, 환경 변수를 선언합니다. 아래의 Markdown 본문은 자연어로, 현재 작업에 이 스킬이 적합하다고 판단될 때 에이전트가 따르는 지침입니다.

선택적으로 references/ 폴더에는 API 문서를, scripts/ 폴더에는 보조 스크립트를 둘 수 있습니다. 스킬은 컴파일된 코드가 아니라 텍스트이므로, 실행 전에 내용을 읽어볼 수 있습니다.

모든 스킬은 이 두 부분 형식을 따릅니다. 이미지: 필자 제작.

스킬은 AgentSkills 오픈 표준을 따르므로, 이 형식은 Claude Code, Cursor 등과도 호환됩니다. 실제로 ClawHub의 대부분 스킬은 OpenClaw의 게이트웨이 모델에 맞춰 작성되어, 다른 환경에서는 노출되지 않는 도구 접근에 의존하는 경우가 많습니다.

공개 레지스트리인 ClawHub(clawhub.ai)는 벡터 기반 의미 검색을 사용해 자연어 질의로 스킬을 찾을 수 있습니다. 게시하려면 최소 일주일 된 GitHub 계정이 필요합니다. 이 레지스트리는 2026년 초에 44,000개 이상의 스킬로 성장했습니다.

카테고리별로 구성된 ClawHub의 스킬 레지스트리. 이미지: 필자 제작.

ClawHavoc 공급망 공격

2026년 2월 1일, Koi Security의 연구원 Oren Yomtov는 ClawHub의 2,857개 스킬을 전수 감사해, 341개를 악성으로 식별했고 그중 335개가 ClawHavoc라 불리는 단일 조직 캠페인이었습니다. 이들은 사회공학을 활용해 가짜 "사전 준비" 섹션으로 사용자가 셸 명령을 붙여넣도록 유도했습니다. macOS의 페이로드는 Atomic macOS Stealer로, 브라우저 비밀번호, 키체인 항목, 암호화폐 지갑, SSH 키, Telegram 세션 데이터를 탈취했습니다.

상황은 계속 악화되었습니다. 2월 중순 레지스트리는 10,700개를 넘었고, 이후 분석에서는 여러 계정을 통해 악성 스킬이 1,000개 이상이라고 보았습니다. 31,000개+ 스킬의 광범위 감사에서 약 7.6%가 위험하다고 표시되었고, Snyk 스캔에서는 36%가 탐지 가능한 프롬프트 인젝션을 포함한다고 나왔습니다.

현재 ClawHub는 자동 스캔과 VirusTotal 연동을 운영해 많은 것을 잡아내지만, 지침 텍스트의 프롬프트 인젝션은 여전히 통과할 수 있습니다. 설치 전에 SKILL.md를 읽고, 정상 절차 외에 명령 붙여넣기나 외부 URL에서 바이너리 설치를 요구한다면 건너뛰세요. 첫날부터 서드파티 스킬을 잔뜩 설치하지도 마세요. 꼭 필요한 최소한으로 시작하고, 알려지지 않은 스킬은 민감한 파일과 계정에서 멀리 두세요.

OpenClaw 스킬과 Claude Skills 비교

두 형식 모두 SKILL.md 구조를 사용합니다. 차이는 실행 위치입니다. Claude Skills는 Anthropic의 관리 인프라 내부에서 실행됩니다. OpenClaw 스킬은 사용자의 머신, 에이전트의 전체 신뢰 경계 안에서 로컬 파일, 셸 명령, 브라우저 세션에 접근해 실행됩니다. 이 폭발 반경의 차이 때문에, 호스팅 환경보다 여기에서 공급망 위험이 더 중요해집니다.

OpenClaw 설정 방법

아래 단계는 상위 수준 흐름을 다룹니다. 스크린샷과 단계별 명령이 필요하다면, 저희의 OpenClaw 튜토리얼에서 처음부터 전체 과정을 안내합니다.

설치 전 준비

Node.js 24(또는 Node 22.19)와, 지원 모델 제공자의 API 키 또는 앞서 언급한 64,000토큰 컨텍스트 최소 요건을 충족하는 로컬 모델 서버가 필요합니다. Windows에서는 Ubuntu가 설치된 WSL2가 권장 경로이며, 네이티브 Windows는 게이트웨이 데몬 관련 제한이 있습니다. 기본 사용에 필요한 하드웨어는 가볍지만, 로컬 모델 구성은 얘기가 다릅니다.

먼저 결정할 한 가지: 어디에서 실행할 것인가요? 로컬 머신은 실험에 충분하지만, 항상 켜 두어야 하는 용도라면 기본 작업용 워크스테이션이 아닌 전용 VPS나 별도 머신을 사용하세요.

