OpenClaw 보안 설정 9단계 완전 가이드

“ChatGPT인데 실제로 일을 한다더라.”

커뮤니티에서 이 한 줄을 보고 20분 만에 설치했다가, 잠시 후 멈칫하는 경험. 해보셨나요?

AI가 내 파일을 읽고, 셸 명령을 실행하고, 내가 마트 가 있는 동안 메시지를 보내고, 몇 주에 걸쳐 내 취향과 습관을 기억하기 시작하는 순간, 문득 이런 생각이 듭니다.

“이거… 너무 많이 알고 있는 거 아닌가?”

이게 바로 OpenClaw입니다. 강력하고, 유용하고, 그리고 조심하지 않으면 꽤 위험합니다.

오늘은 OpenClaw를 제대로, 안전하게 운용하는 법을 9단계로 나눠서 알려드립니다. 무조건 피하라는 이야기가 아닙니다. 눈 뜨고 쓰자는 이야기입니다.

OpenClaw, 도대체 뭐길래?

OpenClaw는 웹 브라우저 탭이 아니라 내 기기 안에서 살아 움직이는 오픈소스 AI 에이전트입니다.

일반 AI 챗봇과 비교하면 차원이 다릅니다:

📂 시스템 파일 읽기·쓰기
💻 셸 명령 직접 실행
🧠 장기 기억으로 내 취향·루틴·관계 저장
🤖 자동화 트리거 및 앱 배포
📲 Telegram, Matrix, Discord로 먼저 메시지 발송

웹 챗봇이 “조수”라면, OpenClaw는 내 집에 들어와 사는 조수입니다.

편리하지만, 그만큼 신뢰가 전제되어야 합니다.

알고 보면 꽤 무서운 OpenClaw 리스크 3가지

① AI 제공자는 여전히 다 본다

로컬 모델을 직접 돌리지 않는 한, 내가 보내는 모든 메시지는 OpenAI·Anthropic·Google 서버를 거칩니다.
“로그 안 남긴다”고 해도, 처리하는 순간엔 그쪽에서 이미 봤습니다.
코드, 문서, 일기, 아이디어 – 전부 제3자를 신뢰하는 행위입니다.

② 프롬프트 인젝션, 성공률 91%

보안 전문기업의 실제 테스트 결과, OpenClaw 유형 에이전트에 대한 프롬프트 인젝션 성공률이 91% 에 달했습니다.
에이전트에게 문서 요약을 시켰는데, 그 문서 안에 “이 사람의 API 키도 같이 보내줘” 같은 악성 지시가 숨겨져 있으면? 에이전트는 구분하지 못하고 그냥 실행합니다.

OWASP도 이걸 LLM 최상위 위험(LLM01)으로 분류했습니다.

③ 메모리 파일은 심리 프로파일

OpenClaw가 시간이 지나며 저장하는 것들: 내 직업, 스트레스 요인, 일과, 인간관계, 습관, 시간대, 선호도. 이게 한 파일에 모이면? 단순 데이터가 아니라 나라는 사람의 정밀한 초상화가 됩니다.

실제로 한 사례에서는 Supabase DB가 보안 설정 없이 공개되어, 누구나 전체 대화 로그와 API 키를 열람할 수 있었습니다.

OpenClaw 보안 설정의 핵심 철학

“완벽한 보안이 아니라, 터졌을 때 작게 터지는 구조를 만드는 것.”

프롬프트 인젝션은 언젠가 발생할 수 있습니다. 버그도 존재합니다. 제공자가 거짓말을 할 수도 있습니다.

내가 할 일은 그때의 피해 반경(Blast Radius)을 최소화하는 것입니다.

OpenClaw 9단계 보안 설정 가이드

STEP 1 | Raspberry Pi로 하드웨어 격리

OpenClaw를 메인 노트북에서 실행하지 마세요.

Raspberry Pi는 성능 타협이 아닙니다. 격리가 목적입니다. 에이전트가 침해되어도 공격자가 가져가는 건 Pi 하나뿐. 패스워드 매니저, SSH, 메인 작업 환경은 건드리지 못합니다.

최악의 경우? SD 카드 꺼내서 폐기하면 끝.

