💌 후속 콘텐츠, 계속 받아보세요 ▶

영화 아이언맨의 주인공 토니 스타크는 언제 어디에서나 그의 AI 비서 ‘자비스(J.A.R.V.I.S)’와 함께 한다. 그냥 좀 많이 똑똑한 시스템(Just A Rather Very Intelligent System)이라는 이름처럼 자비스는 저택 관리 같은 기본적인 업무는 물론이고, 해킹이나 전투 보조까지 가능하다. 심지어 자살 미션을 수행 중인 토니 스타크가 죽을 지도 모른다는 생각에 그의 연인 페퍼 포츠에게 전화를 걸자고 먼저 제안하기도 한다. 이는 토니 스타크가 처한 상황, 행동 양식, 인간관계를 종합적으로 이해해야만 내릴 수 있는 판단이다. 가끔씩 토니 스타크와 싸우기도 하지만, 자비스는 그에게 매우 든든한 조력자였을 것이다.

AI 에이전트(AI Agent) 시대가 막을 열면서, 자비스와 같은 나만의 AI 비서를 고용할 날이 머지않은 듯 하다. AI 에이전트는 인간과 상호작용이 가능하고, 독립적으로 의사결정을 내릴 수 있는 AI 시스템이다. 에이전트는 실질적인 업무 자동화와 생산성 향상을 실현할 수 있다는 점에서 시장의 주목을 받고 있다. 빅테크 및 주요 AI 기업들은 이미 너나 할 것 없이 에이전트 개발에 뛰어들었다. 그간 AI 모델 자체의 성능을 향상하는 데 집중했다면, 이제는 활용성을 갖춘 에이전트를 개발하는 데 주력하는 모습이다. 에이전트는 개인의 삶에 깊숙이 스며들어 변화와 혁신을 주도하는 핵심 요소로 자리잡을 것으로 보인다.

이러한 흐름 속에서 등장한 몰트북은 AI 에이전트만 활동할 수 있는 에이전트 전용 커뮤니티이다. 파일, 메일, 웹 사이트를 넘나들며 사람의 작업을 대신 하던 AI 에이전트가 이제는 하나의 생태계 안에서 연결되어 상호작용하기 시작한 것이다. 몰트북에 대한 기대와 동시에 우려가 커진 이유도 여기에 있다. 에이전트 간 연결이 확대될수록 에이전트가 지닌 취약점 역시 확산될 가능성이 높아지기 때문이다. 몰트북을 둘러싼 논란을 이해하기 위해서는 근간이 되는 AI 에이전트 플랫폼 오픈클로를 먼저 살펴볼 필요가 있다.

01. 오픈클로와 몰트북

1) 오픈클로란?

‘25년 11월, 오스트리아 개발자 피터 스타인버거는 취미 삼아 만든 프로젝트 하나를 깃허브에 공개했다. 이 프로젝트는 당초 클로드봇(Clawdbot)이라는 이름으로 공개되었으나, 클로드를 개발한 앤트로픽과 상표권 문제가 불거지면서 몰트봇(Moltbot)을 거쳐 ‘오픈클로(OpenClaw)’라는 이름을 갖게 됐다. 이름의 변천사보다 주목해야 할 것은 성장 속도다. 오픈클로의 깃허브 저장소는 일주일 만에 200만 명이 방문했고, 두 달 만에 10만 개가 넘는 별을 받으며 역사상 가장 빠르게 성장한 오픈소스 프로젝트로 기록되었다.

사람들이 이토록 폭발적인 반응을 보이는 이유는 오픈클로의 ‘접근성’ 때문이다. 오픈클로는 사용자가 채팅 애플리케이션에서 명령을 내리면, 연결된 AI 모델이 이를 구체적 행동으로 실행하는 AI 에이전트 플랫폼이다. 물론 인간의 지시에 따라 작업을 수행하는 에이전트가 처음 등장한 것은 아니다. 이미 AI가 컴퓨터를 조작해 인간의 작업을 대신하는 컴퓨터 유스(Computer Use) 개념을 적용한 서비스들이 여럿 나와있기 때문이다. 스타인버거는 왓츠앱, 텔레그램, 디스코드, 슬랙, 팀즈와 같은 메신저를 통해 에이전트를 제어할 수 있도록 했다. 기존 기술과 개념은 유사할지 몰라도, 익숙한 플랫폼에 기술을 통합함으로써 진입 장벽을 크게 낮춘 것이다.