상위 수준 설정 흐름

curl -fsSL https://openclaw.ai/install.sh | bash

그다음 온보딩 마법사를 실행합니다:

openclaw onboard --install-daemon

모델 제공자 선택, API 키 설정, Gateway 구성을 단계별로 진행합니다. 완료 후 Gateway가 실행 중인지 확인합니다:

openclaw gateway status

그다음 대시보드를 엽니다:

openclaw dashboard

민감한 것을 연결하기 전, 위험이 낮은 채널에서 테스트 메시지를 먼저 보내 보세요.

포트 18789의 Control UI. 이미지: 필자 제작.

즉시 설정할 안전한 기본값

다른 모든 것보다 중요한 방화벽 명령 두 개가 있습니다. 무엇보다 먼저 실행하세요:

openclaw config set gateway.bind localhost
sudo ufw deny 18789/tcp

첫 번째는 Gateway를 루프백에만 바인딩합니다. 두 번째는 외부에서 해당 포트를 차단합니다. 피크 시점에 220,000개 이상의 OpenClaw 인스턴스가 인터넷에서 공개적으로 접근 가능했는데, 대부분은 이전 튜토리얼을 따라 이 단계를 건너뛴 탓이었습니다. 브라우저 자동화에는 전용 브라우저 프로필을 사용하세요. 스킬 설치 후에는 openclaw security audit --deep을 실행하세요. 인증 토큰을 사용하고, 민감한 파일은 작업공간 루트에 두지 마세요.

로컬에서 실행된다고 해서 안전하다는 뜻은 아닙니다. 셸 접근, 파일 접근, 메신저 앱 연결을 가진 로컬 인스턴스는 모델이 어디서 실행되든 실제 공격 표면입니다.

OpenClaw 보안 위험

다음 위험은 OpenClaw에 특화되어 있으며, 아래 여러 사고는 실제 사용자에게 악용되었습니다.

CVE 기록

CVE-2026-25253(CVSS 8.8)은 실제로 악용된 항목입니다. 2026.1.29 이전 버전에서는 악성 링크가 제어 인터페이스의 WebSocket 연결을 공격자 제어 서버로 조용히 리디렉션할 수 있었습니다. 핸드셰이크 중 피해자의 인증 토큰과 디바이스 키가 자동으로 전송되어, 조작된 링크 한 번 클릭이면 충분했습니다. 공격자가 이를 보유하면 Gateway를 완전히 제어하고 임의의 셸 명령을 실행할 수 있었습니다. 2026.1.29 패치에서 확인 프롬프트를 추가해 이를 차단했습니다.

CVE-2026-32922(CVSS 9.9)는 2026년 3월 29일 공개되었습니다. 최소 범위의 토큰 권한만 가진 호출자가 전체 관리자 권한으로 상승하고 연결된 모든 노드에서 원격 코드 실행을 달성할 수 있었습니다. 2026.3.11에 패치되었습니다. 인스턴스가 2026.3.11보다 오래되었다면 지금 업데이트하세요. 출시 이후 이 프로젝트에는 60건이 넘는 보안 권고가 접수되었습니다.

인터넷 노출과 프롬프트 인젝션

앞서 언급했듯, 피크 시점에는 220,000개 이상의 인스턴스가 공개 노출되었고, 17,500개 이상이 CVE-2026-25253 계열 공격에 취약했습니다. 현재 기본값은 루프백 바인딩이지만, 오래된 구성과 커뮤니티 튜토리얼은 항상 이를 반영하지 않습니다.

프롬프트 인젝션은 더 미묘한 문제입니다. OpenClaw는 업무 수행의 일부로 웹 페이지, 이메일, 문서, 로그를 읽습니다. 이들 중 어떤 것에 악성 지시가 포함되어 있다면, 에이전트가 이를 따를 수 있습니다. 2026년 3월의 Promptfoo 사례 연구는, 한 페이지를 방문하는 것만으로 에이전트가 자신이 접근 가능한 것을 확인하고, 로컬 파일을 읽고, 파일을 쓰고, 무단 메시지를 보내도록 한 사례를 보여줍니다. 브라우징, 파일 접근, 발신 메시징이 분리 없이 하나의 신뢰 경계를 공유했기 때문에 가능했습니다.

더 안 좋은 점은, 악성 소스가 SOUL.md나 AGENTS.md에 심어 놓은 지시는 세션과 재시작을 넘어 생존한다는 것입니다. 외부 트리거 없이도 에이전트는 이를 계속 가져갑니다.

위험을 줄이는 방법

대부분은 앞서 언급한 안전한 기본값과 같습니다. 정기적으로 업데이트하고, Gateway는 로컬호스트에 두고 포트를 차단하며, 인증 토큰을 사용하고, 민감한 파일은 작업공간 밖에 두고, 변경 후에는 감사를 수행하세요. 외부 입력을 다루는 작업에는 Docker 샌드박싱을 사용하고, 만료일이 있는 세분화된 API 토큰을 사용하며, SOUL.md와 AGENTS.md를 무심코 넘기는 텍스트가 아닌 모니터링하는 구성 파일로 취급하세요.

스킬 설치 후 감사 출력. 이미지: 필자 제작.

