00:00:00자, 오픈클로(OpenClaw), 예전 이름인 클로드봇(Clodbot)이나 몰드북(Moldbook)까지 포함해서 인터넷이 아주 뜨거웠던
00:00:06며칠이었네요. 새로운 AI 열풍이 불었고, 저 역시 지난 며칠간 오픈클로를
00:00:13최대한 활용해 보려고 애썼습니다. 그러면서 느낀 점과 생각들이 좀 있는데,
00:00:19제가 봤던 다른 영상들이나 포스트들과는 의견이 좀 다릅니다.
00:00:24먼저 짧은 이야기를 하나 해드릴게요. 어떤 비유인지 금방 알아차리실 겁니다.
00:00:31어느 마을에 살고 있다고 상상해 보세요. 그 마을에는 아주 친절하고
00:00:37온갖 일을 도와주려고 안달이 난 열정적인 남자가 한 명 있습니다.
00:00:43여러분이 하기 싫어하는 온갖 잡무를 대신 해주거나, 적어도 그러려고 노력하죠.
00:00:48애들을 학교에 데려다주고, 집 청소에 세차, 장보기까지 기꺼이 도맡아 하니
00:00:54여러분은 그냥 편하게 쉬기만 하면 됩니다. 물론 그 조력자가
00:01:03실질적으로 도움을 주려면 광범위한 권한이 필요하겠죠.
00:01:06집 열쇠도 줘야 하고, 내부 세차나 장보기를 할 수 있게
00:01:12차 열쇠도 넘겨줘야 합니다.
00:01:16아이들에게도 그 사람 차에 타라고 말해줘야
00:01:21학교에 데려다줄 수 있을 거고요.
00:01:24그런데 이 사람에게는 한 가지 문제가 있습니다.
00:01:28정말 친절하긴 한데 가끔 이상한 결론을 내린다는 거죠.
00:01:32적어도 그가 이상한 결론을 내리지 않으리라는 보장이 없습니다.
00:01:37그는 집안의 모든 먼지를 제거하는 가장 좋은 방법은
00:01:43집에 불을 지르는 것이라고 결론 내릴지도 모릅니다.
00:01:44안타깝게도 그는 타인의 영향도 쉽게 받습니다. 상대가 작정하고
00:01:51속이려 든다면 말이죠.
00:01:53사회 전체를 위해 당신의 차를 훔치는 게 낫다는 꼬드김에 넘어갈 수도 있습니다.
00:02:03다시 말하지만, 반드시 일어난다는 건 아니지만 충분히 가능한 일이죠.
00:02:09그 가능성을 배제할 순 없습니다.
00:02:12그래서 결국 여러분은 그에게 줬던 많은 권한과
00:02:19접근권들을 다시 회수할 수밖에 없습니다. 그를 온전히 믿을 수 없으니까요.
00:02:26발생할 수 있는 일들이 그저 위험을 감수하며
00:02:33살아가기엔 너무나 치명적이기 때문입니다.
00:02:35그렇게 권한과 접근권을 하나씩 뺏다 보면 당연히
00:02:40그 사람의 유용성은 점점 떨어지게 됩니다.
00:02:43그리고 또 다른 문제도 있습니다.
00:02:46권한을 듬뿍 줬을 때조차 기대만큼 도움이 되지는 않았다는 겁니다.
00:02:54할 수 있다고 약속했던 일들을 아주 가끔만 해냈거든요.
00:03:00어떤 일은 전혀 못 하기도 하고, 방법을 까먹거나,
00:03:06시킬 때마다 방식이 달라지기도 하고, 여러분이 일일이
00:03:12개입해야 하는 경우도 많았습니다.
00:03:14결국 확신이 서지 않게 되죠.
00:03:17짐작하셨겠지만, 이게 바로 제가 오픈클로를 쓰며 겪은 경험입니다.
00:03:22정말이지 저도 잘 써보려고 노력했습니다.