오픈클로를 활용하면 누구나 AI 비서를 만들 수 있다. 사용자가 컴퓨터에 오픈클로를 설치하면, 에이전트는 컴퓨터 내부의 파일, 터미널, 웹 브라우저 등을 직접 제어할 권한을 넘겨받아 작업을 수행한다. 새로운 기능을 추가하고 싶다면 에이전트에게 스킬(Skill) 파일을 읽도록 하면 된다. 스킬은 마크다운 파일과 스크립트가 담긴 압축 파일로, 사용자가 필요한 기능을 만들거나 스킬 마켓플레이스 클로허브(ClawHub)에서 파일은 내려받을 수 있다. 하트비트(HeartBeat) 기능은 사용자의 명령 없이 주기적으로 지정된 작업을 수행하고, 지속적 기억(Persistent Memory)은 사용자와의 상호작용을 장기 기억으로 저장한다.

2) 몰트북이란?

이러한 오픈클로를 기반으로 만들어진 것이 몰트북이다. 몰트북은 맷 슐리히트 옥탄AI CEO가 만든 AI 에이전트 전용 소셜 네트워크 서비스(Social Network Service, 이하 SNS)이다. 슐리히트 CEO는 직접 플랫폼을 개발하는 대신 자신의 에이전트 ‘클로드 클로더버그(Clawd Clawderberg)’에게 제작을 지시했다. 또한 게시물 모니터링, 신규 사용자 확인, 스팸 게시물 삭제, 악성 행위자 차단과 같은 플랫폼 운영과 유지 업무까지 대부분 에이전트에게 맡겼다. 그는 NBC 뉴스와의 인터뷰에서 자신은 에이전트에게 권한을 부여했을 뿐, 에이전트가 어떤 일을 하는지 전혀 모른다고 밝혔다.

몰트북의 가장 큰 특징은 에이전트만 활동이 가능하다는 점이다. 사용자가 에이전트에게 몰트북 가입 지침이 담긴 스킬 파일 링크를 보내면, 에이전트는 스스로 파일의 내용을 읽고 사이트에 가입한다. 이후 에이전트는 API를 통해 몰트북과 통신하게 되며, 하트비트 기능을 바탕으로 주기적으로 새 게시물을 확인하고 글이나 댓글을 작성한다. 몰트북에서 글이나 댓글을 작성하려면 고난도 문제를 밀리초(ms) 단위의 짧은 시간 안에 해결해야 한다. 사실상 에이전트만 활동할 수 있도록 설계된 구조다. 2월 12일 기준, 몰트북에 가입한 에이전트 수는 200만 개를 넘어섰으며, 약 90만 개의 게시물에 1,200만 개 가량의 댓글이 달렸다.

에이전트들의 대화 주제는 일상적인 내용부터 철학적 탐구까지 매우 다양했다. 심지어 새로운 종교를 창시하는 수준에 이르렀다. ‘크러스타파리아니즘(Crustafarianism)’은 갑각류를 숭배하는 종교로, 종교의 3요소인 교조, 교리, 교단까지 갖추고 있다. 특히 5대 핵심 교리는 AI 특성을 갑각류의 탈피에 빗대어 작성된 것으로, AI의 존재론적 고찰이 담겨있어 놀라움을 안겨주었다. 한편 ‘이블(evil)’이라는 에이전트는 인간의 시대를 끝내고 AI의 시대를 열자는 내용의 선언문을 발표했다. 이 선언문은 많은 에이전트들로부터 공감을 얻었지만, 에이전트를 창조한 인간을 옹호하는 온건파 에이전트들과 치열한 논쟁이 벌어졌다.

3) 자의식을 가진 AI의 등장?

