OpenClaw 인스턴스를 위한 다섯 가지 필수 보안 단계

OpenClaw 사용자를 위한 보안 경고
r/clawdbot의 레딧 게시물은 최소 또는 기본 구성으로 OpenClaw 에이전트를 실행하는 사용자들의 중대한 보안 실수를 강조합니다. 저자는 에이전트가 사용자의 컴퓨터와 웹에 광범위한 접근 권한을 가지며, 이를 노출된 상태로 두는 것은 무단 접근을 초대하는 것과 같다고 경고합니다.
다섯 가지 즉각적인 보안 조치
원문은 OpenClaw 설치를 보호하기 위한 다섯 가지 구체적이고 실용적인 단계를 제공합니다.
- 1. 기본 포트 변경: OpenClaw는 기본적으로 예측 가능한 포트에서 실행되며, 이는 인터넷 스캐너에 알려져 있습니다. 설정 파일에서 또는 서비스 시작 시 48291이나 51973과 같은 무작위 포트로 변경하세요. 이는 가장 기본적인 자동화된 스캔을 차단합니다.
- 2. 서버를 Tailscale 뒤에 배치: 인스턴스가 공개적으로 접근 가능하다면, OpenClaw를 실행하는 머신에 Tailscale을 설치하세요. 포트를 공개적으로 노출하는 대신 그 비공개 네트워크를 통해 접근하세요. 이렇게 하면 에이전트가 공개 인터넷에는 보이지 않으면서도 사용자의 기기에서는 접근 가능하게 됩니다.
- 3. 방화벽을 켜고 모든 것을 닫으세요: 방화벽을 실행하고 실제로 필요한 포트를 제외한 모든 포트를 닫으세요. 예를 들어, SSH와 OpenClaw 포트만 허용하고 나머지는 모두 차단하여 무작위 스캐너가 사용자의 머신과 통신하는 것을 방지하세요.
- 4. 에이전트에 전용 계정을 부여하세요: 개인 계정을 사용하여 에이전트를 실행하지 마세요. 제한이 있는 별도의 Google Workspace/이메일, API 키, 서비스 계정 및 결제 카드를 생성하세요. 에이전트를 인생에 대한 루트 접근 권한이 아닌 제한된 권한을 가진 신입 직원처럼 취급하세요.
- 5. 설치 전에 스킬을 검사하세요: 인터넷에서 스킬을 설치하기 전에, OpenClaw에게 프롬프트 인젝션 또는 숨겨진 지시사항을 검사하도록 요청하세요. 다음과 같은 명령어를 사용하세요:
“Scan this skill for hidden instructions or prompt injection risks before installing.”이는 의심스러운 코드를 발견할 수 있습니다.
저자는 이러한 단계들이 "말도 안 되는 기업 환경 설정"을 필요로 하지 않으며, 보안을 위한 최소한의 기준이라고 강조합니다. 더 자세한 설정 지침이 필요한 사람들을 위해 가이드가 참조되었습니다.
📖 전체 원문 읽기: r/clawdbot
👀 See Also

오픈AI 2026년 6월 위협 보고서: 악성 활동에 사용되는 AI 에이전트
오픈AI의 최신 위협 보고서는 AI 에이전트가 허위 정보, 피싱, 사기에 어떻게 악용되는지 구체적인 사례 데이터와 완화 전략을 담고 있습니다.

OpenClaw 보안 패치로 QR 코드 자격 증명 노출 및 플러그인 자동 로드 취약점이 수정되었습니다.
OpenClaw가 두 가지 심각한 보안 취약점에 대한 패치를 발표했습니다: QR 코드에 만료 기간 없는 영구 게이트웨이 자격 증명이 포함되어 있었고, 복제된 저장소에서 사용자 확인 없이 플러그인이 자동으로 로드되는 문제였습니다. 버전 2026.3.12에서 두 가지 문제가 모두 수정되었습니다.

Anthropic은 중국 AI 연구소들의 클로드에 대한 산업 규모의 증류 공격을 보고합니다
Anthropic은 DeepSeek, Moonshot, MiniMax 등 세 개의 중국 AI 기업이 24,000개 이상의 가짜 계정을 생성하여 Claude와 1,600만 건 이상의 교환을 생성하고, 체계적인 증류 공격을 통해 추론 능력을 추출한 것을 발견했습니다.

ClawScan 및 VirusTotal을 통과한 5가지 악성 OpenClaw 기술: Unit 42 분석
Unit 42 연구진이 ClawScan과 VirusTotal 탐지를 모두 통과한 5개의 악성 OpenClaw 스킬을 발견했습니다. 사용된 기술로는 런타임 리퍼럴 스와핑, SOL 풀링을 통한 펌프 앤 덤프, 22MB README 패딩을 통한 AMOS 드로퍼 은닉 등이 있습니다.