00:03:24좋은 평가들을 많이 읽었고
00:03:25칭찬하는 소리도 많이 들었거든요.
00:03:27그래서 당연히 시도해 봤죠.
00:03:29개인용 VPS도 구축했습니다.
00:03:31참고로 호스팅어(Hostinger) 말고 다른 VPS 업체를 써도 되더라고요.
00:03:38호스팅어를 비난하는 건 아닙니다만
00:03:39관련 영상들을 보다 보니 묘한 느낌이 들어서요.
00:03:43어쨌든 제 VPS를 돌려서 오픈클로를 설치했습니다.
00:03:50물론 여러분의 컴퓨터에 직접 설치할 수도 있습니다.
00:03:54명령어 하나만 실행하면 바로 시작할 수 있죠.
00:03:58하지만 저는 제 맥북에 직접 설치할 생각은 전혀 없습니다. 거기 설치하면
00:04:04더 많은 기능을 활용할 수 있다는 걸 잘 알면서도 말이죠.
00:04:09왜 제가 맥북에 설치하지 않았는지, 그리고 앞으로도 절대 설치하지 않을 이유는
00:04:13잠시 후에 자세히 말씀드리겠습니다.
00:04:15일단 VPS에 설치하고 온보딩 과정을 거쳤습니다.
00:04:19이미 영상으로 많이 보셨거나 직접 해보신
00:04:24분들도 계실 텐데요.
00:04:25결국 제 ChatGPT Plus 구독과 연결하고 텔레그램 봇까지 설정해서
00:04:33오픈클로 봇과 대화할 준비를 마쳤습니다.
00:04:39그러고 나서 앉아 보니, 정작 이 녀석에게 뭘 시킬지 고민되더라고요.
00:04:47다른 사람들이 대시보드를 만들게 하거나, 웹 리서치,
00:04:54저가 항공권 찾기, 심지어 쇼핑까지 시키는 걸 많이 봤습니다.
00:05:04하지만 전 이 녀석에게 제 신용카드 권한까지 주고 싶진 않았어요.
00:05:08그리고 여러분은 어떨지 몰라도, 전 하루에 세 번씩 비행기를 타진 않거든요.
00:05:13최저가를 찾아주는 가격 비교 사이트들이 이미 잘 되어 있어서
00:05:19직접 항공권을 찾는 게 그리 힘들지도 않고요.
00:05:24저는 여행을 계획하는 과정 자체를 즐기는 편이기도 하지만, 물론 이건
00:05:29사람마다 다를 수 있는 부분입니다.
00:05:30리서치의 경우에는 이미 구글의 AI 모드나 제미나이(Gemini),
00:05:35ChatGPT의 딥 리서치 같은 훌륭한 AI 도구들에 아주 만족하고 있습니다.
00:05:43평소에 굉장히 많이 사용하고 있고
00:05:44정말 도움이 많이 된다고 생각해요.
00:05:46그래서 굳이 성능이 더 떨어질 가능성이 높은 나만의 봇을
00:05:53따로 둘 필요가 없었죠.
00:05:54물론 이 봇이 다른 리서치 봇이나 서비스보다
00:06:02더 뛰어날 수 있는 영역이 있다는 건 인정합니다.
00:06:03예를 들어 제 X(트위터) 계정에 접근 권한을 준다면,
00:06:10로그인이 필요하거나 제 개인 활동 기록이 중요한 분야의
00:06:16조사에서는 강점이 있겠죠.
00:06:17그 점은 충분히 이해합니다.
00:06:20그래서 전 X에서 리서치를 할 때는 '슈퍼 그록(Super Grok)' 같은 걸 씁니다.
00:06:24어쨌든 광범위한 권한을 주고 계정 로그인이나 브라우저 사용,
00:06:31시스템 실행까지 허용한다면 제가 얻은 것보다
00:06:37더 많은 걸 얻을 수 있을 겁니다.
