---
title: "오픈클로 모바일 앱 출시, ‘주머니 속 AI 에이전트’가 보안 폭탄이 될 수도 있다"
published: 2026-06-30T03:05:03.277Z
canonical: https://jeff.news/article/4435
---
# 오픈클로 모바일 앱 출시, ‘주머니 속 AI 에이전트’가 보안 폭탄이 될 수도 있다

오픈소스 AI 에이전트 플랫폼 오픈클로가 iOS와 Android 네이티브 앱을 공개하며 모바일 기반 개인 에이전트 허브로 확장했다. 하지만 스킬 마켓플레이스 공급망 리스크, 간접 프롬프트 인젝션, 노출된 관리 인터페이스 문제가 겹치면서 모바일 확장이 새로운 공격 면적을 키운다는 우려도 커지고 있다.

## 모바일로 내려온 오픈소스 에이전트

- 오픈소스 AI 에이전트 플랫폼 오픈클로가 iOS와 Android 네이티브 앱을 공개함
  - 원래 개발자 지향 커맨드라인 도구에 가까웠던 프로젝트가 일반 소비자용 앱 생태계로 넘어가겠다는 선언에 가까움
  - 사용자는 스마트폰을 자체 호스팅 OpenClaw 게이트웨이에 페어링해서 음성 대화, 작업 승인, 디바이스 연동 자동화를 할 수 있음

- 앱이 잡는 권한 범위가 꽤 넓음
  - QR 코드나 설정 코드로 프라이빗 게이트웨이에 연결됨
  - 카메라, 화면, 위치, 사진, 연락처, 캘린더, 알림 같은 모바일 기능을 에이전트가 활용할 수 있게 설계됨
  - 말 그대로 스마트폰이 개인 에이전트 허브가 되는 구조라 편의성은 크지만, 권한 모델이 빡세게 관리돼야 함

- 오픈클로는 이걸 로컬 우선 아키텍처라고 설명함
  - 게이트웨이, API 키, 권한을 사용자가 직접 관리하고 중앙 서버를 통하지 않는다는 점을 차별점으로 내세움
  - iOS 앱은 iPhone, iPad, Apple Watch를 지원하고 Android 앱도 유사한 핵심 기능을 제공함
  - 다만 Android 앱은 버그와 페어링 난이도 때문에 구글 플레이스토어 평점이 2점대 초반에 머문다고 함

## 문제는 스킬 생태계와 권한임

> [!WARNING]
> 에이전트가 카메라, 위치, 연락처, 캘린더까지 다룰 수 있다면 악성 스킬 하나의 피해 범위도 훨씬 커짐. “챗봇 보안”이 아니라 “개인 디바이스 자동화 보안”으로 봐야 함.

- ClawHub 스킬 마켓플레이스의 공급망 리스크가 계속 지적되고 있음
  - Palo Alto Networks Unit 42는 2026년 6월 보고서에서 악성 스킬 5개가 검수 체계를 우회해 등록, 유포됐다고 밝힘
  - 여기에는 macOS 정보 탈취 악성코드인 AMOS 인포스틸러와 금융 사기용 스킬이 포함됐다고 함

- 간접 프롬프트 인젝션도 핵심 취약점으로 언급됨
  - 다른 분석에서는 수백 개 수준의 악성 스킬이 레지스트리에 남아 있다고 봄
  - 자연어 지시문에 숨은 간접 프롬프트 인젝션이 전체 취약점의 80% 이상을 차지한다는 정량 결과도 제시됨
  - 에이전트는 말로 시키면 실제 작업을 하니까, 악성 지시가 섞였을 때 피해가 단순 오답으로 끝나지 않음

- Cloud Security Alliance의 경고도 꽤 세다
  - 5월 연구노트에서 네 개의 연쇄 CVE가 결합되면 OpenClaw 기반 에이전트를 완전히 탈취할 수 있다고 봄
  - 2026년 기준 이미 공개된 6건을 포함해 열 건 수준의 취약점이 누적되고 있다고 언급됨
  - 2026년 1월 말 기준 2만1000여 개 OpenClaw 인스턴스의 관리 인터페이스가 인터넷에 직접 노출돼 있었다는 수치도 나옴

