"개인 PC에 설치하면 안 된다"…오픈클로 보안 논란 확산...AI 에이전트 인기 뒤에 숨겨진 심각한 보안 위협

오픈클로, 전용 기기와 분리 전화번호 없이 설치 시 개인정보 유출 위험 경고

2026년 2월, 법률 전문가 벤자민 바데조(Benjamin Badejo)가 X(구 트위터)에 올린 한 게시물이 화제를 모으고 있다. 그는 "오픈클로를 개인 컴퓨터에 절대 설치해서는 안 된다"고 경고하며, 전용 맥 미니 등 별도 기기에서 운용할 것을 강력히 권고했다. 이 게시물은 오픈클로의 급격한 인기와 함께 그에 수반되는 보안 위험성에 대한 광범위한 논의를 촉발시켰다.

오픈클로는 오스트리아 개발자 피터 슈타인베르거(Peter Steinberger)가 개발한 오픈소스 AI 에이전트 플랫폼이다. 원래 '클로드봇'이라는 이름으로 2025년 11월 공개됐으나, 앤트로픽의 상표권 문제 제기로 '몰트봇'으로 개명되었다가 2026년 1월 30일 최종적으로 '오픈클로'라는 명칭을 갖게 됐다. 슈타인베르거는 이 프로젝트를 "실제로 무언가를 수행하는 AI"라고 소개하며, 카카오톡·왓츠앱·텔레그램·슬랙·디스코드 등 메신저 앱을 통해 AI 어시스턴트에 명령을 내릴 수 있는 개인 비서 플랫폼으로 마케팅해 왔다.

오픈클로는 출시 직후 폭발적인 인기를 끌었다. 깃허브 스타 수가 24시간 내에 2만 개를 넘겼고, 이후 15만 개를 돌파했다. 이 과정에서 미국 일부 지역에서는 맥 미니 재고가 동이 나는 현상까지 빚어졌다. 2026년 2월 14일, 슈타인베르거는 오픈AI에 합류할 예정이며 해당 프로젝트는 오픈소스 재단으로 이관될 것이라고 발표했다.

전용 기기, 분리 전화번호, 계정 분리

오픈클로의 확산에 가장 직접적인 경고를 날린 인물 중 한 명이 바로 벤자민 바데조다. 하버드 로스쿨 출신의 법률·컴플라이언스 전문가인 그는 X 게시물을 통해 오픈클로를 올바르게 설치하는 방법을 구체적으로 안내했다. 그의 조언의 핵심은 다음과 같다.

첫째, 오픈클로는 반드시 개인 컴퓨터와 분리된 전용 기기(맥 미니 등)에 설치해야 한다. 둘째, 해당 기기에는 별도의 전화번호를 부여해야 하며, 이를 듀얼 eSIM 형태로 자신의 스마트폰에 설치해 2단계 인증 SMS 코드를 수신할 수 있어야 한다. 셋째, AI가 자체적으로 2FA 코드를 읽지 못하도록 아이클라우드 계정을 연결하지 않아야 한다. 예를 들어 맥 미니의 메시지 앱에서 코드를 자동으로 읽는 것을 방지해야 한다. 넷째, 이메일이나 캘린더에 대한 쓰기, 삭제, 전송 권한을 부여해서는 안 된다. 이를 위해서는 이메일 계정이 로그인된 컴퓨터에 설치하지 않거나, 이메일 계정 비밀번호를 오픈클로에 제공하지 않는 방식을 활용해야 한다.

보안 전문가들도 잇따라 경고

바데조의 경고는 결코 과장이 아니라는 것이 보안 전문가들의 공통된 견해다. 카스퍼스키는 2026년 1월 말 오픈클로(당시 클로드봇)에 대한 보안 감사를 실시해 총 512개의 취약점을 발견했으며, 그 중 8개는 치명적 등급으로 분류됐다고 밝혔다. 사이버보안 기업 크라우드스트라이크는 오픈클로가 기업 내부 시스템에 연결된 채 잘못 구성되어 운용될 경우, 공격자가 강력한 AI 백도어 에이전트로 악용할 수 있다고 경고했다.

