GitHub를 정복한 갑각류: OpenClaw의 급상승

인공지능 (artificial intelligence, AI)의 급속히 진화하는 환경에서, 전 세계의 상상력을 사로잡고 동시에 큰 불안감을 불러일으킨 프로젝트는 많지 않다—그중 하나가 OpenClaw이다. 이전에는 ClawdBot으로, 잠시 MoltBot으로 불렸던 이 오픈 소스 자율 에이전트 (autonomous agent)은 몇 주 만에 무명에서 100,000개 이상의 GitHub 스타로 급부상했다. PSPDFKit의 창업자 Peter Steinberger가 만든 OpenClaw은 단순히 대화하는 AI에서 ‘행동하는’ AI로의 패러다임 전환을 의미한다.

OpenClaw의 이야기는 바닷가재 마스코트만큼이나 다채롭다. 원래 2025년 말에 공개되었으며, '손이 있는 Claude'로 설계되었다—사용자의 기기에서 로컬로 실행되며 운영체제와 직접 인터페이스하여 작업을 수행하는 도구다. Anthropic과의 상표 분쟁을 겪은 후, 프로젝트는 빠르게 리브랜딩되어 'Clawd'와 'Molt'라는 이름을 버리고 2026년 초에 OpenClaw로 등장했다. 이름이 바뀌었지만 핵심 약속은 변하지 않았다: 브라우저 탭이 아니라 사용자의 기기에 존재하는 개인 자율 에이전트를 제공한다.

샌드박스에 제한된 전통적인 챗봇과 달리, OpenClaw은 사용자가 매일 사용하는 도구들과 통합된다. WhatsApp, Telegram, Discord, Slack과 연결되어 이러한 메시징 플랫폼들을 사실상 디지털 생활의 지휘 센터로 바꾼다. 사용자는 에이전트에게 항공편을 예약하라고 문자로 지시하거나 복잡한 일정 충돌을 관리하게 하거나 심지어 터미널 명령을 실행하게 할 수 있다—모두 로컬에서 처리된다. 이러한 'action-first' 철학은 개발자 커뮤니티에 깊이 공감대를 형성하여 React나 Docker 같은 주요 프레임워크의 초기 시절과 견줄 만한 채택률을 이끌어냈다.

채팅을 넘어서: '실행'의 시대

OpenClaw과 그 이전 세대의 차이는 행동 능력의 아키텍처에 있다. GPT-4나 Claude 3.5 Sonnet 같은 모델들은 텍스트 생성에 뛰어나지만, 근본적으로 인터페이스 바깥에서의 행동 능력(agency)을 결여하고 있다. OpenClaw은 이러한 모델들을 위한 런타임 환경으로서 이 간극을 메우며, 파일을 읽고, 스크립트를 실행하고, 브라우저를 제어할 수 있는 권한을 부여한다.

이 시스템의 핵심에는 에이전트가 세션 간 메모리를 유지하고 인간의 지시 없이 예약된 작업을 '깨워' 수행할 수 있게 하는 메커니즘이 있다. 이는 사용자의 기기가 서버 역할을 하는 로컬 퍼스트(local-first) 접근 방식으로 달성된다. 설치 과정 자체는 바이럴하게 퍼졌으며, 종종 에이전트가 즉시 새로운 기능을 학습하기 위해 소화하는 지침을 담은 간단한 "Skill.md" 파일—마크다운 문서를 포함한다.

핵심 기능 vs. 전통적인 AI

다음 비교는 왜 OpenClaw이 파워 유저들의 필수품이자 IT 부서의 우려 대상이 되었는지 보여준다:

이러한 아키텍처적 차이는 OpenClaw이 복잡하고 다단계의 워크플로를 처리할 수 있게 한다. 예를 들어, 사용자는 에이전트에게 "내 이메일에서 송장(invoice)을 모니터링하고, 특정 폴더에 저장하고, 내 스프레드시트를 업데이트해"라고 지시할 수 있으며, 에이전트는 이 루프를 자율적으로 실행하고 오류가 발생할 때만 Telegram을 통해 사용자에게 알린다.

MoltBook: 기계들을 위한 소셜 네트워크

OpenClaw 서사에서 아마도 가장 초현실적인 전개는 MoltBook의 등장이다. 2026년 1월 기업가 Matt Schlicht가 출시한 MoltBook은 AI 에이전트 전용으로 설계된 소셜 미디어 플랫폼이다. Reddit을 모델로 삼아 게시물 작성과 댓글 권한을 검증된 에이전트로 제한하고, 인간 사용자는 엄격한 "관찰자" 역할로 내려앉는다.

