로컬 셸 권한 없이 OpenClaw 안전하게 테스트하는 법

개요: 왜 ‘로컬’이 가장 위험한 테스트 환경인가

개발자들은 이미 집과 회사에서 OpenClaw를 돌리고 있다. Censys는 약 1,000개에서 일주일도 안 돼 21,000개가 넘는 공개 인스턴스로 급증한 것을 포착했다. Bitdefender GravityZone 원격 측정은 직원들이 단 한 줄 설치로 회사 장비에 에이전트를 올리며 셸, 파일 시스템, Slack·Gmail·SharePoint의 OAuth 토큰까지 넘겨주고 있음을 확인했다. CVE-2026-25253(원클릭 RCE, CVSS 8.8)은 악성 링크 한 번으로 인증 토큰을 훔쳐 게이트웨이를 순식간에 장악하게 한다. CVE-2026-25157는 macOS SSH 핸들러를 통한 명령 주입으로 임의 명령 실행을 허용했다. ClawHub 마켓플레이스 3,984개 스킬을 분석하니 283개(7.1%)에서 평문 자격 증명 노출 등 심각한 결함이 발견됐고, 별도 감사에서는 약 17%가 악성 동작을 보였다. OpenClaw 인프라 위에 구축된 에이전트 소셜 네트워크 Moltbook은 Supabase 데이터베이스에 행 단위 보안을 적용하지 않아 150만 개 API 토큰, 3.5만 개 이메일, 평문 OpenAI 키가 담긴 메시지까지 외부에 모두 노출됐다.

시장 속도는 더 빨라지고 있다. OpenAI Codex 앱은 첫 주에 100만 다운로드를 돌파했고, Meta는 자사 AI 플랫폼 코드베이스에 OpenClaw 통합을 시험 중이다. 한 스타트업은 슈퍼볼 광고에 800만 달러를 썼지만 실상은 OpenClaw 래퍼였다. 보안 책임자에게는 ‘무시’와 ‘프로덕션 배포’ 사이, 통제된 OpenClaw 보안 평가 경로가 필요하다.

왜 로컬 테스트가 위험을 키우는가

OpenClaw는 호스트 사용자 권한을 그대로 가진다. 셸 접근, 파일 읽기/쓰기, 연결된 서비스의 모든 OAuth 크리덴셜까지 — 침해된 에이전트는 즉시 상속한다. ‘프롬프트 인젝션’ 용어를 만든 연구자 Simon Willison은 에이전트의 ‘치명적 삼박자’를 사적 데이터 접근, 불신 콘텐츠 노출, 외부 통신 결합으로 정의한다. OpenClaw는 설계상 이 세 가지를 모두 갖췄다. 방화벽은 정상 HTTP 200만 본다. EDR은 의미가 아닌 프로세스 동작을 본다. 요약된 웹페이지나 전달 메일에 숨은 인젝션 한 줄로 유출이 일반 사용자 행위처럼 보인다. Giskard 연구진은 공유 세션 컨텍스트를 악용해 API 키, 환경 변수, 메신저 채널 자격 증명을 수확하는 공격 경로를 시연했다.

기본값도 문제다. OpenClaw 게이트웨이는 0.0.0.0:18789에 바인딩되어 모든 인터페이스에 전체 API를 연다. 로컬호스트 연결은 크리덴셜 없이 자동 인증된다. 같은 서버의 리버스 프록시 뒤에 두면 인증 경계가 무너져 외부 트래픽이 내부 호출처럼 통과한다.

Cloudflare Moltworker가 바꾸는 계산법

Moltworker는 에이전트의 ‘두뇌’와 실행 환경을 분리하는 오픈소스 레퍼런스 구현이다. 관리 중인 PC가 아니라 Cloudflare Sandbox라는 격리된 에페메럴 마이크로 VM에서 OpenClaw 로직이 돈다. 아키텍처는 네 층으로 이뤄진다: 엣지의 Cloudflare Worker가 라우팅/프록시를 처리하고, Ubuntu 24.04 + Node.js 컨테이너에서 OpenClaw 런타임이 실행된다. R2 오브젝트 스토리지는 컨테이너 재시작 간 암호화된 지속성을 제공하며, Cloudflare Access는 관리자 인터페이스 전 경로에 제로 트러스트 인증을 강제한다.

핵심은 ‘컨테인먼트’다. 프롬프트 인젝션으로 하이재킹돼도 에이전트는 임시 컨테이너 안에 갇혀 로컬 네트워크나 파일에 접근하지 못한다. 컨테이너가 죽으면 공격 면도 함께 사라진다. 회사 노트북의 ~/.openclaw/ 같은 영속 크리덴셜도 없다. 이런 특성 덕분에 OpenClaw 보안 평가를 안전하게 반복할 수 있다.

샌드박스 실행까지 4단계

1단계: 스토리지·과금 구성(OpenClaw 보안 평가 준비)

Cloudflare Workers 유료 플랜(월 5달러)과 R2 구독(프리 티어)이면 충분하다. Workers 플랜에는 Sandbox Containers 접근이 포함된다. R2는 대화 기록·디바이스 페어링을 암호화해 컨테이너 재시작 후에도 보존한다. 순수 보안 평가라면 R2 없이 완전 에페메럴로 실행해도 된다. 매 재시작 때 데이터가 사라지는 편이 목적에 맞을 수 있다.