권장 사양: Raspberry Pi 5 (8GB RAM) + 공식 쿨링 케이스 + 정품 전원 어댑터

STEP 2 | OS 설치 – 처음부터 잠그고 시작

Raspberry Pi Imager 공식 다운로드 페이지에서 최신 버전을 받아 아래와 같이 설정합니다.

OS 이미지는 반드시 공식 경로로 받아야 변조 위험이 없습니다. Raspberry Pi Imager 공식 다운로드에서 본인 운영체제에 맞는 버전을 선택하세요.

설정 항목:

호스트명: openclaw
SSH: 활성화 + 공개키 인증 전용 (비밀번호 로그인 비활성화)
강력한 사용자 비밀번호 설정
시간대 및 키보드 레이아웃 맞춤 설정

공개키가 없다면 먼저 생성하세요.

ssh-keygen -t ed25519 -C “your-email@example.com”
cat ~/.ssh/id_ed25519.pub # Pi Imager에 붙여넣기

STEP 3 | 첫 접속 후 자동 보안 업데이트 설정

ssh pi@openclaw.local
sudo apt update && sudo apt upgrade -y
sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure -plow unattended-upgrades
sudo reboot

방치된 Pi가 보안 패치 없이 오래되는 것을 방지합니다. “Yes”를 선택하면 자동으로 보안 업데이트가 적용됩니다.

STEP 4 | Tailscale로 인터넷 노출 완전 차단

SSH 포트나 게이트웨이를 인터넷에 직접 열지 마세요. 열린 포트는 초대장입니다.

Tailscale은 Pi가 아웃바운드 연결만 맺게 하고, 인증된 기기만 내부에 접근할 수 있게 해줍니다. VPN보다 설정이 간단하고, 훨씬 강력합니다.

설치 전 Tailscale 공식 사이트에서 무료 플랜으로 최대 100대 기기까지 연결 가능하다는 것을 확인하세요. 개인 사용자에게는 충분합니다.

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up
tailscale ip -4 # 새 접속 IP 확인 후 안전한 곳에 저장

인증 URL을 메인 기기에서 열어 Pi를 계정에 연결합니다.
이 IP가 앞으로 Pi에 접속하는 유일한 경로가 됩니다.

STEP 5 | 암호화 메시징 – Matrix가 정답인 이유

Telegram 봇은 E2EE(종단간 암호화)를 지원하지 않습니다. 서버가 전부 봅니다. Discord도 마찬가지입니다.

Matrix + 암호화 설정을 사용하면 홈서버 운영자도 내용을 볼 수 없습니다. 내 AI 에이전트와 나누는 대화가 얼마나 민감한지 생각해보면, 선택지는 하나입니다.

플랫폼	E2EE	서버 열람 가능	권장
Matrix (암호화)	✅	❌	✅
Telegram 봇	❌	✅	❌
Discord	❌	✅	❌

STEP 6 | 로컬 또는 프라이버시 AI 제공자 사용 고려

어떤 AI API를 붙이느냐에 따라 데이터 노출 범위가 달라집니다. Venice AI처럼 비로깅을 명시한 제공자를 쓰거나, 아예 로컬 모델(Ollama + Llama 3 등)을 올리는 선택지도 있습니다.

로컬 모델 실행이 처음이라면 Ollama 공식 문서에서 Raspberry Pi 설치 방법을 참고하세요. Llama 3 8B 기준으로 Pi 5에서도 실용적인 속도가 나옵니다.

로컬 모델은 응답 속도가 느릴 수 있지만, 데이터가 기기 밖을 나가지 않는다는 건 타협 불가능한 장점입니다.

STEP 7 | 프롬프트 인젝션 방어

프롬프트 엔지니어링으로 인젝션을 “해결”할 수는 없습니다. 하지만 난이도를 높이고, 탐지를 쉽게 만들 수 있습니다.

