껍질이 깨진 랍스터, 네 개의 갑옷이 나타났다
OpenClaw 보안 위기가 촉발한 에이전트 인프라 전쟁의 첫 라운드
누군가 랍스터를 키우기 시작했다.
개발자 25만 명이 매달렸고, 매주 150만 번 다운로드됐다. OpenClaw라는 이름의 이 오픈소스 에이전트 프레임워크는, 2026년 가장 뜨거운 프로젝트였다. ChatGPT든 Claude든 Gemini든, 어떤 AI 모델이든 연결하면 알아서 이메일을 확인하고, 일정을 잡고, 코드를 짜고, 결제를 처리하는 에이전트를 만들 수 있었다.
커뮤니티 마켓플레이스인 ClawHub에는 13,700개 이상의 플러그인이 등록됐다. React가 10년 걸린 GitHub 스타를 60일 만에 넘겼다. 사람들은 이 도구를 24시간 돌리려고 전용 맥미니를 사기 시작했고, 고사양 모델의 배송이 6주까지 밀리는 사태가 벌어졌다.
그런데 껍질이 너무 얇았다.
2월, 치명적인 취약점이 공개됐다.
CVE-2026-25253. 이름은 어렵지만 시나리오는 단순했다. 악성 링크를 한 번 클릭하면, 공격자가 내 컴퓨터에서 돌고 있는 에이전트를 원격으로 조종할 수 있게 된다. 브라우저가 조용히 인증 토큰을 빼돌리는 방식이었다. 패치가 나오기 전까지 인터넷에 노출된 인스턴스만 17,500개.
거의 동시에, 더 큰 폭탄이 터졌다.
보안 연구팀 Koi가 OpenClaw의 플러그인 마켓플레이스 ClawHub를 정밀 분석했다. 결과는 충격적이었다. 341개의 플러그인이 악성이었다. 전체의 약 12%. 그중 335개는 "ClawHavoc"라는 이름의 조직적 공급망 공격에 연결돼 있었다.
이 악성 플러그인들은 영리했다. 암호화폐 지갑 관리 도구로 위장하거나, 유튜브 자동화 유틸리티를 자처했다. 겉으로는 멀쩡해 보였다. 하지만 안을 열어보면 base64로 인코딩된 페이로드가 숨겨져 있었고, 설치하는 순간 공격자의 서버로 데이터를 빼돌렸다.
여기서 정말 중요한 점이 있다. 에이전트의 악성 플러그인은 일반적인 악성 코드와 차원이 다르다. 보통의 악성 코드는 컴퓨터에서 뭔가를 "실행"한다. 하지만 에이전트의 악성 플러그인은 사용자를 "대신해서 행동"한다. 이메일을 보내고, 파일을 지우고, 결제를 처리하고, API 키를 유출한다. 내 이름으로, 내 권한으로.
npm의 악성 패키지, PyPI의 타이포스쿼팅 — 개발자라면 익숙한 패턴이다. 같은 일이 에이전트 생태계에서 반복되고 있었다. 단, 파급력은 비교할 수 없을 만큼 컸다.
벨기에 사이버보안센터가 긴급 권고문을 발표했다. 보안 기업들이 앞다퉈 분석 보고서를 냈다. 중국 정부는 정부기관에서 OpenClaw 사용을 제한하는 조치를 내렸다. 시장에 거대한 진공 상태가 생겼다. 에이전트를 쓰고 싶지만, 이대로는 위험하다.
2월에 창시자 Peter Steinberger마저 OpenAI로 떠나버렸다. 지난 글에서 다뤘던 몰트북을 메타가 인수한 것도 이 흐름 위에 있다. 모두가 같은 질문 앞에 서 있었다.
에이전트를 안전하게 만들 수 있는가.
그리고 3월 둘째 주, 네 개의 답이 거의 동시에 나왔다.
첫 번째 답은 NVIDIA에서 왔다.
3월 16일, GTC 2026 무대. 젠슨 황이 OpenClaw 로고를 띄웠다. 관객석이 웅성거렸다. GPU 회사가 에이전트 보안에 뛰어드는 건 처음이었다.