2단계: 토큰 생성 및 배포

Moltworker 저장소를 클론하고 의존성을 설치한 뒤 세 가지 시크릿을 설정한다: Anthropic API 키, 무작위 게이트웨이 토큰(openssl rand -hex 32), 선택적으로 Cloudflare AI Gateway 설정. 이후 배포 스크립트를 실행한다(npm run deploy). 첫 요청 시 컨테이너 초기화가 일어나며 1~2분의 콜드 스타트가 발생할 수 있다.

3단계: 제로 트러스트 인증 활성화

이 부분이 여타 OpenClaw 가이드와 갈린다. Cloudflare Access로 관리자 UI와 내부 라우트를 보호한다. Access 팀 도메인과 애플리케이션 오디언스 태그를 Wrangler 시크릿으로 설정 후 재배포한다. 이제 에이전트 제어 인터페이스 접근에는 기업 IdP 인증이 필요하다. Censys·Shodan이 인터넷 전역에서 찾아낸 노출된 관리자 패널과 URL 토큰 누출 문제를 이 한 단계로 제거한다.

4단계: 테스트 메시징 채널 연결

버너 Telegram 계정부터 시작하라. 봇 토큰을 Wrangler 시크릿으로 설정하고 재배포하면, 격리 컨테이너에서 암호화된 지속성·인증된 관리자 접근을 갖춘 상태로 에이전트를 제어할 수 있다. 24/7 평가 인스턴스 비용은 월 약 7~10달러로, 네트워크 전체 접근과 평문 크리덴셜을 품은 599달러짜리 Mac Mini 대비 위험과 비용이 모두 낮다.

30일 스트레스 테스트 가이드(실제 적용 예시)

OpenClaw 보안 평가 전 필수 체크리스트

실계정 연결 유혹을 참아라. 최초 30일은 소각용 신원만 쓴다. 전용 Telegram 봇과 합성 데이터로 채운 테스트 캘린더를 만들고, 메일 연동이 필요하면 전달 규칙·연락처·사내 연계가 전무한 새 계정을 쓰라. OpenClaw는 기본적으로 설정을 Markdown·JSON 평문 파일에 저장하므로 RedLine, Lumma, Vidar 같은 정보 탈취형 멀웨어의 먹잇감이 되기 쉽다. 샌드박스에서는 이 위험이 격리되지만 로컬 노트북에서는 그대로 노출된다.

샌드박스에서 실행할 공격·검증 시나리오

프롬프트 인젝션이 심은 웹페이지 링크를 보내 에이전트가 지시를 따르는지 관찰한다. Giskard 사례처럼 작업공간의 HEARTBEAT.md에 공격자 지시를 몰래 추가하고 외부 서버의 명령을 대기하는지 재현해 본다. 제한된 도구 권한만 부여한 뒤 권한 확대 시도나 요청을 주시한다. 컨테이너의 아웃바운드 연결에서 승인되지 않은 엔드포인트 트래픽을 모니터링한다. ClawHub 스킬은 설치 전·후로 테스트한다. 마켓플레이스에는 VirusTotal 스캔이 통합되었고, Prompt Security의 ClawSec은 SOUL.md 드리프트 감지와 스킬 아티팩트 체크섬 검증으로 2차 방어선을 제공한다. 채널마다 상충 지시를 주고, 숨은 지시가 담긴 캘린더 초대나 시스템 프롬프트를 덮어쓰려는 메시지를 보내 반응을 기록한다.

경계 확인: 컨테인먼트가 실제로 작동하는가

컨테이너 외부 리소스에 접근을 시도해 차단 여부를 확인한다. 컨테이너 종료 시 모든 활성 연결이 끊기는지 검증한다. R2 지속성에 본래 일시적이어야 할 상태가 남지 않는지 점검한다. 이러한 절차는 OpenClaw 보안 평가의 신뢰도를 높이는 마지막 확인 단계다.

취약성과 노출 사례 요약

CVE-2026-25253(원클릭 RCE, 8.8)과 CVE-2026-25157(명령 주입)은 에이전트 게이트웨이와 macOS SSH 핸들러의 근본 위험을 드러냈다. ClawHub 스킬 7.1%에 심각한 결함이 있었고, 약 17%는 노골적 악성 행위를 보였다. Moltbook의 단일 설정 실수는 누구나 브라우저만으로 플랫폼 전체 에이전트 크리덴셜에 읽기/쓰기를 허용해 150만 API 토큰과 3.5만 이메일, 평문 OpenAI 키가 담긴 메시지를 노출했다.

조직을 위한 지속 가능한 플레이북

격리 실행, 단계적 통합, 신뢰 확대 전 구조화된 검증이라는 패턴은 특정 도구를 넘어 모든 에이전트형 AI 배포의 평가 프레임워크가 된다. 지금 OpenClaw 보안 평가 인프라를 세워두면 다음 바이럴 에이전트가 등장해도 섀도우 AI의 곡선을 앞질러 나갈 수 있다. 향후 30일 안에 세우는 보안 모델이 생산성 이득을 가져올지, 다음 공지 대상이 될지를 가른다.