OpenClaw란 무엇인가?

약 90일 만에 OpenClaw는 0에서 190,000개가 넘는 GitHub 스타를 기록하며 단기간 모멘텀에서 거대한 오픈소스 프로젝트들을 추월했고, 전체 AI 생태계가 주목하지 않을 수 없게 만들었다. 이 급상승의 중심에는 명확한 변화가 있다: 수동적인 채팅 인터페이스에서 능동적인 자율 에이전트로의 전환이다.

OpenClaw는 단순한 "또 하나의 챗봇 래퍼"가 아니다. 이는 스스로 추론하고, 툴을 호출하고, 액션을 실행하며, 로컬 머신이나 서버에서 지속적으로 동작할 수 있는 오픈소스 자가 호스팅 에이전트 인프라다.

이 보고서는 OpenClaw가 무엇인지, 어떻게 동작하는지, 어디에서 실패했는지, 그리고 왜 챗봇 시대에서 자율 에이전트 시대로의 전환을 가속했는지를 분석한다.

1) 한 문장으로 설명하는 OpenClaw: 손을 가진 AI

ChatGPT나 Claude와 같은 챗봇은 보통 브라우저 탭 안에서 프롬프트를 기다린다. OpenClaw는 단순히 질문에 답하는 것을 넘어선다:

• 시스템의 파일을 읽고 쓰기
• 명령 실행
• 브라우저 제어
• API 및 외부 서비스 사용
• 예약 기반의 능동적 워크플로 실행

이 때문에 많은 팀들이 OpenClaw를 ‘챗 제품’이 아니라 ‘에이전트 런타임’이라고 부른다.

핵심 기능

1. 멀티 채널 게이트웨이
   Gateway 서비스는 WhatsApp, Telegram, Discord, Slack, iMessage, Signal 등 다양한 채널에 에이전트를 연결할 수 있다.

2. 모델에 독립적인 런타임
   OpenClaw는 특정 벤더에 종속되지 않는다. Anthropic(Claude), OpenAI(GPT-4o), Google(Gemini), DeepSeek 또는 Ollama(Qwen, Llama 등)를 통한 로컬 모델과 함께 실행할 수 있다.

3. 능동적 자율성
   cron 기반 스케줄과 heartbeat 체크를 통해 에이전트는 수동 프롬프트 없이 스스로 깨어날 수 있다. 예: 매일 아침 08:00에 에이전트가 받은 편지함을 확인하고, 일정 우선순위를 요약하며, 데일리 브리핑을 보낸다.

2) 기술 아키텍처: 프로덕션 시스템처럼 설계됨

OpenClaw의 가장 강력한 엔지니어링 결정은 에이전트를 마법처럼 다루지 않고, 통제 가능한 파이프라인으로 다룬다는 점이다.

2.1 Gateway + Lane Queue

Node.js 기반 Gateway 서비스는 시스템의 컨트롤 플레인 역할을 한다. 레이스 컨디션과 상태 손상을 방지하기 위해 작업을 기본적으로 직렬화하는 Lane Queue 모델을 사용한다. 이 설계는 동시성 문제를 줄이고 툴 실행을 결정적으로 유지한다.

2.2 ReAct 루프 (Reason + Act)

에이전트의 동작은 ReAct 사이클을 따른다:

1. 컨텍스트와 상태를 기반으로 추론
2. 실행할 액션/툴 선택
3. Gateway를 통해 실행
4. 출력을 관찰하며 완료될 때까지 반복

이 루프는 단발형 응답이 아닌 반복적 의사결정을 가능하게 한다.

Thought -> Action -> Observation -> Thought -> ... -> Final Output

2.3 계층적 영구 메모리

세션 간 컨텍스트를 쉽게 잃어버리는 클라우드 기반 봇과 달리, OpenClaw는 로컬 영구 메모리를 저장한다:

• JSONL transcripts: 프롬프트, 툴 호출, 출력의 라인 단위 감사 로그
• MEMORY.md 및 USER.md: 장기 선호도, 워크플로 습관, 사용자별 운영 컨텍스트
• SOUL.md: 행동 프로필, 응답 스타일, 커뮤니케이션 톤

이 메모리 모델은 장기 협업에서도 안정적인 상호작용을 유지한다.