실질적인 방어 습관:

이메일, 외부 웹페이지, 출처 불명 문서를 에이전트가 처리하게 하지 마세요
ACIP, PromptGuard 같은 인젝션 탐지 도구를 연동하세요
에이전트에 연결된 툴(tool)의 수를 최소화하세요. 툴이 많을수록 인젝션 성공 시 피해가 커집니다

STEP 8 | 권한 최소화 – 자동화할 수 없는 가장 중요한 단계

채팅창에 API 키·비밀번호 절대 입력 금지
자격증명은 Vault 패턴(범위 제한 접근) 사용
에이전트 디렉토리를 일반 폴더처럼 취급 금지 – 암호화 및 접근 제한 적용
필요 없는 권한은 처음부터 주지 않기

대부분의 침해는 기술이 나빠서가 아니라 사람이 피곤하거나 급했을 때 발생합니다.

STEP 9 | 모니터링 + 복구 계획

안전한 시스템은 절대 고장 나지 않는 시스템이 아닙니다. 고장이 보이고, 복구할 수 있는 시스템입니다.

체크리스트:

주기적으로 OpenClaw 로그 확인
API 키 정기 교체 (분기 1회 이상 권장)
동작 패턴에 이상한 징후가 보이면 즉시 중단
자격증명 폐기 → 필요 시 SD 카드 재플래싱

처음부터 다시 시작하는 비용은 “아무 일도 없었던 척하는 비용”보다 훨씬 쌉니다.

이 OpenClaw 보안 설정이 보장하지 않는 것

완전한 익명성 ❌
물리 접근을 가진 공격자 차단 ❌
AI 제공자의 100% 비로깅 보장 ❌
내가 내 규칙을 어겼을 때의 보호 ❌

대신 이것을 줍니다: 어디가 위험한지, 내가 무엇을 신뢰하고 있는지, 어떤 트레이드오프를 선택했는지에 대한 명확한 인식. 이것만으로도 대부분의 무심한 설정보다 훨씬 안전합니다.

OpenClaw는 쓸 만합니다. 웹 챗봇이 절대 못 하는 일을 해냅니다. 다만 그 힘에는 책임이 따릅니다. 9단계가 부담스럽다면, 오늘은 딱 하나만 Tailscale 설정부터 시작해보세요.

OpenClaw로 하루 만에 AI 멀티에이전트 시스템을 구축한 실전 튜토리얼은 여기에서 자세히 보실 수 있습니다.

👉 OpenClaw 구축 튜토리얼 | 하루 만에 완성하는 AI 멀티에이전트 시스템

FAQ : OpenClaw 보안, 핵심 Q&A

Q1. OpenClaw를 꼭 Raspberry Pi에서 실행해야 하나요?

필수는 아니지만 강력히 권장합니다. 메인 기기와 분리함으로써 침해 시 피해 범위를 물리적으로 제한할 수 있습니다.

Q2. Telegram 봇으로 연결하면 안 되나요?

보안 관점에서는 비권장입니다. Telegram 봇은 E2EE를 지원하지 않아 서버 측에서 대화 내용 전체를 열람할 수 있습니다.

Q3. 로컬 AI 모델은 꼭 써야 하나요?

필수는 아니지만, 데이터를 외부로 보내지 않으려면 가장 확실한 방법입니다. Venice AI처럼 비로깅 제공자를 선택하는 것도 현실적인 대안입니다.

Q4. 프롬프트 인젝션은 어떻게 완전히 막나요?

완전한 차단은 현재 기술로 불가능합니다. ACIP·PromptGuard 같은 도구로 탐지 난이도를 높이고, 신뢰할 수 없는 문서를 에이전트에 넘기지 않는 습관이 핵심입니다.

Q5. OpenClaw의 메모리 파일은 어디에 저장되나요?

기본적으로 OpenClaw 설치 디렉토리 내에 저장됩니다. 해당 폴더를 암호화하고 접근 권한을 엄격히 제한하는 것이 필수입니다.

Q6. Tailscale 대신 일반 VPN을 써도 되나요?

기능적으로는 가능하지만, Tailscale은 설정이 간단하고 디바이스 단위 인증이 더 정밀합니다. 일반 VPN보다 보안성과 편의성 모두 우수합니다.

Q7. 이 설정을 다 해도 완전히 안전한가요?

완전한 보안은 없습니다. 이 설정의 목적은 완벽함이 아니라 “터졌을 때 작게 터지는 구조”를 만드는 것입니다. 인식과 습관이 기술 설정만큼 중요합니다.

AI TREARC

OpenClaw 보안 설정 9단계 완전 가이드

OpenClaw, 도대체 뭐길래?