2026-07-13 기준 · OpenClaw v2026.1.29 이후 버전 대상
결론부터: 오픈클로는 아래 7가지만 지키면 개인 기기에서 훨씬 안전하게 시작할 수 있습니다. 핵심은 ① 최신 버전 설치 ② 게이트웨이 토큰 인증(token authentication) ③ 루프백(loopback) 바인딩 ④ Docker 샌드박스(sandbox) 격리 ⑤ 비루트(non-root) 전용 계정 실행 ⑥ DM 허용목록(allowlist) ⑦ 파일 권한 잠금 — 이 순서 그대로 따라 하면 됩니다. "보안 때문에 쓰지 말라"는 경고 기사들이 지적하는 문제 대부분은 기본 설정을 그대로 노출한 채 쓰는 경우에 해당합니다.
오픈클로(OpenClaw)는 내 컴퓨터에서 직접 돌리는 로컬 퍼스트(local-first) 개인 AI 어시스턴트입니다. 클라우드 서비스가 아니라 내 기기에서 실행되고, 내 파일과 메신저에 접근하기 때문에 편리한 만큼 설정을 안 하면 위험한 것도 사실입니다. 실제로 2026년 초 보안 이슈가 뉴스화됐고, 구버전에는 원클릭 원격 코드 실행 취약점(CVE-2026-25253, one-click RCE)과 명령어 주입 취약점(CVE-2026-25593, command injection)이 보고됐습니다. 그래서 "설치해도 되나?"가 아니라 **"어떻게 설치하느냐"**가 진짜 질문입니다.
체크리스트 요약 (설치 전 인쇄해 두세요)
| # | 항목 | 핵심 설정 |
|---|---|---|
| 1 | 최신 버전 설치 | v2026.1.29 이상 (auth: none 제거된 버전) |
| 2 | 게이트웨이 토큰 인증 | gateway.auth.mode: "token" |
| 3 | 루프백 바인딩 | --bind loopback (0.0.0.0 금지) |
| 4 | Docker 샌드박스 | non-main 세션 격리 실행 |
| 5 | 비루트 전용 계정 | sudo·docker 그룹 미포함 계정 |
| 6 | DM 허용목록 | allowFrom에 내 숫자 ID만 |
| 7 | 파일 권한 + 실행 승인 | chmod 700/600 + exec.mode: "ask" |
1. 최신 버전으로 설치하기 — 구버전이 사고의 대부분
2026년 1월 말 릴리스(v2026.1.29)부터 인증 없음(auth: none) 옵션이 강제로 제거됐습니다. 뉴스에 나온 "인증 없이 열린 게이트웨이" 사고 상당수가 그 이전 버전 이야기입니다. 이미 설치했다면 업데이트부터:
npm update -g openclaw
설치 후 버전과 게이트웨이 상태 확인은 openclaw gateway status.
2. 게이트웨이 토큰 인증 (Gateway Token Authentication) 켜기
게이트웨이(Gateway)는 오픈클로의 관제탑입니다. 모든 메시지·툴 호출이 여길 지나가므로, 여기에 인증이 없으면 전부 열리는 셈입니다. 토큰은 이렇게 만들고:
openssl rand -hex 32
설정 파일(~/.openclaw/openclaw.json)에 토큰 모드를 지정합니다:
{
"gateway": {
"auth": {
"mode": "token",
"token": { "secretRef": "env:OPENCLAW_GATEWAY_TOKEN" }
}
}
}
토큰 자체는 설정 파일이 아니라 환경변수 파일에 넣고 권한을 잠급니다:
echo 'OPENCLAW_GATEWAY_TOKEN=생성한-토큰' >> ~/.openclaw/.env
chmod 600 ~/.openclaw/.env
3. 루프백(loopback) 바인딩 — 외부에서 접속 못 하게
게이트웨이 기본 포트는 18789입니다. 이 포트가 내 컴퓨터 밖(0.0.0.0, LAN)으로 열려 있으면 같은 네트워크의 누구든 노크할 수 있습니다. 내 컴퓨터 안(127.0.0.1)에서만 듣도록 고정하세요:
openclaw gateway --bind loopback
외부 기기에서 접근이 필요하면 포트포워딩 대신 Tailscale Serve 같은 사설 터널을 쓰는 것이 공식적으로 권장되는 방식입니다. 지금 노출돼 있는지 확인하려면:
curl -s http://내-IP:18789/health
응답이 오면 열려 있다는 뜻입니다.
4. Docker 샌드박스(Sandbox) 격리 — 에이전트에게 "방 하나만" 내주기
오픈클로의 에이전트(Agent)는 브라우저·bash 같은 도구(Tool)를 실행합니다. 샌드박스를 켜면 메인 세션이 아닌 세션(non-main session)들이 Docker 컨테이너 안에서 격리 실행됩니다 — 에이전트가 실수하거나 악성 지시에 속아도 피해가 컨테이너 안으로 제한됩니다.
