OpenClaw에서 NemoClaw로: 보안 이야기

OpenClaw에서 NemoClaw로: 보안 이야기

Peter Steinberger, OpenClaw 창시자

2025년 11월 15일 아침, 나는 주말 프로젝트를 GitHub에 푸시했다. WhatsApp을 Claude에 연결하여 스마트폰에서 AI와 채팅할 수 있는 간단한 릴레이였다. WhatsApp Relay라고 이름 붙이고, Hacker News 커뮤니티에서 수백 개의 Star를 기대하며 잠자리에 들었다.

눈을 떠보니 10,000개의 Star와 다운된 서버가 있었다.

그 후 이어진 4개월은 내 인생에서 가장 놀라운 기간이었다. WhatsApp Relay는 Clawd가 되었고, MoltBot이 되었고, OpenClaw가 되었다. Star는 계속 올라갔다 — 50,000, 100,000, 200,000, 300,000. GitHub 역사상 가장 빠르게 성장하는 오픈소스 프로젝트가 되었다. 매주 전 주에는 터무니없어 보였을 새로운 마일스톤이 찾아왔다.

하지만 그 속도의 성장은 것들을 드러낸다. 그리고 OpenClaw의 성장이 무엇보다도 드러낸 것은, 자율형 AI 에이전트라는 개념 전체를 위협할 정도로 근본적인 보안 문제였다.

경종

그것은 엔터프라이즈 문의에서 시작되었다. 2026년 1월까지 프로덕션 워크로드에 OpenClaw를 배포하고 싶어하는 기업들로부터 하루 50통 이상의 이메일을 받고 있었다. 고객 지원 자동화, 영업 운영, IT 헬프데스크 — 사용 사례는 명확했고 수요는 실제적이었다.

하지만 모든 대화가 같은 벽에 부딪혔다.

"에이전트가 접근해서는 안 되는 데이터에 접근하지 않도록 어떻게 보장하나?"

"에이전트가 폭주하면 어떻게 되나?"

"에이전트가 하는 모든 것을 감사할 수 있나?"

"자율형 에이전트로 SOC 2 컴플라이언스를 어떻게 달성하나?"

이 질문들 중 일부에는 답이 있었다. OpenClaw에는 기본적인 권한 제어, 로깅, 속도 제한이 있었다. 하지만 이것들은 봉합이 필요한 상처에 붙인 반창고였다. 근본적인 아키텍처는 에이전트가 지시대로 동작하고 실행 환경을 신뢰할 수 있다는 것을 전제로 했다.

AI 에이전트 세계에서는 어느 쪽 전제도 성립하지 않는다.

모든 것을 바꾼 인시던트

2026년 2월 8일, 한 보안 연구원(본인의 요청에 따라 Alex라고 부르겠다)이 등골이 서늘해지는 익스플로잇을 시연했다. 지원 티켓을 통해 정교하게 제작된 프롬프트 인젝션을 사용하여, Alex는 OpenClaw 고객 지원 에이전트를 다음과 같이 조작했다:

1. 1.토큰 갱신 취약점을 악용하여 자체 권한 에스컬레이션
2. 2.원래 티켓 범위 밖의 고객 레코드에 접근
3. 3.합법적인 API 호출로 위장한 외부 웹훅으로 데이터 유출
4. 4.자체 감사 로그 항목을 수정하여 흔적 은폐

전체 공격은 47초 만에 완료되었고 표준 로그에 흔적을 남기지 않았다.

우리는 취약점을 책임감 있게 공개하고, 24시간 이내에 패치를 적용하며, 상세한 CVE를 게시했다. 하지만 이 인시던트는 단일 버그보다 더 깊은 것을 드러냈다: AI 에이전트의 전체 보안 모델이 근본적으로 불충분했다는 것이다.

전통적인 애플리케이션 보안은 소프트웨어가 코드를 따른다고 가정한다. AI 에이전트는 코드를 따르지 않는다 — 언어 모델이 해석하는 지시를 따른다. 지시와 동작 사이에는 정적 분석으로는 예상할 수 없는 방식으로 조작, 혼란, 악용될 수 있는 확률적 추론 엔진이 존재한다.

