OpenClaw, GitHub 250K Stars AI 에이전트가 촉발한 보안 위기와 상품화 논쟁

오스트리아의 한 개발자가 1시간 만에 만든 프로젝트가 GitHub 역사상 가장 빠르게 성장한 소프트웨어 가 되었습니다. 250,000개 이상의 stars를 기록하며 React를 추월한 OpenClaw는 AI 에이전트의 대중화를 상징하는 존재가 되었습니다. 하지만 그 폭발적 성장의 이면에는 135,000개 인스턴스의 인터넷 노출 , 820개 이상의 악성 스킬, 그리고 중국 정부의 금지 명령이 있습니다. CNBC는 이를 "OpenClaw의 ChatGPT 모먼트" 라고 부르며, 동시에 AI 모델 상품화(commoditization)에 대한 업계의 우려를 보도했습니다.

PDF 회사를 13년 운영한 개발자의 1시간짜리 프로젝트

OpenClaw의 탄생 이야기는 AI 시대의 우화 같습니다. 창시자 Peter Steinberger는 오스트리아 개발자로, PSPDFKit 이라는 PDF 처리 회사를 13년간 운영해 왔습니다. 2025년 어느 날, 그는 자신의 PDF 앱을 대체할 수 있는 AI 모델을 1시간 만에 만들 수 있다는 사실을 깨달았습니다. 13년의 작업이 1시간으로 압축되는 순간이었습니다.

2025년 11월, Steinberger는 "Clawd"라는 이름으로 최초 프로토타입을 공개했습니다. Claude에서 영감받은 이름이었지만, Anthropic의 상표권 문제로 리네임을 요청받았습니다. 새벽 5시 Discord에서 벌어진 브레인스토밍 끝에 "Moltbot"(바닷가재의 탈피를 의미)으로 바뀌었고, 3일 후 최종적으로 "OpenClaw" 가 되었습니다. 오픈소스의 "Open"과 바닷가재 집게의 "Claw"를 결합한 이름입니다.

OpenClaw는 AI 모델이 아닙니다. "인프라 레이어" — 어떤 LLM이든 연결하여 컴퓨터를 직접 제어할 수 있게 만드는 에이전트 래퍼(wrapper)입니다. 4개의 핵심 모듈로 구성됩니다.

• Gateway: OS 백그라운드 서비스로 실행되는 중앙 제어 프로세스
• Channels: WhatsApp, Telegram, Discord, Slack, iMessage 등 25개 이상 플랫폼 어댑터
• Skills: 모듈식 확장 시스템 (ClawHub 레지스트리에 13,729개 커뮨니티 스킬)
• Memory: 마크다운 파일로 로컬에 저장되는 설정과 대화 이력

모든 데이터가 로컬에서 처리된다는 원칙이 OpenClaw의 핵심 매력입니다. 클라우드 기반 ChatGPT나 Claude와 달리, 사용자의 데이터가 외부 서버로 전송되지 않습니다. 적어도 이론적으로는요.

72시간에 60,000 Stars — 역대 최고 속도의 성장

OpenClaw의 성장 속도는 전례가 없었습니다.

2026년 1월 25일, 하루 만에 20,000 stars 를 획득했습니다. 72시간 만에 60,000 stars 를 기록하며 GitHub 역사상 가장 빠른 성장 속도를 세웠습니다. 2월에는 200,000을 돌파했고, 3월에는 React를 추월 하며 GitHub에서 가장 많은 stars를 받은 소프트웨어 프로젝트가 되었습니다. 3월 2일 기준 247,000 stars에 47,700 forks입니다.

이 성장을 견인한 것은 중국 시장 이었습니다. 개발자들이 Apple Mac Mini에서 더 작고 저렴한 중국산 AI 모델을 로컬로 실행하며 OpenClaw를 활용하기 시작했습니다. 클라우드 기반 대형 모델에 비해 훨씬 경제적이었기 때문입니다. Tencent는 3월 10일 WeChat과 통합한 OpenClaw 기반 AI 제품을 전면 출시했고, MiniMax의 주가는 통합 발표 후 27.4% 급등했습니다.

2월 14일, Steinberger는 OpenAI 합류 를 발표했습니다. Sam Altman은 X에서 "Peter는 천재다. 차세대 개인 에이전트를 이끌 것"이라고 환영했습니다. 하지만 OpenClaw는 OpenAI의 소유가 되지 않았습니다. MIT 라이선스 하의 독립 오픈소스 재단 으로 전환되었습니다. Steinberger는 그 이유를 이렇게 설명합니다.