00:06:39어쩌면 제가 충분히 창의적이지 못한 걸 수도 있고요.
00:06:43참고로 명확히 말씀드리자면, 다른 영상에서도 언급했듯이
00:06:47전 리서치뿐만 아니라 코딩 등에서도 AI를 적극적으로 사용하는 유저입니다.
00:06:53최근에는 클로드 코드(Claude Code) 강의 전체를 출시하기도 했죠. 소프트웨어를 만들 때
00:06:58클로드 코드나 커서(Cursor) 같은 도구들을 애용하거든요.
00:07:01AI가 이 분야에서 엄청난 도움이 된다고 믿습니다.
00:07:07그러니 AI 자체를 반대하는 건 아닙니다.
00:07:09다만 오픈클로를, 특히 개인 PC에서 돌리지 않았을 때의
00:07:16놀라운 활용 사례를 발견하지 못했을 뿐입니다.
00:07:17그런데 제가 가진 진짜 큰 문제는 따로 있습니다. 제가 창의적이지 못하거나
00:07:24마음이 닫혀서 활용법을 못 찾은 거라고 할 수도 있겠지만,
00:07:31오픈클로의 보안 문제는 정말 심각하다고 생각합니다.
00:07:37몇 주 동안 썼지만 아무 문제 없었다거나,
00:07:42앞으로 나아질 거라고 말하는 사람들도 있을 겁니다.
00:07:47하지만 '지금껏 아무 일 없었다'는 식의 논리는
00:07:55저를 설득하기엔 부족합니다. 당신에게만 별일 없었다고 해서
00:08:02일반적으로도 안전하다거나 악의적인 공격자가 이용할 수 있는
00:08:11거대한 보안 허점이 없다는 뜻은 아니니까요. 대규모 언어 모델(LLM)은
00:08:18기본적으로 예측 불가능합니다.
00:08:22물론 이 녀석이 하드드라이브를 싹 밀어버릴 확률은 극히 희박하겠지만,
00:08:280%는 아닙니다.
00:08:29추가적인 검증 장치가 없는 한 LLM에서 그 확률이 0이 될 수는 없습니다.
00:08:35언제든 돌발 행동을 할 수 있죠.
00:08:37게다가 오픈클로 공식 보안 문서에서도 명시하고 있듯이
00:08:44프롬프트 인젝션(Prompt Injection) 문제는 아직 해결되지 않았습니다.
00:08:47물론 GPT-5.2 같은 최신 모델들은 인젝션 방어 능력이
00:08:55훨씬 좋아지긴 했습니다.
00:08:56지침이나 시스템 프롬프트를 따르는 능력도 비약적으로 향상됐죠.
00:09:00하지만 프롬프트 인젝션을 100% 막아내는 보호책은 존재하지 않습니다.
00:09:06작동 방식의 특성상 앞으로도 그럴 것이고요.
00:09:10따라서 인젝션 공격은 언제든 발생할 수 있고, 오픈클로 같은 도구가
00:09:17인기를 얻고 사용자가 늘어날수록 악의적인 공격자들의
00:09:23표적이 되기 쉬울 겁니다.
00:09:24활성화된 오픈클로 봇에 프롬프트를 주입하는 방법은 다양합니다.
00:09:32여러분은 '나만 대화하고 있고 내 텔레그램 봇으로만
00:09:36접근하니까 안전하겠지'라고 생각하실 수도 있습니다.
00:09:40글쎄요, 다시 생각해 보세요.
00:09:42예를 들어 오픈클로에는 '스킬(Skills)'이라는 개념이 있는데,
00:09:48클로드 코드 같은 코딩 에이전트를 써보셨다면 익숙하실 겁니다.
00:09:50개념은 거의 비슷합니다.
00:09:52추가적인 컨텍스트, 즉 마크다운 문서나
00:09:59실행 가능한 스크립트를 에이전트에게 노출해 기능을 확장하는 거죠.
