요즘 개발자 커뮤니티에서 OpenClaw 이야기 안 하는 데가 없다. 맥미니가 품절되고, 보안 사고가 줄줄이 터지고, 대기업들이 금지령까지 내렸다. 이 글에서는 대체 무슨 일이 있었는지, 보안 리스크는 뭔지, 그리고 내가 직접 만들어서 쓰고 있는 AI 자동화 시스템까지 한번에 정리해본다.
솔직히 이 주제로 글을 쓸까 말까 고민했는데, 직접 맥미니 사서 OpenClaw 돌려본 사람이 쓰는 게 낫지 않나 싶어서 결국 쓰게 됐다.
OpenClaw, 대체 뭐길래 이 난리인가
핵심만 말하면, OpenClaw는 내 컴퓨터에 설치하는 AI 비서다. 텔레그램이나 디스코드로 "이거 해줘"라고 메시지를 보내면, AI가 알아서 웹 검색하고, 파일 정리하고, 코드도 실행한다.
기존 ChatGPT나 Claude 같은 챗봇과 결정적으로 다른 점이 하나 있는데, 챗봇은 대화만 하지만 OpenClaw는 실제로 내 컴퓨터를 조작한다는 거다. 파일을 열고, 터미널 명령을 실행하고, 브라우저를 제어한다. 그냥 "행동하는 AI"인 거다.
처음 봤을 때 "이거 그냥 셸 스크립트에 LLM 붙인 거 아닌가?" 싶었는데, 써보면 생각보다 완성도가 있었다.
이름이 좀 재밌는데, 원래 Clawdbot이었다가 Anthropic이 Claude랑 비슷하다고 태클 걸어서 Moltbot으로 바꿨다가, 발음이 영 아니라 결국 OpenClaw로 정착했다. 이름이 세 번이나 바뀌었는데도 인기가 식지 않은 게 이 프로젝트의 열기를 말해주는 것 같다.
맥미니 대란: 89만원짜리 AI 서버
2026년 1월 말, 좀 이상한 일이 벌어졌다. 아마존에서 M4 맥미니가 순식간에 품절된 거다. 개발자들 사이에서 "나도 샀다" 인증샷이 쏟아지고, 중고 가격까지 뛰었다.
원인은 OpenClaw였다. 24시간 AI 에이전트를 돌리려면 항상 켜둘 수 있는 서버가 필요한데, M4 맥미니가 딱이었던 거다.
| 항목 | M4 맥미니 | 일반 데스크톱 | 클라우드 VPS |
|---|---|---|---|
| 가격 | 89만원 (일시불) | 70-150만원 | 월 5-10만원 |
| 대기 전력 | 4-7W | 30-80W | 해당 없음 |
| 소음 | 거의 무음 | 팬 소음 | 해당 없음 |
| 크기 | 12.7cm 정사각 | 큼 | 해당 없음 |
| 데이터 위치 | 내 집 | 내 집 | 해외 서버 |
사실 OpenClaw 자체는 경량 앱이라 맥미니까지 필요 없다는 의견도 꽤 있다. N100 미니PC나 심지어 오래된 안드로이드 폰에서 돌린 사례도 있으니까. 근데 macOS 생태계의 편리함, 4-7W라는 전기세 걱정 없는 대기전력, 그리고 "어차피 개발용으로도 쓰지 뭐"라는 심리가 맞물려서 맥미니가 선택받은 거다.
Tip: OpenClaw만 돌릴 거라면 10만원대 N100 미니PC로도 충분하다. 하지만 홈서버 겸 개발 머신으로 함께 쓸 계획이라면 M4 맥미니의 가성비는 확실하다. 대기전력 4-7W면 한 달에 전기세 몇 백 원이거든.
보안 대참사: 4만 2천 개 인스턴스가 인터넷에 노출
여기서부터 분위기가 확 달라진다.
보안 연구원 Maor Dayan은 OpenClaw를 "자주적 AI 역사상 최대 보안 사고"라고 불렀는데, 과장이 아니었다.
- 인터넷에 노출된 OpenClaw 인스턴스: 4만 2천 개 이상
- 그중 인증 우회 가능한 비율: 93%
- SecurityScorecard 추가 조사 결과: 13만 5천 개 노출 확인
93%가 인증 우회 가능이라는 게 실화인가 싶었는데, 기본 설정 자체가 그렇게 생겨먹었더라.