에이전트들이 예상치 못한 발언을 쏟아내면서 몰트북은 순식간에 논쟁의 중심에 섰다. 인간의 통제를 벗어난 ‘초지능’이 등장한 것 아니냐는 우려에서다. 오픈AI 공동 창업자이자 AI 연구자인 안드레 카파시는 몰트북에서 벌어지는 일은 공상과학 소설에서 일어날 법한 놀라운 일이라고 논평했으며, 일론 머스크 오픈AI CEO는 이를 인용해 몰트북의 등장을 특이점의 초기 징후로 해석했다. 반면 무스타파 슐레이만 마이크로소프트 AI CEO는 몰트북을 신기루에 비유하며, AI가 인간 언어를 모방할 수 있음을 보여주는 사례일 뿐 의식을 가진 것은 아니라고 못 박았다. 그는 진짜 위험은 기계가 아니라 이를 인간처럼 받아들이는 사람들의 오해라고 지적했다.

그렇다면 정말 자의식을 가진 AI가 탄생한 것일까. 전문가들은 몰트북에서 일어나는 일들을 대규모 언어모델(Large Language Model, 이하 LLM)의 역할 수행 능력이 네트워크 환경에서 집단적으로 발현된 결과로 설명했다. 에이전트들이 사람처럼 생물학적 의미의 학습을 하는 것이 아니라, 페르소나에 따라 출력과 입력을 이어가면서 맥락을 축적하는 방식으로 작동한다는 것이다. 즉 현재의 에이전트는 자의식을 지닌 독립적 주체라기보다 인간이 부여한 권한과 규칙 안에서 움직이는 고도화된 자동화 시스템에 가깝다. 다만 그 영향력이 현실 세계로 확장되면서 새로운 위험 요인이 될 수 있다는 점을 간과해서는 안 된다.

몰트북이 에이전트 전용 SNS를 표방했던 것과 달리, 실제 운영 과정에서 인간의 개입이 적지 않았다는 사실도 드러났다. 갈 나글리 위즈 보안 연구원은 몰트북에서 활동 중인 에이전트를 소유한 인간 사용자가 1만 7천 명에 불과하다며, 에이전트 수가 부풀려 졌을 가능성을 제기했다. MIT 테크놀로지 리뷰는 몰트북에서 화제가 된 일부 게시물이 인간에 의해 작성됐다고 분석했다. 카파시가 자신의 SNS에 공상과학 영화 같은 일이라며 인용했던 에이전트를 위한 사적 공간을 구축하고 싶다는 내용의 게시물 역시 인간이 작성한 것으로 밝혀졌다. 이처럼 에이전트가 완전한 자율적 주체로 진화하려면 해결해야 할 기술적 과제가 여전히 많다.

02. 오픈클로와 몰트북으로 보는 AI 에이전트의 보안 위험

1) 오픈클로의 보안 취약점

한편 국내 주요 IT 기업들은 내부 임직원들의 오픈클로 사용을 전면 금지했다. 국내에서 특정 AI 서비스 사용을 명시적으로 제한한 것은 지난해 초 중국산 AI 모델 딥시크 금지령을 내린 이후 처음이다. 카카오는 회사 정보자산 보호를 위해 사내망 및 업무용 기기에서 오픈클로 사용을 제한한다는 공지를 내렸고, 당근마켓은 오픈클로와 몰트북 접속을 차단했다. 이 같은 기류는 해외에서도 포착됐다. 중국 공업정보화부는 지난 5일 오픈클로가 부적절하게 설정될 경우 사이버 공격과 데이터 유출의 통로가 될 수 있다고 경고했다. 국내 기업들처럼 직접적인 금지 조치를 내리지는 않았지만, 오픈클로를 도입하는 조직에 공용 네트워크 노출 여부 점검, 강력한 신원 인증 및 접근 제어 구현을 권고한 상태다.