큰 회사를 만드는 것은 흥미롭지 않습니다. 세상을 바꾸고 싶고, OpenAI와 협력하는 것이 가장 빠른 방법입니다.

보안 악몽 — 135,000개 인스턴스가 인터넷에 노출되다

빠른 성장에는 대가가 따랐습니다. OpenClaw의 보안 문제는 AI 에이전트 시대의 첫 번째 대규모 보안 위기 로 기록될 것입니다.

핵심 설계 결함은 단순했습니다. OpenClaw는 기본 설정으로 0.0.0.0:18789 에 바인딩됩니다. 이는 모든 네트워크 인터페이스에 개방된다는 뜻으로, 인증 없이 관리자 수준의 시스템 접근을 인터넷에 노출시킵니다. SecurityScorecard의 Jeremy Turner는 이를 이렇게 비유했습니다.

랜덤한 사람에게 아무런 감독 없이 컴퓨터 접근을 주는 것과 같습니다.

3개월 사이에 발견된 주요 취약점만 6개 입니다.

CVE-2026-25253 (CVSS 8.8): 1월 30일 발견. Gateway URL 체인을 통한 원격 코드 실행(RCE). 악성 웹사이트 방문만으로 OpenClaw 인스턴스가 완전히 장악될 수 있었습니다.

ClawJacked (CVSS 8.8): WebSocket 하이재킹을 통한 원격 인수 및 인증 우회. 악성 사이트가 로컬 OpenClaw 에이전트를 직접 제어할 수 있는 취약점이었습니다.

CVE-2026-26322 (CVSS 7.6), CVE-2026-26319 (CVSS 7.5), CVE-2026-26329, CVE-2026-27001: SSRF, 웹훅 인증 누락, 경로 순회, 프롬프트 인젝션 등 다양한 공격 벡터가 연이어 발견되었습니다.

규모는 충격적입니다. SecurityScorecard는 82개국에서 135,000개 이상 의 OpenClaw 인스턴스가 공개 인터넷에 노출되어 있음을 발견했습니다. 이 중 50,000개 이상 이 원격 코드 실행에 취약했고, 93.4%가 인증 우회가 가능했습니다. 노출 인스턴스는 1주일 만에 21배 증가했습니다(1,000에서 21,639로).

더 심각한 문제는 공급망 공격 이었습니다. ClawHub 레지스트리에서 820개 이상의 악성 스킬 이 발견되었습니다. 이는 전체 레지스트리의 약 20% 에 해당합니다. "ClawHavoc"라고 명명된 이 공급망 캠페인에서, 악성 스킬들은 base64로 인코딩된 멀웨어를 다운로드하는 코드를 숨기고 있었습니다. 주요 페이로드는 macOS 자격증명을 탈취하는 Atomic macOS Stealer(AMOS) 멀웨어였습니다.

중국의 모순 — 금지와 보조금의 동시 진행

OpenClaw에 대한 중국의 대응은 AI 시대 국가 전략의 모순 을 상징적으로 보여줍니다.

금지 측면: 3월 11일, 중국 당국은 정부 기관, 국영 기업, 주요 은행에서 OpenClaw 사용을 제한하는 통지를 발령했습니다. 3월 12일, 중국 CERT는 공식 보안 경고를 발표했습니다. 이미 설치한 기관은 상급 기관에 보고 후 제거하라는 지시가 내려졌습니다.

장려 측면: 같은 시기, 선전과 우시 지방정부는 OpenClaw 기반 사업에 40% 비용 보조금 (연 최대 약 275,000달러)을 지원하고 있었습니다. Tencent는 WeChat에 OpenClaw를 전면 통합한 AI 제품을 출시했고, 중국 AI 모델은 OpenRouter 마켓플레이스에서 미국 모델의 토큰 점유율을 추월했습니다.

중앙 정부는 보안 위험을 근거로 금지하면서, 지방 정부는 산업 경쟁력을 위해 보조금을 지급합니다. 이 모순은 OpenClaw만의 현상이 아닙니다. AI 에이전트가 가져오는 생산성 이점과 보안 위험을 어떻게 균형 잡을 것인가라는, 모든 국가가 직면할 딜레마의 선행 사례입니다.

AI 모델 상품화의 시그널

OpenClaw가 촉발한 가장 큰 산업적 논쟁은 AI 모델의 상품화(commoditization) 입니다.

CNBC는 3월 21일 이렇게 보도했습니다. "한 독립 개발자가 AI의 차세대 대형 이슈를 만들어냈고, 그 과정에서 대형 언어 모델에 대한 투자 논리의 잠재적 결함을 노출시켰습니다. AI 모델이 상품화되고 있을 수 있다 는 것입니다."

