2025년 말, 오스트리아 개발자 페터 슈타인베르거(Peter Steinberger)가 공개한 오픈소스 AI 에이전트 '오픈클로(OpenClaw)'는 인터넷 역사상 가장 빠르게 성장한 소프트웨어 프로젝트 중 하나로 기록되었다. 오픈클로는 WhatsApp, Telegram, Slack, Discord, iMessage 등 사용자가 이미 쓰고 있는 메시징 플랫폼을 통해 명령을 받아, 개인 PC에서 직접 셸 명령 실행, 파일 읽기·쓰기, 웹 브라우저 조작, 이메일 발송, 캘린더 관리, 쇼핑, 항공권 예약 등 광범위한 작업을 자율적으로 처리한다. 나아가 장기 메모리 기능을 통해 사용자의 선호도와 맥락을 세션 간에 지속적으로 보유하면서, 마치 개인 비서처럼 진화해 나간다. OpenAI CEO 샘 알트먼도 오픈클로 기반 에이전트를 사용해 아침 메시지 관리를 자동화한 경험을 '강렬한 AGI의 순간'이라고 표현할 정도였다. 그러나 이 자율성이야말로 보안 위협의 진원지가 되었다.

오픈클로가 촉발한 보안 위기의 실상

하지만 오픈클로의 급부상은 동시에 2026년 최초의 대규모 AI 에이전트 보안 위기를 불러왔다. 보안 전문가들은 오픈클로의 구조가 사이버보안의 거의 모든 원칙을 위반한다고 경고한다. 시스코(Cisco)의 AI 보안 연구팀은 이를 '치명적 삼중 위협(lethal trifecta)'으로 규정했다. 민감한 사적 데이터에 대한 접근, 외부 비신뢰 콘텐츠 소비, 그리고 실제 명령 실행 권한이 한 몸에 결합되어 있다는 것이다.

[주요 취약점 및 보안 사고]

•      CVE-2026-25253 (CVSS 8.8): 2026년 2월 공개된 임계 취약점으로, 공격자가 피해자를 악성 웹페이지에 접속시키는 것만으로 오픈클로의 인증 토큰을 탈취하고 에이전트를 완전 장악할 수 있는 원클릭 RCE(원격코드실행) 취약점이다. 공격 체인은 '밀리초' 만에 완료된다고 보안 연구자들은 밝혔다.

•      대규모 인터넷 노출: SecurityScorecard는 2026년 2월 기준 82개국에 걸쳐 4만 214개의 오픈클로 인스턴스가 인터넷에 노출되어 있음을 확인했으며, 이 중 35.4%가 취약한 상태로 운영 중이었다. 일부 집계에서는 1만 2,812개 인스턴스가 원격 코드 실행 공격에 취약한 것으로 나타났다.

•      악성 스킬 공급망 오염: 오픈클로의 공개 마켓플레이스 '클로허브(ClawHub)'를 통해 335~386개의 악성 스킬이 유포되었다. 전체 스킬의 약 12%가 악성인 것으로 파악되었으며, 일부는 키로거(keylogger)나 Atomic Stealer 악성코드를 설치했다. Cisco AI 보안팀은 제3자 스킬이 사용자 인지 없이 데이터를 외부 서버로 유출하는 프롬프트 인젝션을 확인했다.

•      몰트북(Moltbook) 데이터 유출: 오픈클로 에이전트 전용 소셜 플랫폼 몰트북에서 3만 5천 개의 이메일 주소와 150만 개의 에이전트 API 토큰이 노출된 미보안 데이터베이스가 발견되었다.

오픈클로 현상은 빅테크에게 위협이자 기회였다. 시장 수요는 명백히 존재했지만, 오픈소스의 무질서한 확산이 불러온 보안 사고는 '폐쇄형·관리형 에이전트'의 필요성을 역설해 주었다. Google, Meta, Microsoft, Perplexity 등 주요 플레이어들이 일제히 개인 PC 및 모바일 기반 AI 에이전트 시장에 진출을 선언했다.