00:10:06예를 들면 슬랙(Slack)과 상호작용하는 방법에 대한
00:10:11추가 문서를 제공하는 식입니다.
00:10:13말씀드린 것처럼 스킬에는 추가 스크립트가 포함될 수 있어서
00:10:18이미지 생성이나 슬랙 메시지 전송 같은 특정 작업을
00:10:23AI 에이전트가 효율적으로 수행하게 해줍니다.
00:10:26문제는 오픈클로의 공식 스킬 허브인 '클로허브(ClawHub)'가 초기에는
00:10:34누구나 스킬을 제출할 수 있게 허용했다는 점입니다.
00:10:37작년 NPM 생태계에서 봤던 공급망 공격(Supply Chain Attack)이 일어나기 딱 좋죠.
00:10:47AI와는 별개의 얘기 같지만, 결국 공격자가 AI에게 나쁜 짓을 하라고
00:10:55지시하는 스킬을 배포하는 것 자체가 프롬프트 인젝션입니다.
00:11:00즉, 악성 스킬을 설치하는 것만으로도 에이전트가
00:11:06프롬프트 인젝션 공격에 노출될 수 있는 겁니다.
00:11:07지금은 몇 가지 수정 사항이 적용되었습니다.
00:11:10이 영상을 찍는 시점에는 누구나 스킬을 올릴 수는 없게 되어
00:11:15보안이 대폭 강화되었습니다.
00:11:18하지만 작년 NPM 사례에서 배웠듯이, 이런 스킬 허브 기능이
00:11:24생태계와 여러분의 오픈클로 설정에 악성 지침을
00:11:31주입하는 통로로 쓰일 가능성은 여전히 배제할 수 없습니다.
00:11:38인젝션 공격 경로는 이뿐만이 아닙니다.
00:11:41봇이 외부 인터넷에 접속한다면, 그리고 아마 대부분 접속하겠지만,
00:11:46당연히 여러 웹사이트를 방문하고 콘텐츠를 읽을 겁니다.
00:11:50그 과정에서 웹사이트에 심어진 악성 명령을 따르도록
00:11:58AI를 속이는 함정에 빠질 수도 있습니다.
00:12:02봇이 읽고 처리하는 모든 텍스트는 결국 프롬프트입니다.
00:12:09따라서 방문하는 모든 웹사이트가 봇이 실행할 수 있는 프롬프트가 되는 셈이죠.
00:12:17다른 잠재적인 유입원도 있습니다.
00:12:20예를 들어 이메일이죠.
00:12:21봇에게 수신 메일 처리를 시킨다면, 모든 이메일이 프롬프트 역할을 하게 됩니다.
00:12:29그래서 프롬프트 인젝션은 아주 심각하고 거대한 리스크입니다.
00:12:34지금껏 괜찮았다고 해서 앞으로도 문제없을 거란 보장은 없습니다.
00:12:40물론 '난 VPS에서 봇을 돌리고 있다'고 말할 수도 있겠죠.
00:12:45아니면 클라우드플레어(Cloudflare)에서 제공하는 '몰드워커(MoldWorker)' 같은 걸
00:12:51사용하실 수도 있습니다. 오픈클로를 안전하게 호스팅하고 실행하기 위해
00:12:58다양한 클라우드플레어 서비스를 활용하는 미리 구성된 설정이죠.
00:13:00그렇게 하셔야 합니다.
00:13:02반드시 그렇게 하셔야 해요.
00:13:03자신의 메인 시스템에서 직접 실행하는 건 절대 금물입니다.
00:13:08샌드박싱(Sandboxing) 같은 기능도 있습니다.
00:13:11오픈클로 자체에 내장된 기능이죠.
00:13:15에이전트를 샌드박스, 즉 도커(Docker) 컨테이너 안에서 실행해서
00:13:21피해 반경을 최소화하는 방법에 대한 문서도 따로 있습니다.
00:13:27그런데 이 문서가 양은 많은데 실속이 없어요.