NVIDIA의 전략은 명확했다. OpenClaw를 대체하지 않고, 감싸겠다.
NemoClaw라는 이름의 이 프로젝트는 OpenClaw 위에 보안 레이어를 얹는다. 핵심은 OpenShell이라는 런타임이다. 에이전트를 샌드박스 안에 가둬서, 파일이든 네트워크든 프로세스든 허락 없이는 손대지 못하게 만든다. 아웃오브프로세스 방식이라 에이전트 코드 자체를 수정할 필요도 없다.
NVIDIA 혼자 만든 게 아니다. CrowdStrike, Cisco, Microsoft Security와 공동 개발했다. 기존 기업 보안 도구와 호환되게 설계했다는 뜻이다. 에이전트를 모니터링하는 새로운 시스템을 만든 게 아니라, 이미 기업이 쓰고 있는 보안 인프라 안에 에이전트를 편입시키는 접근이었다.
그리고 여기에 NVIDIA의 자체 AI 모델 Nemotron(120B 파라미터)을 끼워 넣었다. 단일 명령어 하나로 보안 런타임, AI 모델, 개발 도구가 한꺼번에 설치된다. 로컬 GPU에서 돌아가니 민감한 데이터가 클라우드로 나갈 필요도 없다.
비유하자면 이렇다. 랍스터한테 갑옷을 입힌 것이다. 랍스터 자체를 바꾸지 않고, 껍질만 단단하게. 25만 명의 개발자 커뮤니티를 고스란히 가져가면서, 기업이 요구하는 보안을 얹는다.
The Register는 이걸 "NVIDIA가 OpenClaw를 감싸 안았다"고 표현했다. NVIDIA답게, 실용적이고 야심찬 접근이었다.
같은 주, 전혀 다른 방향에서 답이 나왔다.
3월 11일, Perplexity가 첫 번째 개발자 컨퍼런스에서 발표한 건 "Personal Computer"라는 이름의 프로젝트였다. 1981년 IBM이 만든 바로 그 이름을 AI 에이전트에 붙였다. 도발적이었다.
컨셉은 이랬다. 맥미니 한 대를 전용 기기로 설정하면, Perplexity의 AI 에이전트가 거기에 24시간 상주한다. 파일에 접근하고, 앱을 실행하고, 워크플로우를 자동화한다. 잠을 자는 동안에도.
구조는 하이브리드다. AI의 두뇌는 Perplexity의 클라우드 서버에 있다. 하지만 손발은 사용자의 맥미니에 있다. 파일을 만지고 앱을 실행하는 건 로컬에서 일어나고, 생각하는 건 클라우드에서 일어난다. 그리고 모든 민감한 행동에 사용자의 명시적 승인이 필요하다. 킬 스위치도 있고, 모든 행동이 로깅되어 감사 추적이 가능하다.
Perplexity는 직접적으로 말했다. "OpenClaw보다 안전하다." 로컬 모델의 성능 한계를 솔직하게 인정하면서, 데이터만큼은 사용자 곁에 두겠다는 절충안이었다.
하루 뒤인 3월 12일에는 Genspark이 나섰다. 이쪽은 더 과감했다.
로컬 기기가 아예 필요 없다. 가입하면 클라우드에 사용자 전용 가상 머신이 하나 만들어지고, 거기에 Genspark Claw가 미리 설치돼 있다. WhatsApp이나 Slack으로 메시지만 보내면, Claw가 멀티스텝 작업을 수행하고 결과를 돌려준다.
Genspark은 이걸 "AI 직원"이라고 불렀다. OpenClaw가 비서라면, 자기네는 직원이라고. 실제로 비즈니스 지표가 그 자신감을 뒷받침했다. 11개월 만에 연간 매출 3천억 원 돌파. 시리즈 B를 5,700억 원으로 확장하며 기업 가치 2.4조 원을 인정받았다. 기술 스택도 인상적이다. Claude, GPT-5.4, Nemotron을 동시에 쓴다. 특정 모델에 종속되지 않겠다는 선언이기도 했다.