{
"agents": {
"defaults": {
"sandbox": { "mode": "non-main" }
}
}
}
Docker 로 게이트웨이 자체를 돌린다면 컨테이너 권한도 최소화하세요:
services:
openclaw-gateway:
environment:
- OPENCLAW_GATEWAY_BIND=loopback
cap_drop:
- ALL
security_opt:
- no-new-privileges:true
주의: Docker 소켓(docker.sock) 접근 = 호스트 root 접근과 같습니다. 컨테이너에 소켓을 마운트하지 마세요.
5. 비루트(non-root) 전용 계정으로 실행하기
관리자 계정으로 에이전트를 돌리면, 에이전트의 실수가 곧 관리자의 실수가 됩니다. 오픈클로 전용 일반 계정을 만들어 쓰세요:
sudo useradd -m -s /bin/bash openclaw-user
sudo su - openclaw-user
이 계정은 sudo(wheel) 그룹·docker 그룹에 넣지 않고, 다른 서버로 가는 SSH 키도 두지 않습니다.
6. DM 허용목록(allowlist) — 아무나 내 에이전트에게 말 걸지 못하게
오픈클로는 텔레그램·디스코드·슬랙 같은 채널(Channel)로 메시지를 받습니다. 허용목록이 없으면 모르는 사람의 DM 이 곧 에이전트 명령이 될 수 있습니다(프롬프트 인젝션, prompt injection 의 통로). 사용자명이 아닌 숫자 ID 기준으로 잠그세요:
{
"channels": {
"telegram": { "allowFrom": ["내-텔레그램-숫자-ID"] },
"discord": { "allowFrom": ["내-디스코드-숫자-ID"] }
}
}
7. 파일 권한 잠금 + 실행 승인 모드
API 키·자격증명이 담긴 폴더는 나만 읽을 수 있게:
chmod 700 ~/.openclaw
chmod 600 ~/.openclaw/.env ~/.openclaw/openclaw.json ~/.openclaw/credentials
그리고 에이전트가 명령을 실행하기 전에 한 번 물어보게 만드는 승인 모드를 켭니다:
{
"agents": {
"defaults": {
"exec": { "mode": "ask" }
}
}
}
익숙해지기 전까지는 ask 모드를 유지하는 걸 권합니다.
보너스: 설정이 잘 됐는지 자가 점검
오픈클로에는 자체 보안 감사 명령이 있습니다:
openclaw security audit --deep # 라이브 게이트웨이 점검
openclaw security audit --fix # 안전한 항목 자동 교정
추가로 두 가지만 더:
- 스킬(Skill)은 설치 전에 확인 — ClawHub 레지스트리의 스킬은 모듈러 확장 기능인데, 악성 스킬로 위장한 정보탈취 사례가 보고된 바 있습니다. 출처가 불분명한 스킬은 설치하지 마세요.
- 웹 관련 도구는 필요할 때만 — web_search·web_fetch·browser 도구는 외부 콘텐츠를 에이전트에게 읽히는 통로라, 입력을 통제할 수 없다면 꺼 두는 편이 안전합니다.
용어가 낯설다면 — AI 에이전트 단어장
이 글에 나온 게이트웨이(Gateway)·에이전트(Agent)·세션(Session)·도구(Tool)·샌드박스(Sandbox)·채널(Channel)·스킬(Skill) 같은 개념은 AI 에이전트 단어장에 한 문장 비유로 정리해 두었습니다. 오픈클로 공식 문서 기준으로 작성되어, 설치 중 막힐 때 사전처럼 찾아보면 됩니다.
설치는 시작일 뿐 — "무엇을 시키느냐"가 진짜
보안 설정을 마쳤다면 이제 에이전트에게 돈이 되는 일을 시킬 차례입니다. AI쌉파써블의 AI 에이전트 강의는 비개발자 기준으로 오픈클로·헤르메스 같은 에이전트를 세팅하고, 내 1인 비즈니스의 반복 업무를 맡기는 과정까지 다룹니다. 1차시는 무료로 미리 볼 수 있습니다.
자주 묻는 질문 (FAQ)
Q. 오픈클로는 쓰면 안 되는 프로그램인가요?
A. 아닙니다. 문제가 된 사고 대부분은 인증 없는 게이트웨이 노출, 구버전 취약점(CVE-2026-25253 등), 검증 안 된 스킬 설치처럼 설정으로 예방 가능한 유형입니다. 이 글의 7가지 체크리스트가 그 예방 절차입니다.
Q. 회사 컴퓨터에 설치해도 되나요?
A. 권하지 않습니다. 일부 기업은 사내 사용을 금지하고 있고, 보안팀 승인 없는 개인 설치(섀도우 AI, Shadow AI)는 회사 보안 정책 위반이 될 수 있습니다. 개인 기기에서 시작하세요.
Q. openclaw gateway failed to start 에러가 나요.
A. 포트 충돌·설정 파일 문법 오류가 흔한 원인입니다. 에러별 해결법은 트러블슈팅 시리즈 1편: Gateway start blocked부터 차례로 정리해 두었습니다.
이 가이드는 2026-07-13 기준 OpenClaw 공식 문서(docs.openclaw.ai)와 공개된 보안 가이드를 바탕으로 작성했습니다. 버전 업데이트에 따라 설정 키가 바뀔 수 있으니 공식 문서를 함께 확인하세요.