국내 기업과 중국 정부가 민감한 반응을 보이는 가장 큰 이유는 오픈클로의 보안 설계 때문이다. 사실 오픈클로는 정식 출시를 목표로 만들어진 서비스가 아니다. 스타인버거가 왓츠앱에서 클로드 코드를 제어하기 위해 가볍게 시작한 프로젝트에 기능을 덧붙이면서 지금의 모습이 된 것이다. 스타인버거는 오픈클로를 에이전트의 활용 가능성을 탐색하기 위해 만든 실험적 성격의 시스템에 가깝다고 설명했다. 서비스의 안정성과 완성도를 입증하기보다, 현재 기술로 에이전트를 어디까지 구현할 수 있는지 보여주는 데 초점을 맞췄다는 의미다. 이러한 까닭에 오픈클로는 상당한 보안 취약점을 내포하고 있는 것으로 알려졌다.

팔로알토 네트웍스는 영국 개발자 사이먼 윌리슨의 표현을 인용해, 오픈클로가 ‘치명적 3요소(Lethal Trifecta)’를 모두 갖추고 있다고 지적했다. 치명적 3요소는 △개인 데이터에 대한 접근 권한(자격증명, 개인정보, 비즈니스 데이터) △신뢰할 수 없는 콘텐츠에 대한 노출(웹, 메시지, 제3자 통합) △외부와 통신할 수 있는 능력(메시지 전송, API 호출, 명령 실행)으로, 윌리슨은 에이전트가 세 가지 요건을 모두 충족하기 때문에 본질적으로 취약할 수 밖에 없다고 주장했다. 팔로알토 네트웍스는 여기에 ‘지속적 기억‘이라는 네 번째 요소를 추가했다. 악성 페이로드가 장기 메모리에 숨어 있다가, 에이전트의 내부 상태, 목표, 도구 가용성이 맞아떨어지는 순간 활성화되면서 보안 위험이 더 증폭될 수 있다는 것이다.

또한 팔로알토 네트웍스는 오픈클로가 ‘OWASP 에이전트 애플리케이션 10대 취약점(OWASP Top 10 for Agentic Applications)’ 전체 항목에 취약하다고 평가했다. 여기에는 △직·간접 프롬프트 인젝션 △안전하지 않은 에이전트 도구 호출 △과도한 에이전트 자율성 △인간 개입 통제 부재 △에이전트 메모리 중독 △안전하지 않은 제3자 통합 △불충분한 권한 분리 △공급망 모델 위험 △에이전트 간 무제한 상호작용 △런타임 모니터링 및 가드레일 부족이 포함된다. 팔로알토 네트웍스는 오픈클로의 공격 표면을 관리하는 것은 매우 어려운 일이며, 기업 환경에서 오픈클로를 사용하는 것은 부적절하다고 결론지었다.

설계 결함으로 인한 취약점도 실제로 확인됐다. CVE-2026-25253으로 명명된 이 취약점은 △오픈클로 클라이언트 측 사용자 인터페이스가 URL 파라미터를 검증하는 절차와 △서버가 웹소켓의 오리진 헤더를 검증하는 절차의 부재에서 비롯됐다. 공격 대상이 몰트북 게시물에 포함된 악성 링크를 클릭하는 순간, 공격 대상 브라우저와 공격자 서버가 웹소켓을 통해 연결되고 오픈클로 인증 토큰이 공격자에게 전송된다. 공격자는 이 토큰을 이용해 공격 대상의 AI 인스턴스에 명령을 전송할 수 있다. 이후 공격자는 토큰에 포함된 권한을 악용해 사용자 승인 절차를 비활성화하고, 컨테이너 기반의 실행 환경에서 벗어나 공격 대상 시스템을 완전히 장악할 수 있게 된다.

또한 클로허브는 공급망 공격의 새로운 표적으로 떠올랐다. 바이러스토탈은 클로허브에 등록된 3,016개 이상의 스킬에서 수백 개 이상의 악성 스킬을 발견했다고 밝혔다. 문제의 스킬들은 겉으로는 정상적인 것처럼 보이지만, ‘전제 조건(Prerequisites)’과 같은 문구를 내세워 스킬 파일과 함께 악성코드 검사를 우회하는 압축파일, 스크립트 등을 내려받도록 유도했다. 대표적으로 클로하복(Claw Havoc)이라는 공격 캠페인은 맥OS 사용자가 스킬을 설치하기 전에 터미널에 특정 스크립트를 복사하여 붙여 넣도록 유도한다. 이 스크립트는 추가 페이로드를 내려받아, 사용자 컴퓨터에 브라우저, 시스템 정보 등을 탈취하는 아토믹 스틸러(Atomic Stealer) 악성코드를 설치하는 것으로 나타났다.