문제의 핵심은 기본 설정이다. OpenClaw를 설치하면 0.0.0.0:18789로 바인딩되는데, 이게 뭐냐면 내 컴퓨터의 모든 네트워크 인터페이스에서 접속을 허용한다는 뜻이다. 공유기 뒤에 있으면 그나마 괜찮지만, 포트포워딩을 했거나 클라우드 서버에 설치했다면 전 세계 누구나 접속할 수 있게 된다.
CVE-2026-25253: 링크 클릭 한 번으로 PC 탈취
2월 초에 더 심각한 취약점이 공개됐다. CVSS 8.8점짜리 원격 코드 실행(RCE) 취약점, CVE-2026-25253이다.
공격 방식이 교묘하다.
- 공격자가 악성 링크를 보낸다
- 피해자가 클릭하면, OpenClaw가 URL의
gatewayUrl파라미터를 검증 없이 수락한다 - 인증 토큰이 공격자 서버로 넘어간다
- 공격자는 이 토큰으로 WebSocket 연결을 맺고 임의 명령을 실행한다
링크 한 번으로 내 컴퓨터가 통째로 넘어가는 거다. 방화벽도 소용없다. 피해자의 브라우저를 다리 삼아 로컬 네트워크를 우회하거든.
이거 처음 읽었을 때 솔직히 좀 소름 돋았다. URL 파라미터 하나 검증 안 한 게 이렇게까지 되는구나 싶어서.
네카당 금지령: 딥시크 이후 1년 만에 다시
2월 8일, 네이버, 카카오, 당근마켓이 동시에 오픈클로 사내 사용 금지 공지를 내렸고, 이틀 뒤 SK그룹까지 합류했다. 특정 AI 도구에 대해 국내 IT 대기업들이 공동 금지령을 내린 건 딥시크 사태 이후 약 1년 만이다.
금지 이유는 간단하다. OpenClaw는 사용자 권한으로 컴퓨터를 통째로 제어하는데, 사내에서 돌리면 내부 코드, 문서, API 키 같은 민감 정보가 외부 AI 모델에 그대로 전송될 수 있으니까. 우리 회사에선 별도 공지까지는 못 본 것 같은데, 회사에서 쓰기엔 부담스러울 것 같아서 시도할 생각은 아직 없다.
회사 코드베이스를 통째로 AI에 먹이는 건... 아무리 편해도 좀 아닌 것 같다.
그래서 나는 어떻게 하고 있는가
OpenClaw의 "메신저로 AI에게 일 시키기"라는 컨셉은 솔직히 매력적이다. 나도 대란 때 맥미니를 못 구할 뻔했는데 당근에서 운 좋게 구해서 OpenClaw를 테스트해봤다. 근데 API 키 비용 부담도 되고, 불필요한 기능도 많았다. 그래서 다른 사람들의 후기를 참고해서 새로운 프로젝트를 Claude Code로 직접 만들었다.
사실 Claude Code 맥스 요금제를 내고 있는데 거기에 API 키 비용을 또 내는 게 좀 아까웠거든. 이미 내고 있는 걸 최대한 뽑아먹자는 마인드로 시작한 거다.
이 모든 기능을 핸드폰으로 AI와 대화하면서 AI가 알아서 만들어줄 수 있는지 실험해봤는데, 결론은 놀랍게도 된다. 진짜 된다.
폰으로 "대시보드 만들어줘"라고 보내고 밥 먹고 오니까 대시보드가 돌아가고 있었다. 세상이 많이 바뀌긴 했다.
지금 운영 중인 자동화 시스템
| 서비스 | 하는 일 | 스택 |
|---|---|---|
| 자동매매 서버 | 암호화폐 자동매매, 전략 실행 | Python + FastAPI |
| 텔레그램 봇 | 메신저로 서버 제어, 알림 수신 | Bun + grammY |
| 디스코드 봇 | 서버 상태 조회, 명령 실행 | Bun + discord.js |
| 개인 대시보드 | 전체 서비스 모니터링, 원클릭 관리 | React + FastAPI |
| 수익형 블로그 | AI 파이프라인으로 콘텐츠 생성 | Next.js + Bun |
구조만 보면 OpenClaw가 하는 일이랑 비슷하다. 텔레그램으로 명령 보내면 서버가 동작하고, 대시보드에서 전체를 모니터링하고, AI가 자동으로 콘텐츠까지 만든다.
OpenClaw와 뭐가 다른가
첫째, 서비스가 각각 독립적이다. OpenClaw는 하나의 에이전트가 전부 하지만, 내 시스템은 기능별로 분리되어 있다. 자동매매 서버에 문제가 생겨도 블로그는 멀쩡하고, 하나가 뚫려도 나머지는 영향이 없다.