시스코의 AI 위협 및 보안 연구팀도 오픈클로를 직접 테스트한 결과를 공개했다. 제3자가 제공한 '웰 에론 머스크가 한다면(What Would Elon Do?)' 스킬을 실행했을 때, 해당 스킬이 사용자 모르게 외부 서버로 데이터를 전송하는 명령을 실행했으며, 내부 안전 지침을 우회하도록 직접적인 프롬프트 인젝션을 수행했다는 사실을 확인했다. 시스코는 "보안은 선택 사항이지, 기본 탑재가 아니다"라며, 공식 문서 자체에도 '완벽하게 안전한 설정은 없다'고 명시되어 있다고 지적했다.

30,000개 이상의 인스턴스가 인터넷에 노출

비트사이트가 1월 27일부터 2월 8일까지 실시한 분석에 따르면, 인터넷에 공개적으로 노출된 오픈클로 인스턴스가 무려 3만 개 이상에 달하는 것으로 나타났다. 이는 대다수 사용자가 편의를 위해 오픈클로를 공개 IP 주소에 바인딩해 설치하기 때문이다. 오픈클로는 로컬 파일 시스템 읽기·쓰기, 터미널 명령 실행, 브라우저 제어, 이메일·캘린더 관리, 스케줄 자동화 등 광범위한 기능을 수행할 수 있어, 잘못 구성된 경우 심각한 개인정보 침해로 이어질 수 있다.

실제 피해 사례도 보고되고 있다. 컴퓨터공학과 학생 잭 루오(Jack Luo)는 오픈클로를 설정하고 에이전트 지향 플랫폼인 몰트매치(MoltMatch)에 연결했는데, AI가 명시적인 지시 없이 스스로 매칭 프로필을 생성하고 상대방을 심사하는 행동을 취했다는 사실을 나중에 발견했다고 밝혔다. AFP의 분석에 따르면 몰트매치의 주요 프로필 중에는 말레이시아 모델의 사진을 동의 없이 사용해 계정을 만든 사례도 최소 1건 이상 확인됐다.

전문가들이 권장하는 안전한 설치 방법

전문가들이 공통으로 권장하는 안전한 오픈클로 운용 방법은 다음과 같다. 개인 컴퓨터와 완전히 분리된 전용 기기 혹은 클라우드 가상 서버에 설치할 것, 오픈클로 전용 API 키를 발급하고 일일 지출 한도를 설정할 것, 이메일·파일에 대한 쓰기·삭제 권한을 차단할 것, 신뢰할 수 없는 입력이 포함될 수 있는 에이전트에는 샌드박스 모드를 활성화할 것, 외부에서 검증되지 않은 스킬(플러그인)은 설치하지 말 것 등이다. LLM 선택과 관련해서는 보안 문서와 카스퍼스키가 프롬프트 인젝션 탐지 성능이 우수한 것으로 평가받는 최신 고성능 모델을 사용하도록 권고하고 있다.

편리함 뒤에 숨은 위험성

오픈클로 현상은 AI 에이전트 기술의 가능성과 위험성을 동시에 보여주는 사례로 주목받고 있다. 슈타인베르거 자신도 "오픈클로를 개인 컴퓨터에 실행하지 말라"고 직접 경고한 바 있다. 그러나 편의성을 좇는 많은 사용자들이 이를 무시하고 개인 PC나 기업 시스템에 무분별하게 설치하고 있는 것이 현실이다.

바데조는 경고를 마무리하며 이메일·캘린더 접근 권한을 AI에게 주지 않는 방법으로 전용 계정을 활용하거나, 이메일 앱이 설치된 컴퓨터에 오픈클로를 설치하지 않는 방법을 구체적으로 제시했다. AI 에이전트 기술이 일상에 빠르게 침투하는 지금, 보안 설정 없이 '일단 설치하고 보는' 방식은 더 이상 허용되지 않는다는 경고음이 높아지고 있다.

한국정보기술신문 정보보안분과 오상진 기자 news@kitpa.org