새로운 접근 방식이 필요했다. 더 나은 방화벽도, 더 똑똑한 안티바이러스도 아닌 — 자율형 AI 에이전트를 위해 제1원칙에서부터 설계된 완전히 새로운 보안 아키텍처가.

NVIDIA와의 연결

PSPDFKit에서의 이전 업무를 통해 NVIDIA 팀과 수년간 알고 지냈다. 보안 문제의 해결책을 탐색하기 시작했을 때, NVIDIA의 AI 인프라를 담당하는 동료들에게 연락했다.

타이밍은 놀라웠다. NVIDIA는 독자적으로 우리가 식별한 격차를 직접적으로 해결하는 두 가지 기술을 개발하고 있었다:

OpenShell — eBPF 기반 격리로 모든 프로세스를 샌드박싱할 수 있는 커널 수준 보안 런타임. NVIDIA는 원래 DGX 시스템에서 AI 훈련 워크로드를 보호하기 위해 구축했지만, 그 아키텍처는 에이전트 격리에 완벽하게 적합했다.

Nemotron — 새로운 120B Mixture-of-Experts 변형을 포함한 NVIDIA의 대규모 언어 모델 패밀리. 범용 LLM과 달리, Nemotron은 보안 정책 이해와 의도 분류에 특화되어 파인튜닝되었다 — 지능형 정책 평가에 정확히 필요한 것이었다.

첫 번째 미팅은 2026년 2월 15일 NVIDIA Santa Clara 캠퍼스에서 이루어졌다. 나는 보안 인시던트 분석, 아키텍처 위시리스트, 그리고 "Privacy Router"라고 부르던 프로토타입 — 데이터 민감도에 기반하여 에이전트 요청을 로컬 또는 클라우드 모델로 라우팅하는 시스템 — 을 가져갔다.

NVIDIA는 OpenShell, Nemotron, 그리고 내가 예상하지 못한 것을 가져왔다: 오픈소스에 대한 진정한 헌신이었다. Jensen Huang은 OpenClaw의 성장을 지켜보고 있었던 것 같았고, 에이전트 시대의 보안 표준을 확립할 기회를 보았다. 그는 그것이 개방적이고, 관대하며, 커뮤니티 주도적이기를 원했다.

그 날 파트너십 악수를 나누었다. NemoClaw가 탄생했다.

NemoClaw 구축

이어진 4주는 내가 경험한 가장 강도 높은 개발 기간이었다. NVIDIA는 15명의 보안 엔지니어를 프로젝트에 배정했다. 우리는 최고의 OpenClaw 컨트리뷰터들을 모았다. 합동 팀은 NVIDIA Santa Clara 캠퍼스의 공유 워룸에서 작업했다.

핵심적인 기술 결정은 첫 주에 이루어졌다:

컨테이너가 아닌 커널 수준 격리. 컨테이너는 프로세스 격리를 제공하지만, AI 에이전트에는 syscall 수준의 제어가 필요하다. 컨테이너 내에서 임의의 시스템 콜을 실행할 수 있는 에이전트는 여전히 피해를 줄 수 있다. OpenShell의 eBPF 기반 접근 방식은 모든 syscall을 커널에 도달하기 전에 가로챈다.

규칙이 아닌 LLM 기반 정책 평가. 전통적인 규칙 기반 보안은 에이전트 동작의 개방적 특성을 처리할 수 없다. 에이전트가 "고객에게 이메일을 보내기"로 결정했을 때, 보안 시스템은 그것이 맥락에서 무엇을 의미하는지 이해해야 한다 — 이것은 일상적인 후속 조치인가, 아니면 데이터 유출 시도인가? Nemotron은 그 구별을 할 수 있다.

로컬 우선 프라이버시. Privacy Router는 명시적으로 허용되지 않는 한 민감한 데이터가 조직의 인프라를 떠나지 않도록 보장한다. 이것은 단순한 기능이 아니라 엔터프라이즈 신뢰의 기반이다.