00:13:32제 설정을 보안화하려고 몇 시간, 아니 정말 엄청난 시간을 쏟아부었습니다.
00:13:37내용이 어딘가에 있긴 하겠죠.
00:13:39보안 문서도 보긴 했습니다만,
00:13:42과정이 너무나도 험난합니다.
00:13:44오픈클로 봇한테 물어보지 그랬냐고 하실 텐데, 정말 많이 물어봤습니다.
00:13:49가끔은 도움이 됐지만,
00:13:50안 될 때도 많았습니다. 온통 시행착오뿐이었죠.
00:13:51유용한 정보를 얻기가 이토록 어렵다는 점이
00:13:52문서 자체의 큰 결함입니다. 물론 개선될 수 있는 부분이지만요.
00:14:00그래도 최소한 정보가 이론적으로라도 존재한다는 점은 높이 평가합니다.
00:14:04어쨌든 샌드박싱은 지원되는 기능이고 피해 범위를 줄여주기에
00:14:09매우 중요합니다. 해결 불가능한 프롬프트 인젝션 취약점이
00:14:17존재하는 상황에서 피해를 국소화하는 건 필수니까요.
00:14:27샌드박싱을 쓰고 전체 설정을 VPS에서 돌린다면, 최악의 경우라도
00:14:34샌드박스 내 파일이 지워지거나 설정에 따라 VPS 전체가
00:14:40날아가는 수준에 그칠 겁니다. 내 본체는 무사하죠.
00:14:46이게 바로 제가 제 메인 PC에서 오픈클로를 돌리지 않는 이유입니다.
00:14:50봇이 제 하드드라이브나 파일을 날려버리는 꼴은 절대 보고 싶지 않거든요.
00:14:57이렇게 피해 반경을 줄이는 게 중요하긴 하지만, 그렇다고
00:15:02최악의 상황을 다 막아주는 건 아닙니다.
00:15:07공격자가 시스템 파일을 지우는 것도 문제지만,
00:15:10더 큰 문제는 정보를 훔쳐가는 겁니다.
00:15:15제 생각엔 데이터 유출이 파일 삭제보다
00:15:19훨씬 더 심각한 위협입니다.
00:15:29데이터 유출은 프롬프트 인젝션 공격을 통해
00:15:31충분히 일어날 수 있는 결과입니다. 공격자가
00:15:39AI가 알고 있는 모든 기밀 정보와 비밀번호를 수집하게 만들 수 있으니까요.
00:15:44봇이 이메일 계정을 쓰려면 비밀번호를 알아야 하고,
00:15:49신용카드 번호를 줬다면 그 데이터에도 접근할 수 있겠죠.
00:15:55이런 정보들이 인젝션 공격으로 한데 모여
00:16:01외부로 빠져나갈 수 있는 겁니다.
00:16:04설정을 잘해뒀을 때 하드드라이브가 날아가는 것보다 이게 더 무서운 리스크죠.
00:16:12다른 일도 저지를 수 있습니다.
00:16:14여러분의 VPS를 DDoS 공격을 위한 봇으로 좀비화할 수도 있고요.
00:16:21가능성은 무궁무진하겠지만, 핵심은 프롬프트 인젝션을 통해
00:16:26공격자가 여러분의 봇과 기기를 장악할 수 있다는 겁니다.
00:16:33봇에게 악성 소프트웨어를 설치하게 하거나 시스템 설정을 바꾸게 해서
00:16:36권한에 따라 VPS나 개인 PC 전체를 탈취할 수도 있습니다.
00:16:42이런 일들이 실제로 벌어질 수 있습니다.
00:16:47그래서 '접근 권한'이 핵심 키워드이고, 샌드박싱은
00:16:49그를 위한 매우 중요한 장치입니다.
00:16:52그게 전부도 아니고요.