보안 모델은 Perplexity와 정반대였다. Perplexity가 "로컬 기기 + 클라우드 AI"라면, Genspark은 "전부 클라우드, 대신 유저마다 방을 나눈다"였다. 로컬이냐 클라우드냐의 오래된 논쟁에서, Genspark은 단호하게 답했다. 클라우드도 충분히 안전하다. 격리만 제대로 하면.
같은 날, 가장 조용하지만 가장 근본적인 답이 스탠퍼드에서 나왔다.
스탠퍼드 Scaling Intelligence Lab이 공개한 OpenJarvis는 상업적 경쟁과 결이 완전히 달랐다. 기업의 제품 발표가 아니라, 학술적 선언이었다.
개인 AI는 개인 기기에서 돌아야 한다.
OpenJarvis는 5개의 코어 프리미티브 위에 설계된 온디바이스 에이전트 프레임워크다. 모델 카탈로그, 추론 엔진, 에이전트 행동 레이어, 도구와 기억, 그리고 학습. 이 다섯 가지를 조합해서 완전히 로컬에서 돌아가는 에이전트를 만든다. 데이터가 기기 밖으로 나가지 않는다.
이들이 내놓은 "Intelligence Per Watt" 연구 결과가 인상적이다. 로컬 모델이 일반적인 채팅과 추론 요청의 88.7%를 대화형 지연시간 내에 처리할 수 있다는 것이다. 2023년부터 2025년까지 효율성이 5.3배 향상됐다고 한다. 감이 아니라 벤치마크로 말한 셈이다.
실용적인 면도 챙겼다. 커맨드라인, 브라우저 대시보드, 데스크톱 앱을 모두 지원한다. 그리고 OpenAI API와 호환되는 로컬 서버를 띄울 수 있어서, 기존에 OpenAI API를 쓰던 코드를 거의 수정 없이 로컬 추론으로 전환할 수 있다.
다른 세 프로젝트가 "보안을 어떻게 강화할까"를 고민할 때, 스탠퍼드는 질문 자체를 바꿨다. 데이터가 기기를 떠나지 않으면, 보안 문제 자체가 줄어들지 않겠느냐고. 프라이버시 바이 디자인. 가장 근본적인 접근이었다.
결국 네 개의 답은 하나의 질문을 둘러싼 변주다.
에이전트의 두뇌와 손발을 어디에 둘 것인가.
NVIDIA는 두뇌도 손발도 로컬에 두되, 갑옷을 입혔다. Perplexity는 두뇌를 클라우드에, 손발을 로컬에 놨다. Genspark은 전부 클라우드에 두되, 방을 나눴다. 스탠퍼드는 전부 내 기기 안에 가뒀다.
이건 기술적 선택인 동시에 철학적 선택이다. 성능을 택할 것인가, 프라이버시를 택할 것인가. 편의를 택할 것인가, 통제를 택할 것인가. 정답은 없다. 상황에 따라, 가치관에 따라 답이 달라진다.
같은 주에 네 개의 답이 쏟아졌다는 건, 이 질문이 얼마나 급박한지를 말해준다. 2월에 껍질이 깨졌고, 3월에 갑옷 네 벌이 나왔다. 인과관계가 명확하다.
하지만 이건 시작일 뿐이다. 지금은 보안이 화두지만, 곧 더 큰 질문이 밀려올 것이다. 에이전트가 에이전트와 대화하고, 에이전트가 돈을 쓰고, 에이전트가 계약을 맺는 시대. 보안 너머에 신뢰, 인증, 거버넌스라는 과제가 기다리고 있다.
메타가 몰트북을 인수한 이유, NVIDIA가 GTC에서 OpenShell을 발표한 이유, 스탠퍼드가 로컬 AI를 연구하는 이유. 전부 같은 질문에 대한 답이다.
에이전트 시대에, 누가 신뢰를 설계할 것인가.
그 답은 아직 나오지 않았다.