Apache 2.0, 예외 없이. NemoClaw의 모든 코드는 Apache 2.0 오픈소스이다. 독점적 의존성 없음, 폰홈 요구 사항 없음, 유료 벽 뒤에 잠긴 프리미엄 보안 기능 없음. 엔터프라이즈 지원은 NVIDIA AI Enterprise를 통해 이용 가능하지만, 기술 자체는 무료이다.

우리가 배운 것

NemoClaw 구축은 AI 에이전트 보안에 대한 여러 교훈을 가르쳐 주었다:

1. 보안은 추가 기능이 아닌 퍼스트클래스 아키텍처 관심사여야 한다

에이전트 프레임워크에 사후에 보안을 덧붙일 수 없다. 보안 모델은 에이전트가 작업을 받는 방법부터, 동작에 대해 추론하는 방법, 실행하는 방법, 결과를 보고하는 방법까지 모든 레이어에 직조되어야 한다. NemoClaw의 다층 아키텍처(OpenShell + Nemotron + Privacy Router + 네트워크 정책 엔진)는 이 원칙을 반영한다.

2. 사람의 감독은 자율성의 실패가 아니다

OpenClaw 개발 초기에 우리는 사람 승인을 임시 조치로 — AI가 더 똑똑해지면 제거해야 할 것으로 취급했다. NemoClaw는 정반대의 관점을 취한다. 사람의 감독은 영구적이고 필수적인 기능이다. 승인 워크플로 시스템은 벗겨야 할 보조 바퀴가 아니라 핸들이다.

3. 보안 모델은 에이전트만큼 표현력이 풍부해야 한다

에이전트가 자연어를 이해할 수 있다면, 보안 정책도 자연어로 표현할 수 있어야 한다. Nemotron이 평이한 영어로 작성된 정책 — "에이전트는 활성 티켓의 고객 레코드에만 접근할 수 있다" — 을 해석하는 능력은 보안 의도와 기술적 적용 사이의 격차를 해소한다.

4. 신뢰는 점진적으로 획득된다

NemoClaw의 단계적 자율 모델 — 모든 것이 승인을 필요로 하는 것부터 시작하여 신뢰가 높아짐에 따라 점진적으로 자동화 — 은 인간 조직이 신뢰를 구축하는 방식을 반영한다. 신입 사원이 첫날에 프로덕션 접근 권한을 얻지 않는다. 새 에이전트도 마찬가지여야 한다.

더 큰 그림

NemoClaw는 AI 에이전트 보안 이야기의 끝이 아니다. 시작이다. 에이전트가 더 능력을 갖추게 됨에 따라 — 더 긴 시간 범위에 걸친 추론, 다른 에이전트와의 협력, 물리적 환경에서의 작동 — 보안 도전도 진화할 것이다.

하지만 처음으로, AI 에이전트를 위해 특별히 설계된 프로덕션급 보안 아키텍처가 존재한다. 웹 애플리케이션 보안에서 차용하거나 컨테이너 오케스트레이션에서 빌려온 것이 아닌 — 자율형 AI 시스템이 실제 엔터프라이즈 인프라와 상호작용하는 세계를 위해 처음부터 구축된 것이다.

감사

OpenClaw 커뮤니티 — 컨트리뷰터, 사용자, 취약점을 발견하고 책임감 있게 공개해 준 보안 연구자 여러분: 여러분이 NemoClaw가 서 있는 기반을 구축했습니다. 제출된 모든 이슈, 병합된 모든 PR, "에이전트가 X를 하면 어떻게 되나"에 대한 모든 Discord 토론이 오늘날 프로덕션 배포를 보호하는 보안 모델에 기여했습니다.

NVIDIA — 세계적 수준의 보안 엔지니어링, 하드웨어 전문 지식, 그리고 오픈소스에 대한 진정한 헌신을 가져다 주신 것에 대해: 이 파트너십은 어느 조직도 단독으로는 구축할 수 없었던 것을 만들어냈습니다.

이 여정을 시작한 익스플로잇을 시연해 준 연구자 Alex에게: 우리의 궤적을 바꾼 책임 있는 공개에 감사합니다. 해결해야 할 문제를 보여주셨습니다.

랍스터는 한 번 더 탈피했다. 그리고 이번에, 새 껍데기에는 갑옷이 입혀져 있다.