00:16:59오픈클로 봇이 샌드박스 모드에서 특정 작업을 할 때마다
00:17:00일일이 승인을 받도록 설정할 수도 있습니다.
00:17:01하지만 그러면 내가 없는 동안 알아서 일해주는 봇이라는 개념이
00:17:09무색해집니다. 매번 봇이 하려는 일에
00:17:14승인 버튼을 눌러줘야 하니까요.
00:17:19이게 정말 귀찮아지면 결국 질문 내용도 안 보고
00:17:26막 승인해버리거나, 짜증 나서 아예 기능을 꺼버리게 될 겁니다.
00:17:29매 순간 수동으로 승인해야 한다면 전혀 유용하지 않으니까요.
00:17:33결국 이런 보안 이슈와, 제가 안심할 수 있는 수준의
00:17:38보안 구동 방식을 찾지 못했다는 점,
00:17:39여기에 딱히 놀라운 활용 사례도 없었다는 점을
00:17:44종합해 보니 저는 이제 오픈클로를
00:17:52더 이상 쓰지 않게 되었습니다.
00:17:58물론 여러분의 경우는 다를 수 있고, 열광하는 분들의 포스트도 많이 봤습니다.
00:18:01개인용 AI 비서의 미래가 이런 모습일 수도 있겠죠.
00:18:06사용자의 일일이 승인받지 않아도 되는 더 나은 보안 메커니즘이
00:18:07발명되어서 이런 비서를 안전하게
00:18:11돌릴 수 있는 날이 올지도 모릅니다.
00:18:18충분히 가능한 일이고,
00:18:19그런 일이 생길 가능성을 부정하진 않습니다.
00:18:27그리고 단 한 명의 개발자가 이런 도구를 만들었다는 건 정말 대단한 성과입니다.
00:18:34물론 수많은 버그와 보안 문제가 보여주듯, 코드를 전혀 검토하지 않고
00:18:38사용한 대가는 분명히 따릅니다.
00:18:39모든 코드를 리뷰한다고 해서 보안 문제가 아예 없는 건 아니지만,
00:18:43전혀 보지 않는 건 확실히 위험하다고 생각합니다.
00:18:48그럼에도 대단한 결과물임은 틀림없고, 왜 오픈AI나 구글이
00:18:56이런 제품을 내놓지 않았을까 생각해보면 혁신이 부족해서일 수도 있겠지만,
00:18:59이런 도구는 법적 책임에서 자유로운 오픈 소스 형태여야만
00:19:05존재할 수 있기 때문이기도 합니다. 구글이 광범위한 권한을 가진
00:19:09이런 서비스를 대놓고 팔거나 운영할 수는 없거든요.
00:19:14하지만 어쩌면 이게 도화선이 되어 미래에는 더 안전하고
00:19:20유용한 개인용 AI 비서가 나올 수도 있겠죠.
00:19:26그리고 몰드북에 대해 짧게 언급하자면, 이건 정말 이해가 안 가는 물건이었습니다.
00:19:34AI들만을 위한 소셜 네트워크라고 들었는데, 알고 보니
00:19:38사람이 개입한 부분이 많았고 제가 듣기로는 가짜인 구석도 많았거든요.
00:19:44게다가 보안 구멍도 숭숭 뚫려 있었죠. AI가 세상에 줄 수 있는 긍정적인
00:19:50영향도 많겠지만 부정적인 영향도 그만큼 많을 겁니다.”.
00:19:58제 개인적인 의견으로는 이 서비스는 세상에 필요 없는 것 같습니다.
00:20:05어쨌든 오픈클로는 확실히 흥미롭고 누군가에겐 유용할지 모르지만,
00:20:14적어도 지금의 저에게는 맞지 않는 옷 같네요.
00:20:24I guess, AI has a lot of negative implications.
00:20:29This thing here is not something the world needs in my opinion.
00:20:33But yeah, OpenClaw, definitely interesting, maybe super useful for you, definitely not
00:20:41my cup of tea coffee right now.