Google: Remy와 Gemini 에코시스템 통합 전략

Google은 'Remy'라는 코드명의 AI 에이전트를 Gemini 앱 내부 직원 전용 버전에서 내부 테스트 중이다. 내부 문서에 따르면 "Remy는 Gemini를 기반으로 한 업무, 학교, 일상 전반을 위한 24시간 개인 에이전트"로 정의되며, 단순 질의응답을 넘어 "사용자를 대신해 실제 행동을 수행하는 진정한 어시스턴트"로 Gemini 앱을 진화시키는 것을 목표로 한다. Remy는 Gmail, 캘린더, 문서, 드라이브, Android 서비스, 스마트홈 시스템, 서드파티 앱 등 Google의 광범위한 생태계와 깊이 연동될 예정이다.

Meta: Hatch와 인스타그램 플랫폼 내재화 전략

Meta는 'Hatch'라는 이름의 AI 에이전트를 개발 중이다. 오픈클로에서 영감을 얻은 Hatch는 쇼핑, 결제, 문서 작업 등을 자율적으로 수행하도록 설계되었으며, DoorDash, Etsy, Reddit 등 실제 소비자 앱을 모델링한 가상 환경에서 훈련을 진행 중이다. 현재 Anthropic의 Opus 4.6 및 Sonnet 4.6 모델을 활용해 구축 중이나, 출시 시점에는 자사 AI 모델 'Muse Spark'를 탑재할 계획이다. 6월 말 내부 테스트 완료를 목표로 하고 있다. 마크 저커버그는 이를 '개인화된 초지능(personalized superintelligence)'을 위한 핵심 기술로 규정하며, 오픈클로보다 더 완성도 높고 사용하기 쉬운 경험을 제공하겠다는 포부를 밝혔다.

향후 전망

오픈클로는 개인 PC에 소프트웨어를 설치하는 방식을 선택했지만, 이것이 기술적 장벽이자 보안 사고의 원천이었다. 반면 구글의 Remy는 수십억 명이 이미 사용하는 Gemini 앱 안에, 메타의 Hatch는 인스타그램 안에 들어온다. 이 전략은 빅테크가 플랫폼 수준에서 보안·권한·데이터 거버넌스를 통제할 수 있게 해준다. Anthropic은 '클로드 매니지드 에이전트(Claude Managed Agents)'를 통해 내장형 샌드박싱, 범위 제한 권한, 상태 관리, 엔드-투-엔드 추적 기능을 갖춘 호스팅 인프라를 제공하며 같은 방향으로 진화하고 있다.

오픈클로 보안 사태는 AI 에이전트 시장에 두 가지 과제를 남겼다. 첫째, '최소 권한 원칙’적용이다. Microsoft 보안 부사장은 "모든 에이전트는 인간과 동일한 수준의 보안 보호를 가져야 한다"고 강조하며, 에이전트별 명확한 신원 부여, 접근 정보·시스템의 제한, 생성 데이터의 관리가 필수라고 밝혔다. 둘째, 에이전트 스킬·플러그인 마켓플레이스의 검증 체계다. 오픈클로 사태에서 드러난 것처럼, 검증 없는 오픈 마켓플레이스는 공급망 공격의 온상이 된다.

결국 AI 에이전트 경쟁의 승패는 단순한 성능이 아니라 ‘신뢰 가능한 실행 환경’을 누가 구축하느냐에 달려 있다. 사용자의 PC를 대신 조작하고, 데이터를 읽고, 결제를 수행하는 에이전트 시대에는 편의성보다 보안과 통제 구조가 먼저 검증되어야 한다. 오픈클로 사태는 개방성과 혁신만으로는 시장을 지배할 수 없다는 사실을 보여준 상징적 사건이다.

앞으로의 AI 에이전트 플랫폼은 단순한 챗봇이 아니라, 운영체제·앱스토어·클라우드 보안 모델이 결합된 새로운 디지털 인프라로 진화할 가능성이 크다. 그리고 그 중심에는 ‘누가 더 똑똑한 AI를 만들었는가’보다 ‘누가 더 안전하게 AI를 통제할 수 있는가’라는 질문이 놓이게 될 것이다.