OpenClaw는 꿈처럼 보이지만 보안 악몽에 가까운 자율 에이전트

Context

자율 에이전트(OpenClaw)가 대중화되면서 Gmail, Calendar, 1Password 같은 개인 서비스에 직접 접근 권한을 부여하는 것이 표준 구조가 되었다. 하지만 이러한 "모든 접근 권한 위임" 모델은 Simon Willison이 지적한 대로 근본적인 보안 문제를 안고 있다. LLM 모델이 실제 의미를 이해하지 못하기 때문에 이메일 속 숨은 텍스트 프롬프트 인젝션으로도 예측 불가능한 행동이 발생할 수 있다.

Technical Solution

• 세분화된 권한 제어 도입: 특정 WhatsApp 대화만 접근, 다른 번호는 읽지 않도록 제한
• 캘린더는 읽기 전용, GitHub는 이슈만 접근 가능하도록 리소스별 최소 권한 정책 적용
• 독립된 사용자 계정 구조: 별도 Gmail, WhatsApp 계정을 Ubuntu VM에서 격리 실행
• NixOS 기반 Keystone 배포판으로 에이전트 격리: 각 에이전트가 독립된 사용자 계정, 이메일, SSH 접근 보유
• 선언적 설정 관리로 자동 프로비저닝: Claude, Gemini, Ollama CLI 활용하며 모든 설정이 자동화
• 컨테이너 격리 기반 아키텍처: 비밀키와 호스트 시스템에는 접근 불가하도록 구현

Impact

월 15달러 SIM 비용으로 단체 여행 일정 조율 자동화 달성. 하루 1시간 시간 절약 경험 보고. 아침 모닝 브리핑 자동 생성으로 이메일, 캘린더, Slack, 날씨, 할 일 목록, 저널 통합 요약.

Key Takeaway

자율 에이전트의 보안은 "어디서 실행하는가"가 아닌 "무엇을 읽을 수 있는가"에 달려 있으며, 에이전트에 필요한 최소한의 접근만 허용하되 여러 컨테이너에서 격리 운영하는 방식이 현실적인 위험 관리 기법이다.