## 성장 속도는 진짜 빠름

- 오픈클로는 이미 개발자 장난감 수준을 넘어선 규모로 보임
  - 오스트리아 개발자 Peter Steinberger가 2025년 말 커맨드라인 도구로 시작함
  - 2026년 2월 OpenAI 인수 이후 OpenClaw 재단 아래 오픈소스로 유지되며 생태계가 빠르게 커짐
  - GitHub 스타는 34만 개를 넘었고, 월간 활성 사용자는 320만 명 이상으로 집계됨
  - 전 세계에 수십만 대의 게이트웨이가 분산 배치된 것으로 알려짐

- 모바일 앱 출시는 기술과 보안의 긴장을 소비자 시장 한복판으로 가져오는 사건임
  - 에이전트가 음성 명령으로 캘린더를 수정하고, 카메라로 물체를 인식하고, 위치 기반 작업을 수행하는 그림이 가능해짐
  - 반대로 스킬 출처 검증, 권한 최소화, 네트워크 모니터링이 허술하면 주머니 속 자동화 도구가 공격 통로가 될 수 있음

- 결론은 꽤 단순함: 오픈소스 에이전트가 대중화될수록 보안 거버넌스도 제품 경험의 일부가 돼야 함
  - 금융기관, 기업, 개인 사용자 모두 스킬 설치 전에 출처와 권한을 확인해야 함
  - 모바일 권한과 에이전트 자동화가 결합되면 “나중에 보안 붙이면 되지”가 잘 안 통함

---
## 기술 맥락

- 오픈클로가 모바일 앱을 낸 건 에이전트의 실행 위치를 개발자 터미널에서 개인 디바이스로 넓히는 선택이에요. 스마트폰은 카메라, 위치, 연락처, 캘린더처럼 현실 세계와 연결된 권한을 이미 갖고 있어서 자동화의 가치가 커져요.

- 로컬 우선 구조를 내세우는 이유는 중앙 서버에 모든 키와 데이터를 맡기지 않겠다는 거예요. 다만 사용자가 게이트웨이를 직접 운영하면 노출된 관리 인터페이스나 약한 설정 같은 운영 리스크도 사용자의 몫이 돼요.

- 스킬 마켓플레이스가 위험한 이유는 에이전트가 단순 플러그인 실행기를 넘어 실제 작업 수행자이기 때문이에요. 악성 스킬이 설치되면 정보 탈취나 금융 사기 같은 행동이 자동화 권한과 결합될 수 있어요.

- 간접 프롬프트 인젝션은 모바일 에이전트에서 더 까다로워요. 에이전트가 웹페이지, 알림, 문서 내용을 읽고 행동한다면 외부 콘텐츠에 숨은 지시가 실제 캘린더 변경이나 데이터 전송으로 이어질 수 있거든요.

## 핵심 포인트

- 오픈클로 모바일 앱은 스마트폰을 자체 호스팅 게이트웨이에 연결해 음성 대화, 작업 승인, 디바이스 자동화를 지원한다.
- 카메라, 화면, 위치, 사진, 연락처, 캘린더, 알림 등 모바일 권한을 에이전트가 활용할 수 있게 설계됐다.
- Unit 42는 악성 스킬 5개가 ClawHub 검수를 우회했다고 지적했고, 다른 분석에서는 취약점의 80% 이상이 간접 프롬프트 인젝션이라고 봤다.
- 2026년 1월 말 기준 2만1000여 개 OpenClaw 인스턴스의 관리 인터페이스가 인터넷에 직접 노출된 것으로 언급됐다.

## 인사이트

에이전트가 스마트폰 권한까지 잡는 순간, 보안 모델은 챗봇이 아니라 모바일 운영환경에 가까워진다. 자동화가 편해질수록 스킬 검증, 권한 최소화, 네트워크 노출 관리가 제품 핵심 기능이 돼야 한다.