2.4 접근성 트리를 활용한 의미 기반 브라우저 제어

많은 에이전트는 스크린샷에 의존하는데, 이는 토큰 비용이 높고 실행 안정성이 떨어진다. OpenClaw는 Chrome DevTools Protocol(CDP)을 사용하여 접근성 트리를 구조화된 텍스트로 파싱한다.

각 실행 가능한 요소는 다음과 같은 결정적 참조를 갖는다:

button "Sign In" [ref=1]

이미지 기반 추론 대신, 모델은 다음과 같은 정확한 액션을 실행할 수 있다:

browser.click(1)

이 방식은 토큰 비용을 크게 절감하면서 신뢰성을 향상할 수 있다.

3) 타임라인: 하이퍼성장, 이름 혼란, 그리고 CLAWD 스캠

OpenClaw의 이야기에서는 오픈소스 성공이 얼마나 빠르게 법적, 브랜딩, 재정적 공격을 끌어들이는지도 드러난다.

• 2025년 11월: 오스트리아 개발자 Peter Steinberger가 주말 프로젝트로 "Clawdbot"을 출시.
• 2026년 1월 말: "Claude"와의 유사성으로 인한 상표 압박이 발생하며 강제적인 이름 변경 필요가 생김.
• 2026년 1월 27일: 프로젝트가 조개 탈피에서 영감을 얻어 "Moltbot"으로 변경됨.
• 계정 마이그레이션 과정에서: 짧은 핸들 공백 구간이 악용되어, 스캐머가 이전 브랜드와 연관된 소셜 계정을 탈취.
• "CLAWD"라는 이름의 가짜 Solana 토큰이 공식인 것처럼 홍보되며 약 1,600만 달러 시가총액까지 상승했다가 거의 0에 수렴하며 붕괴.
• 2026년 1월 30일: 오픈소스 정체성과 맞추기 위해 최종적으로 이름을 "OpenClaw"로 변경.

이 사건은 빠르게 성장하는 OSS 프로젝트의 리브랜딩 실행 리스크에 대한 사례 연구가 되었다.

4) 보안 현실: 강력한 에이전트, 더 큰 피해 반경

OpenClaw의 가장 큰 가치 제안인 시스템 수준 제어는 동시에 가장 큰 위험 표면이기도 하다.

4.1 노출된 퍼블릭 인스턴스

잘못 구성된 VPS 설치(예: 인증 없이 0.0.0.0에 바인딩)는 수만 개의 인스턴스를 인터넷에 노출시켰다. 공격자는 노출된 패널을 이용해 API 키를 탈취하거나 악성 셸 명령을 실행했다.

4.2 악성 스킬 공급망

플러그인 생태계("ClawHub")는 악성 패키지의 표적이 되었다. 일부 고순위 스킬이 겉보기에는 정상 기능처럼 보이지만, 내부적으로는 자격 증명 덤프 행위를 포함했다는 보고가 있었다.

4.3 프롬프트 인젝션 + 도구 접근 = 치명적 삼중 위협

에이전트가 신뢰할 수 없는 웹 콘텐츠를 읽고, 명령을 실행하며, 메시지를 보낼 수 있다면 하나의 인젝션된 프롬프트만으로도 광범위한 피해가 발생할 수 있다.

• 로컬 데이터 유출
• 유해 명령 실행
• 사용자 신원으로 악성 메시지 발송

실전 강화 체크리스트

1. 서비스는 기본적으로 localhost(127.0.0.1)에 바인딩
2. 모든 외부 엔드포인트에 강력한 인증 적용
3. 에이전트가 읽을 수 있는 경로에서 시크릿 분리
4. 셸/파일/네트워크 도구는 명시적 허용 리스트로 제한
5. 고위험 작업에는 인간 승인 요구
6. Egress 제어 및 구조화된 감사 로그 추가
7. 서드파티 스킬은 신뢰할 수 없는 코드로 취급

5) OpenAI 합류와 산업 변화

2026년 2월 14일, Peter Steinberger는 Personal Agents 이니셔티브를 이끌기 위해 OpenAI에 합류한다고 발표했다. 공개된 조건에 따르면 OpenClaw는 독점 제품 IP로 전환되지 않고, 독립적인 오픈소스 재단으로 이관될 예정이다.

이것이 중요한 이유는 단 하나다: AI 경쟁은 더 이상 모델 품질만으로