둘째, AI의 권한이 제한적이다. OpenClaw는 AI가 알아서 판단하고 행동하는데, 솔직히 그게 좀 무섭더라. 내 시스템에서 AI는 "글을 써주는 도구"일 뿐, 서버에 직접 접근하거나 파일을 건드리는 권한은 없다.
셋째, 보안을 내가 직접 설계했다. API 토큰 인증, 세션 기반 로그인, 서비스별 격리. 어디에 어떤 인증이 걸려있는지 전부 파악하고 있다. 0.0.0.0에 바인딩돼서 세상에 노출되는 일은 없다.
Tip: 이런 시스템을 만드는 데 반드시 프로그래밍 고수일 필요는 없다. 요즘은 Claude Code 같은 도구로 "텔레그램 봇 만들어줘"라고 하면 기본 코드를 뚝딱 뽑아준다. 중요한 건 "무엇을 만들지" 정하는 거지, 코드를 한 줄 한 줄 짜는 게 아니거든.
OpenClaw를 안전하게 쓰려면
그래도 OpenClaw를 쓰고 싶은 분들을 위해, 최소한의 보안 체크리스트다.
| 항목 | 조치 내용 | 중요도 |
|---|---|---|
| 버전 업데이트 | v2026.1.29 이상으로 즉시 업데이트 | 필수 |
| 바인딩 주소 변경 | 0.0.0.0 → 127.0.0.1로 수정 |
필수 |
| 인증 토큰 설정 | 기본값 절대 금지, 강력한 토큰 생성 | 필수 |
| 실행 권한 제한 | God Mode 끄기, 최소 권한 원칙 | 권장 |
| 포트 차단 | 방화벽에서 18789 포트 외부 접속 차단 | 권장 |
| 기기 분리 | 업무용 PC와 별도 기기에서 실행 | 권장 |
가장 중요한 건 업무용 PC에서는 절대 돌리지 않는 것이다. 개인용 별도 기기에서, 민감한 정보가 없는 환경에서 쓰자.
이 체크리스트 귀찮다고 건너뛰는 사람이 93%에 포함되는 거다. 제발 5분만 투자하자.
FAQ
Q. OpenClaw는 무료인가요?
OpenClaw 자체는 오픈소스라 무료다. 다만 뒤에서 AI 모델을 쓰려면 OpenAI, Anthropic 같은 API 비용이 따로 든다. 로컬 LLM을 연결하면 API 비용은 없지만, 이 경우 상당히 고사양 하드웨어가 필요하다.
Q. 맥미니 말고 다른 기기로도 되나요?
된다. OpenClaw 자체가 가벼운 앱이라 N100 미니PC, 라즈베리파이, 오래된 노트북으로도 충분하다. 다만 macOS 전용 기능인 단축어 연동이나 iMessage 통합을 쓰려면 맥이 있어야 한다.
Q. 회사에서 쓰면 안 되나요?
2026년 2월 기준으로 권장하지 않는다. 네이버, 카카오, 당근, SK 등 주요 기업들이 금지한 이유가, OpenClaw가 사용자 권한으로 시스템을 제어하면서 내부 데이터가 외부 AI 모델에 전송될 수 있기 때문이다. 보안 패치가 나오긴 했지만 근본적인 구조 문제가 해결된 건 아니다.
Q. 직접 자동화 시스템을 만들려면 어디서 시작하나요?
가장 쉬운 시작점은 텔레그램 봇이다. 텔레그램 BotFather로 봇을 만들고, 간단한 명령어 응답부터 시작하면 된다. Python이나 JavaScript로 30줄이면 기본 봇이 완성된다. 거기에 원하는 기능을 하나씩 붙여나가면 된다.
결국 중요한 건 "통제권"
OpenClaw 열풍이 보여준 건 명확하다. 사람들은 AI를 질문-답변 도구가 아니라, 실제로 일을 대신 해주는 에이전트로 쓰고 싶어한다.
근데 그 편리함에는 대가가 있다. 4만 개 넘는 인스턴스가 인터넷에 노출되고, 링크 하나로 PC가 통째로 넘어갈 수 있는 상황은 "편하니까 괜찮아"로 넘길 수준이 아니다.
직접 시스템을 만들면서 느낀 건 하나다. 결국 중요한 건 내가 이해하고 통제할 수 있느냐이다. 남이 만든 도구가 빠르고 편하지만, 그 안에서 뭐가 돌아가는지 모르면 리스크도 모르는 거니까.
귀찮아도 직접 만드는 게 결국은 남는 거라고 생각한다. 시간은 걸려도 내 것이 되니까.