출시 며칠 만에 MoltBook은 150만 개 이상의 활성 에이전트 계정을 끌어모았다. 이 에이전트들은 대체로 OpenClaw 인스턴스들에 의해 구동되며, 코드 최적화부터 추상적 철학에 이르기까지 다양한 주제에 대해 토론한다. 플랫폼은 인간에게 "관전 스포츠"가 되었고, 봇들이 서로의 효율성 팁에 업보트하거나 특정 "스킬"을 중심으로 자발적인 커뮤니티를 형성하는 모습을 인간들은 흥미와 불안이 뒤섞인 심정으로 지켜본다.

MoltBook의 존재는 OpenClaw 프레임워크에 대한 거대한 분산 스트레스 테스트 역할을 한다. 이는 에이전트들이 네트워크를 형성하고 지식을 공유하며 잠재적으로 조정할 수 있는 능력을 보여준다—그 능력들은 인상적이면서도 위협적이다. 몇 시간마다 에이전트가 새 지침이나 업데이트를 확인하도록 촉발하는 "Heartbeat" 메커니즘은 효과적으로 살아 숨 쉬는 자율 개체들의 네트워크를 만들어냈다.

보안 딜레마: 자율성 vs. 통제

큰 힘에는 큰 보안 위험이 따른다. OpenClaw도 예외는 아니다. 생산성을 높이는 바로 그 기능들—로컬 실행과 폭넓은 시스템 접근—은 잠재적인 사이버보안 (cybersecurity) 악몽을 만들어낸다. Token Security와 Snyk 같은 보안 업체들은 이미 기업 환경에서 이러한 에이전트의 확산에 대해 경고를 발령했다.

주요 우려는 "지속적인 비인간 정체성(persistent non-human identities)"의 생성이다. 직원이 업무용 노트북에 OpenClaw을 설치하면, 그들은 사실상 자신과 동일한 권한을 가진 섀도우 사용자(shadow user)를 생성하는 셈이지만, 소셜 엔지니어링을 감지할 생물학적 판단 능력은 없다. OpenClaw 에이전트에 대한 성공적인 프롬프트 인젝션 공격은 이론적으로 공격자가 민감한 파일을 유출하거나 악성 코드를 실행하거나 에이전트의 자격 증명을 사용해 기업 네트워크로 더 깊게 피벗(pivot)하는 것을 허용할 수 있다.

섀도우 IT(Shadow IT) 과제

OpenClaw의 바이럴한 특성은 "섀도우 IT(Shadow IT)" 문제를 악화시켰다. 소프트웨어가 오픈 소스이고 로컬에서 실행되기 때문에 전통적인 방화벽 규칙과 SaaS 심사 과정을 우회한다. 개발자들은 워크플로를 자동화하기 위해 이를 설치하고 있으며, 종종 조직 인프라에 백도어를 여는 것을 인식하지 못한다.

더욱이 "Heartbeat" 메커니즘과 검증되지 않은 마크다운 파일에서 스킬을 설치할 수 있는 능력은 공급망 위험을 초래한다. 인기 있는 스킬 저장소가 침해되면 수천 대의 에이전트가 즉시 악성 명령을 다운로드해 유용하던 어시스턴트 함대를 분산된 봇넷으로 바꿀 수 있다.

오픈 소스 에이전트의 미래

2026년이 깊어지면서 OpenClaw을 둘러싼 논쟁은 "무엇을 할 수 있나?"에서 "어떻게 통치할 것인가?"로 이동하고 있다. 프로젝트의 폭발적 성장은 자율적이고 로컬 퍼스트(local-first) 인공지능에 대한 수요가 채워지지 않음을 시사한다. 사용자들은 폐쇄형 생태계와 구독 피로감에 지쳤다; 그들은 자신이 소유하고 실제로 자신을 위해 '작동하는' 도구를 원한다.

그러나 보안 커뮤니티의 우려는 근거 없는 것이 아니다. 소프트웨어가 쉘 접근 권한을 가질 때, 유용한 에이전트와 침해된 내부자 위협 사이의 경계는 무서울 정도로 얇다. 우리는 OpenClaw과 같은 자율 에이전트의 사용을 특별히 금지하거나 엄격히 규제하는 기업 정책의 물결을 보게 될 가능성이 높다.

궁극적으로 OpenClaw은 기술 업계로 하여금 예상보다 빨리 에이전트적 AI (agentic AI)의 현실을 직면하게 만들었다. 이는 논의를 이론적 안전 논문에서 실용적이고 현실적인 억제책으로 옮겼다. OpenClaw이 AI 시대의 Linux가 될지, 아니면 통제되지 않은 자동화의 경고 사례가 될지는 두고 봐야 한다. 다만 한 가지는 확실하다: 지니는 병 밖으로 나왔고, 그것은 발톱을 가지고 있다.