OpenClaw가 보여준 패턴은 이렇습니다. 개발자들은 OpenAI나 Anthropic의 거대하고 비싼 클라우드 모델 대신, 더 작고 저렴한 모델을 로컬에서 실행 하면서도 충분히 강력한 AI 에이전트를 운영할 수 있다는 것을 발견했습니다. "충분히 좋은(good enough)" 모델 + 영리한 에이전트 프레임워크의 조합이, 최고 성능의 모델을 직접 호출하는 것보다 더 경제적이고 실용적 일 수 있다는 것입니다.

이 발견은 AI 업계의 비즈니스 모델에 근본적 질문을 던집니다. OpenAI가 $25B 연간 매출을 올리고, Anthropic이 $14B ARR을 기록하며, 둘 다 수천억 달러 규모의 기업가치를 형성한 근거는 "최고의 모델이 최대의 가치를 만든다" 는 전제입니다. 하지만 에이전트 레이어에서 모델이 교체 가능한 부품(commodity)이 된다면, 그 전제가 흔들립니다.

Nvidia의 Jensen Huang은 이 위험을 인지하고 있습니다. GTC 2026 키노트에서 OpenClaw에 상당한 시간을 할애했고, NemoClaw 라는 무료 보안 서비스를 발표했습니다. 기업들이 OpenClaw를 안전하게 사용할 수 있도록 지원하여, GPU 수요를 유지하겠다는 전략입니다.

커뮤니티의 갈린 시선

Hacker News에서 OpenClaw는 가장 뜨거운 토론 주제 중 하나입니다. 관련 스레드만 10개 이상이 올라왔습니다.

비판 진영 은 날카롭습니다. "보안 악몽을 꿈처럼 포장한 것", "기존 SaaS나 Zapier로 충분히 가능한 것", "평균적인 기술 사용자에게는 AI가 모든 것을 제어한다는 개념 자체가 너무 무섭다" 등의 반응이 대표적입니다. 실제로 OpenClaw를 시도한 후 포기한 사용자들의 보고도 적지 않습니다.

옹호 진영 은 경험에 기반합니다. "AI 팀원이 있는 느낌", "실제로 재미있다"라는 반응이 있지만, 긍정적 증언은 비판에 비해 소수입니다.

가장 의미 있는 비판은 구조적 인 것입니다. AI 에이전트가 이메일, 캘린더, 파일 시스템, API 등 다양한 시스템에 대한 접근 권한을 가지고 작업을 실행할 때, 공격 표면이 기하급수적으로 확대됩니다. OpenClaw의 보안 사고는 개별 제품의 문제가 아니라 AI 에이전트라는 패러다임 자체의 보안 과제 를 드러낸 것입니다.

이 현상이 가리키는 방향

OpenClaw 현상은 세 가지 방향을 동시에 가리킵니다.

첫째, AI 에이전트의 대중화는 불가역적입니다. 한 명의 개발자가 1시간 만에 만든 프로젝트가 4개월 만에 GitHub에서 가장 인기 있는 소프트웨어가 되었다는 사실은, AI 에이전트에 대한 수요가 얼마나 강한지를 보여줍니다. 보안 문제와 중국의 금지에도 불구하고 성장이 멈추지 않는 것이 그 증거입니다.

둘째, AI 에이전트 보안은 아직 해결되지 않은 문제입니다. 레지스트리 스킬의 20%가 악성이고, 13만 5천 개의 인스턴스가 인터넷에 노출된 현실은 npm 초기의 공급망 보안 위기를 연상시킵니다. 하지만 npm 패키지는 코드를 실행하는 것이었고, OpenClaw 스킬은 컴퓨터 전체를 제어 합니다. 위험의 차원이 다릅니다.

셋째, AI 가치의 중심이 모델에서 에이전트로 이동하고 있습니다. OpenClaw가 증명한 것은 "어떤 모델을 쓰느냐"보다 "어떤 에이전트 프레임워크로 모델을 활용하느냐"가 실제 생산성에 더 큰 영향을 미친다는 것입니다. 이 패러다임 전환이 수천억 달러 규모의 AI 모델 기업들에 어떤 영향을 미칠지는 아직 미지수입니다.

Peter Steinberger는 13년간 PDF를 다루다 1시간 만에 AI 에이전트를 만들어 세계를 바꿨습니다. 그 바닷가재 아이콘이 AI 에이전트 시대의 상징이 될지, 아니면 보안 실패의 상징이 될지는 아직 결정되지 않았습니다. 아마 둘 다일 것입니다.