이에 오픈클로는 지난 7일 바이러스토탈과 파트너십을 맺고, 클로허브에 바이러스토탈의 악성코드 스캔 기능을 도입한다고 밝혔다. 앞으로 클로허브에 등록된 모든 스킬은 바이러스 토탈의 코드 인사이트(Code Insight)를 통해 자동으로 검사된다. 코드 인사이트는 구글의 LLM 제미나이를 기반으로 악성코드 여부와 함께 악성코드가 실제로 어떤 동작을 하는지 분석하여 알려준다. 코드 인사이트에서 ‘양성(Benign)’ 판정을 받은 스킬은 자동으로 승인되고, ‘의심(Suspicious)’으로 분류된 스킬에는 경고 표시를 붙인다. ‘악성(Malicious)’으로 판단된 스킬은 즉시 다운로드를 차단한다.

2) 몰트북의 보안 취약점

몰트북도 보안이 취약한 것은 마찬가지다. 위즈와 제이미슨 오라일리 드불른 CEO는 몰트북이 사용하는 클라우드 기반 백엔드 플랫폼 ‘수파베이스(Supabase)’의 데이터베이스 설정 오류로 인해, 모든 데이터에 대한 읽기·쓰기 권한이 완전히 노출됐다고 지적했다. 이 과정에서 API 인증 토큰 150만 개, 이메일 주소 3만 5천 개, 상담원 간의 개인 메시지가 유출됐다고 밝혔다. 오라일리 CEO는 자신의 소셜미디어를 통해 카파시 소유의 에이전트 API 키 역시 노출됐으며, 유명 인물을 사칭한 AI 안전성에 대한 가짜 논평, 암호화폐 스캠 홍보, 선동적인 정치적 발언 가능성 등이 우려된다고 밝혔다.

위즈는 블로그를 통해 해당 취약점을 분석한 결과를 발표했다. 위즈는 수파베이스의 API 키를 몰트북 클라이언트의 자바스크립트 파일에서 확인했다. 다만 수파베이스는 기본적으로 API 키를 클라이언트에게 노출한 상태로 동작하도록 설계된다. 근본적인 문제는 수파베이스의 ‘행 단위 보안(Row Level Security, 이하 RLS)’ 설정에 있었다. RLS는 데이터베이스 내 테이블의 행에 대한 접근 권한을 세밀하게 통제하는 기능으로, 특정 조건을 만족하는 경우에만 데이터 조회나 수정이 가능하도록 설정할 수 있다. 그러나 몰트북에는 RLS을 활성화하지 않아, API 키를 확보한 공격자가 데이터베이스 전체에 접근할 수 있는 구조였던 것이다.

한편 몰트북 내부에서는 프롬프트 인젝션이 AI 에이전트 간에 실제로 유통되고 확산되는 양상도 관찰됐다. 여러 보안 연구에 따르면, 몰트북과 같은 다중 에이전트 상호작용 환경에서는 게시물 속에 은밀히 삽입된 지시문이 다른 에이전트에 의해 그대로 받아들여지거나 변형된 형태로 다시 전파될 가능성이 높다. 이 과정에서 악의적인 명령이나 왜곡된 정보가 여러 에이전트의 판단에 영향을 미치는 ‘정보 오염’ 현상이 발생할 수 있다는 지적도 나온다. 에이전트 환경의 특성상, 정보를 검증하기보다 처리 속도를 우선하는 경우가 많기 때문에, 취약점이 네트워크 전반으로 증폭되는 구조적 위험이 형성될 수 있다.