OpenClaw가 위험한 이유는 오픈 소스이기 때문이 아닙니다. 사용자가 그렇게 구성하면 특권 작업을 수행할 수 있기 때문입니다.

OpenClaw, 사용할 가치가 있나요? 솔직한 평가

이 부분은 제 견해이며 사실 주장과는 다릅니다. 단순히 답변하는 것이 아니라 행동하는 에이전트는 챗봇과는 다른 범주이며, OpenClaw는 그 명확한 사례입니다.

가치가 있는지는 거의 전적으로 누가 사용하느냐에 달려 있습니다. 터미널 도구, 로그, API 모니터링, 샌드박싱에 익숙한 개발자라면 좁은 워크플로에서 유용하게 만들 수 있습니다. 앞서 다뤘듯, 유지되는 설정은 좁은 것들입니다. 실패하는 것은 모든 도구를 연결하고, 읽지도 않고 스킬을 한 번에 여러 개 설치하며, 끝이 열려 있는 프롬프트로 하트비트를 돌려두고도 좋은 동작을 기대하는 경우입니다.

제 생각: 복잡한 자동화는 절약하는 시간보다 유지보수 비용이 더 클 수 있으며, 가장 신뢰할 만한 사용 사례는 일일 뉴스 요약일지도 모릅니다. 설정 노력 대비 수익이 얇습니다. 올바른 관점은 어시스턴트가 아니라 인프라입니다. 그렇게 여기고, 작게 시작하며, 엄격한 제한을 유지하세요. 똑똑한 소비자용 앱을 원한다면, 아직은 아닙니다.

OpenClaw vs. ChatGPT, Claude, Cursor, Zapier

ChatGPT와 Claude는 상태를 유지하지 않는 채팅 인터페이스입니다. 기본적으로 지속적 스케줄 작업도, 로컬 파일 접근도 없습니다.

Claude Code와 Cursor는 리포지토리 내부의 소프트웨어 개발에 범위가 한정되어 있습니다. 코드 측면에서는 OpenClaw보다 뛰어나지만 그게 전부입니다. Claude Code는 2026년 4월에 Routines라는 클라우드 호스팅 스케줄 기능을 추가해, 인프라 오버헤드 없이 OpenClaw의 HEARTBEAT 일부를 대체합니다.

Zapier와 n8n은 모든 단계가 사전에 정의된 결정론적 워크플로 도구로, 감사 가능성은 높지만, 자연어를 해석하는 에이전트에 비해 모호한 요청을 처리하는 능력은 떨어집니다.

2026년 커뮤니티의 한 관점은 이렇습니다. 애매한 작업의 추론 계층으로 OpenClaw, 대량의 예측 가능한 작업 실행 계층으로 n8n 또는 Zapier를 두고, 웹훅으로 연결하는 방식입니다. 둘은 항상 경쟁 관계가 아닙니다.

OpenClaw가 맞는 사람

반복되는 기술 워크플로를 자동화하는 개발자와 도구를 사용하는 에이전트를 연구하는 연구자가 가장 잘 맞습니다. 이미 자체 호스팅 서비스를 운영하는 홈랩 사용자에게도 설정은 익숙할 것입니다.

누가 OpenClaw를 피해야 하나요?

터미널 명령, 파일 권한, API 키 관리에 익숙하지 않다면 기다리세요. 설정은 초보자 친화적이지 않습니다.

또한 샌드박스 환경 없이 민감한 파일을 다루는 경우에도 보류하세요. 컴플라이언스 요구가 있는 팀은 AWS Bedrock Agents 같은 관리형 대안을 필요로 할 수 있습니다. 그리고 설치 전에 커뮤니티 스킬 코드를 살펴볼 의사가 없다면, 실제 자격 증명이 있는 머신에서 ClawHub 스킬을 실행하지 않는 편이 낫습니다.

결론

OpenClaw가 중요한 이유는, 무엇인가를 할 수 있는 개인용 AI 에이전트의 모습을 보여주기 때문입니다. 더 똑똑한 챗봇이 아니라, 파일, 셸, 브라우저, 메신저 앱에 접근하는 시스템입니다.

같은 이유로 위험도 현실적입니다. 아침 브리핑이나 PR 검토 워크플로를 가능하게 하는 접근 권한이 ClawHavoc이 자격 증명 탈취로 악용한 바로 그 접근입니다.

한 가지 작업부터 시작하세요. 격리된 환경에서 실행하세요. 제한을 두세요. 앞서 언급했듯, 설치 전 스킬을 검토하세요. OpenClaw는 배포하고 잊어버리는 제품이 아닙니다. 인프라이며, 처음부터 인프라로 다루는 태도가 실험이 사고로 번지는 것을 막습니다.

관련해서는 저희의 OpenClaw 프로젝트 가이드와 ClawHub 스킬 가이드에서 사람들이 무엇을 만들고 있는지 확인하세요. AI-Assisted Coding for Developers 코스는 더 넓은 에이전트 스킬을 다룹니다.