2026년 2월 22일, 보안 연구원 @fleetspace가 충격적인 조사 결과를 공개했다. Shodan을 이용한 인터넷 스캔에서 공개적으로 접근 가능한 OpenClaw 인스턴스가 약 40,000개 발견된 것이다. 이 중 상당수가 인증 없이 관리 인터페이스에 접근할 수 있었고, 일부는 대화 기록, 사용자 정보, 심지어 API 키까지 노출하고 있었다.
이 발견은 AI 에이전트 보안에 대한 근본적인 질문을 제기한다: AI 어시스턴트가 왜 인터넷에 노출되어야 하는가?
4만 인스턴스의 실태
@fleetspace의 조사를 자세히 살펴보자. OpenClaw는 웹 기반 관리 인터페이스를 포함한다. 사용자가 브라우저를 통해 에이전트 설정을 변경하고, 대화를 모니터링하고, 스킬을 관리할 수 있다. 이 인터페이스는 기본적으로 포트 3210에서 리슨한다.
문제는 많은 사용자가 이 인터페이스를 인터넷에 직접 노출시킨 상태로 운영한다는 것이다. 클라우드 서버에 OpenClaw를 설치하고, 방화벽 설정을 제대로 하지 않아 포트 3210이 외부에서 접근 가능한 상태가 된 것이다.
발견된 40,000개 인스턴스 중:
약 12,000개가 기본 인증 정보(admin/admin)로 접근 가능했다. 약 8,000개가 인증 없이 관리 인터페이스에 접근할 수 있었다. 약 3,500개가 대화 기록을 포함한 데이터베이스에 직접 접근할 수 있었다. 약 500개가 환경 변수를 통해 API 키를 노출하고 있었다.
이것은 OpenClaw의 보안 결함이라기보다, 웹 인터페이스를 가진 모든 소프트웨어가 직면하는 구조적 문제다. 인터넷에 포트를 여는 순간, 전 세계의 스캐너와 공격자가 그 포트를 찾는다.
공격 표면의 본질
보안 엔지니어링에서 "공격 표면"은 시스템이 외부 세계에 노출하는 인터페이스의 총합이다. 공격 표면이 넓을수록 공격자가 진입할 수 있는 경로가 많아진다.
OpenClaw의 공격 표면은 상당히 넓다. 웹 관리 인터페이스(HTTP/HTTPS), API 엔드포인트, WebSocket 연결, 데이터베이스 포트 — 각각이 잠재적 공격 벡터다. 이 포트들이 인터넷에 노출되면, 공격자는 인증 우회, SQL 인젝션, XSS, CSRF 등 수십 가지 웹 애플리케이션 공격을 시도할 수 있다.
게다가 OpenClaw의 스킬 시스템은 서드파티 코드를 실행할 수 있으므로, 웹 인터페이스를 통해 악성 스킬을 설치하는 공격 시나리오도 가능하다. 인증이 약하거나 없는 인스턴스에서, 공격자가 원격으로 악성 코드를 실행할 수 있는 경로가 열린다.
NanoClaw에 공격 표면이 없는 이유
NanoClaw는 웹 인터페이스가 없다. 관리 포트가 없다. API 엔드포인트가 없다. 인터넷에 리슨하는 포트가 하나도 없다.
NanoClaw의 유일한 외부 인터페이스는 WhatsApp이다. NanoClaw는 WhatsApp에 클라이언트로 연결한다 — 즉, NanoClaw가 WhatsApp 서버에 아웃바운드 연결을 만들지, WhatsApp이 NanoClaw에 인바운드 연결을 만들지 않는다. NanoClaw를 실행하는 서버에 열려 있는 인바운드 포트는 없다.
이것이 왜 중요한가? 공격자가 NanoClaw 인스턴스를 "발견"할 방법이 없기 때문이다. Shodan은 인터넷에서 열린 포트를 스캔한다. NanoClaw에는 열린 포트가 없으므로, Shodan에 나타나지 않는다. 공격자가 NanoClaw의 존재 자체를 알 수 없다.
WhatsApp을 통한 접근은 WhatsApp의 자체 인증에 의해 보호된다. NanoClaw에 메시지를 보내려면 WhatsApp 계정이 있어야 하고, NanoClaw의 WhatsApp 번호를 알아야 하며, NanoClaw의 허용 목록에 등록되어야 한다(설정된 경우). 이것은 인터넷에 열린 HTTP 포트와는 차원이 다른 접근 제어다.
웹 인터페이스가 없는 것이 왜 장점인가
직관적으로, 웹 인터페이스가 없다는 것은 기능의 부재처럼 느껴진다. 브라우저에서 에이전트를 관리하는 것이 더 편리하지 않은가?
편의성과 보안은 트레이드오프다. 웹 인터페이스를 추가하면 편의성이 올라가지만, 동시에 보안 유지를 위해 인증 시스템, 세션 관리, CSRF 보호, 입력 검증, TLS 설정 등 수천 줄의 보안 코드가 필요해진다. 그리고 그 코드에 버그가 하나라도 있으면, 공격자에게 진입 경로가 열린다.
NanoClaw는 이 트레이드오프에서 보안을 선택했다. 관리 작업은 WhatsApp의 메인 채널을 통해 수행된다. 설정 변경은 CLAUDE.md 파일을 직접 편집하거나 에이전트에게 요청하여 이루어진다. 이것이 웹 UI만큼 시각적으로 화려하지는 않지만, 인터넷에 열린 포트가 없다는 보안 보장은 어떤 웹 인터페이스도 제공할 수 없다.
4만 인스턴스의 교훈
OpenClaw 4만 인스턴스 사건의 근본 원인은 사용자의 부주의가 아니다. 웹 인터페이스를 기본으로 포함하는 아키텍처가 불가피하게 만드는 공격 표면 문제다.
모든 소프트웨어가 인터넷에 노출될 수 있다면, 상당수는 실제로 노출될 것이다. 이것은 인간의 본성이다 — 방화벽 규칙을 실수로 빠뜨리거나, "일단 외부에서도 접근 가능하게 해놓고 나중에 고치자"고 생각하거나, 기본 비밀번호를 바꾸는 것을 잊거나. 4만 개의 노출된 인스턴스는 4만 명의 부주의한 사용자가 아니라, 노출 가능한 인터페이스를 가진 소프트웨어의 불가피한 결과다.
NanoClaw의 접근은 다르다. 노출할 수 있는 인터페이스 자체를 만들지 않는다. 방화벽 규칙을 잘 설정해야 안전한 것이 아니라, 방화벽 규칙이 필요 없는 아키텍처를 채택한다. 사용자의 보안 지식에 의존하지 않고, 아키텍처가 보안을 강제한다.
보안에서 가장 강력한 방어는 존재하지 않는 공격 표면이다. 패치할 수 없고, 설정을 실수할 수 없으며, 노출될 수 없는 인터페이스 — 그것은 없는 인터페이스다.