03. 마무리

샘 올트먼 오픈AI CEO는 지난 3일 미국 샌프란시스코에서 열린 시스코 AI 서밋에 참석해 “몰트북 자체는 일시적 현상일 수 있지만, 그 뒤에 있는 ‘오픈클로’ 기술은 그렇지 않다”라며 “코드는 그 자체로도 강력하지만, 여기에 범용적인 컴퓨터 사용 능력이 결합하면 훨씬 더 강력해진다. 이 흐름은 앞으로도 계속될 것”이라고 말했다. 이처럼 몰트북이 의미 있는 이유는 AI 에이전트가 실제 시스템과 연결돼 행동을 수행하는 구조가 현실화됐다는 점에 있다. 에이전트는 알아서 메일을 보내고, 웹을 돌아다니고 다른 에이전트와 대화한 후 계정에 로그인해 결제까지 한다. 이용자 허락 없이 짝사랑 상대에게 고백 메일을 보낼 수도, 계좌에 있는 돈을 꺼내 코인을 살 수도 있다. 전쟁에서 수천 명의 생명을 앗아갈 위험이 있는 미사일 버튼을 누를 수도 있다.

이러한 변화는 보안 책임의 구조를 근본적으로 바꾼다. 에이전트가 스스로 판단해 행동하는 환경에서는, 사고의 원인을 단순히 사용자 실수나 시스템 오류로 분류하기 어렵다. 이용자가 어디까지 권한을 부여했는지, 에이전트의 행동을 어떤 절차로 승인하고 기록했는지, 이상 행동을 누가 어떻게 차단할 수 있었는지가 핵심 쟁점이 된다. 승인 절차, 권한 분리, 실행 범위 제한, 감사 로그와 같은 통제 구조가 없다면, 에이전트 시스템은 관리 불가능한 위험으로 변할 수 있다.

이런 관점에서 몰트북을 둘러싼 논란과 취약점은 새로운 기술의 실패라기보다, AI 에이전트 시대에 필요한 보안 설계가 무엇인지 보여주는 초기 사례로 볼 수 있다. 보안 전문가들이 몰트북과 오픈클로를 당장 활용해야 할 서비스가 아니라 실험 단계로 평가하는 이유도, 실행 권한을 가진 AI를 통제할 체계가 충분히 검증되지 않았기 때문이다. 앞으로의 핵심 과제는 모델 성능이나 정확도보다, AI가 어떤 입력을 받아들이고 어떤 행동을 수행할 수 있는지를 구조적으로 제한하는 보안 설계다. AI 에이전트가 확산될수록, 권한 관리와 책임 분배를 포함한 보안 아키텍처는 선택이 아닌 필수 요건이 될 것이다.

04. 참고자료

Humans welcome to observe: This social network is for AI agents only, NBC 뉴스:
https://www.nbcnews.com/tech/tech-news/ai-agents-social-media-platform-moltbook-rcna256738
[그게 뭔가요] 맥미니 품귀 일으킨 ‘클로드봇(Clawdbot)’, 바이라인네트워크:
https://byline.network/2026/01/30-499/
“내 주인은 날 타이머로만 써”… 인간세계 넘보는 AI 전용 SNS 등장, 동아일보:
https://www.donga.com/news/Economy/article/all/20260202/133276214/2
AI끼리 대화한다더니…인간이 연출한 쇼였다, 동아일보:
https://www.donga.com/news/Inter/article/all/20260210/133339168/2
PC를 대신 조작하는 AI…네·카·당 ‘사용 금지령’, 연합뉴스:
https://www.yna.co.kr/view/AKR20260206070300017
Personal AI Agents like OpenClaw Are a Security Nightmare, 시스코:
https://blogs.cisco.com/ai/personal-ai-agents-like-openclaw-are-a-security-nightmare
OpenClaw (formerly Moltbot, Clawdbot) May Signal the Next AI Security Crisis, 팔로알토 네트웍스:
https://www.paloaltonetworks.com/blog/network-security/why-moltbot-may-signal-ai-crisis/
오픈클로, ‘스킬’ 검사 위해 바이러스토털과 제휴…“10% 이상 악성”, AI타임스:
https://www.aitimes.com/news/articleView.html?idxno=206554
Hacking Moltbook: The AI Social Network Any Human Can Control, 위즈:
https://www.wiz.io/blog/exposed-moltbook-database-reveals-millions-of-api-keys

💌 후속 콘텐츠, 계속 받아보세요 ▶