내 PC/서버에 직접 설치해 텔레그램·디스코드로 제어하는 셀프호스팅 AI 에이전트 플랫폼입니다.
외부 서버 없이 로컬 환경에서 Claude, GPT 등 LLM을 연결해 나만의 AI 직원을 구성할 수 있습니다.
인프라 네트워크를 Tailscale과 SSH 터널로 철저히 잠가두었는데, 정작 소프트웨어 내부의 접근 권한은 허술하게 열려있다면 어떻게 될까요? 네트워크 보안과 소프트웨어 보안은 별개의 문제입니다. 2026년 1월에는 OpenClaw에서 공격자가 인증 토큰을 탈취해 임의의 명령어를 실행할 수 있었던 치명적인 취약점(CVE-2026-25253)이 발견되면서, openclaw 보안 설정의 중요성이 그 어느 때보다 커졌습니다.
이번 25편에서는 openclaw 보안 설정의 핵심을 처음부터 끝까지 다룹니다. 토큰 관리, 파일 권한 제어, allowFrom 화이트리스트, 페어링 설정, API 키 환경 변수 분리까지 — 이 글의 체크리스트를 따라 하시면 해커의 위협으로부터 자유로운 철옹성 AI 비서를 완성할 수 있습니다.
지난 편(이전: 원격 접속 설정 — Tailscale·SSH 터널로 어디서나 접근하기)에서는 SSH 터널링과 Tailscale로 외부 위협을 차단하면서 안전하게 원격 접속하는 방법을 다뤘습니다.
Token 인증 강화와 파일 권한 관리 — 2026년 openclaw 보안 필수 설정
과거에는 개발 편의를 위해 "auth": "none"으로 설정하여 비밀번호 없이 게이트웨이에 접근할 수 있었습니다. 하지만 2026년 최신 보안 패치 이후 이 기능은 완전히 삭제되었으며, 이제 반드시 강력한 token을 발급하고 설정해야 합니다. 취약점 CVE-2026-25253 패치 이후에는 URL 파라미터로 토큰을 전달하는 방식도 금지되어, 헤더 기반 인증만 허용됩니다.
또한, API 키와 토큰이 담긴 openclaw.json 설정 파일은 서버 내 다른 사용자가 읽을 수 없도록 파일 권한(Permission)을 엄격하게 제한해야 합니다. 아래 명령어를 순서대로 실행하여 설정하세요.
파일 권한 설정 및 강력한 토큰 생성 명령어
# 1. OpenClaw 설정 폴더의 접근 권한을 '소유자만 읽기/쓰기/실행' 가능하도록 변경
chmod 700 ~/.openclaw
# 2. 설정 파일 자체의 권한을 '소유자만 읽기/쓰기' 가능하도록 변경 (600)
chmod 600 ~/.openclaw/openclaw.json
# 3. 강력한 32바이트 무작위 토큰 생성하기
openssl rand -hex 32생성된 토큰을 openclaw.json의 gateway.auth.token 값에 붙여넣으세요. 사람이 직접 기억할 수 있는 단순한 비밀번호는 절대 사용하지 마세요. 최소 32자 이상의 무작위 문자열을 사용하는 것이 원칙입니다.
?token=값 형태로 토큰을 포함시키면 브라우저 히스토리·서버 로그에 토큰이 평문으로 남아 탈취될 수 있었습니다. openclaw --version으로 버전을 확인하고 최신 버전으로 업그레이드하세요.chmod 600, 폴더 권한은 chmod 700으로 제한하고, openssl rand -hex 32로 생성한 강력한 토큰을 사용하세요. openclaw 보안 설정의 첫 번째 원칙입니다.
채널 접근 통제 — dmPolicy·allowFrom·페어링으로 메신저 봇 잠그기
메신저 봇의 아이디가 유출되어 모르는 사람이 내 AI 비서에게 말을 걸고 API 요금을 소진하는 것을 막으려면 dmPolicy를 철저하게 설정해야 합니다. OpenClaw는 채널별로 두 가지 핵심 접근 통제 방식을 지원합니다.
방식 1: 페어링(pairing) — 첫 대화 시 6자리 인증 코드 요구
낯선 사용자가 봇에게 처음 말을 걸면 6자리 페어링 코드를 요구합니다. 관리자가 터미널에서 openclaw pairing approve로 승인해야만 이후 대화가 허용됩니다. 제한된 소수에게 봇 사용을 허가해 줄 때 유연하게 사용할 수 있습니다.
방식 2: allowlist — 지정된 ID만 허용하는 화이트리스트 (가장 안전)
내가 미리 지정한 사용자 ID나 전화번호만 대화를 허용합니다. 봇이 낯선 사람의 접근을 원천 차단하는 가장 강력한 방식으로, 나 혼자 혹은 지정된 팀원만 사용하는 환경에 적합합니다.
{
"channels": {
"telegram": {
"enabled": true,
"botToken": "${TELEGRAM_BOT_TOKEN}",
"dmPolicy": "pairing",
"groupPolicy": "mention",
"mentionGating": true
},
"discord": {
"enabled": true,
"token": "${DISCORD_BOT_TOKEN}",
"dm": {
"enabled": true,
"policy": "allowlist",
"allowFrom": ["YOUR_DISCORD_USER_ID"]
}
}
}
}"mentionGating": true 옵션을 활성화하면 단체 채팅방(그룹)에서 AI가 @태그로 호출될 때만 응답합니다. 그룹 채팅 스팸을 효과적으로 방지할 수 있는 필수 설정입니다.API 키 환경 변수 분리 및 보안 감사(Security Audit) 실행 — 단계별 가이드
openclaw 설치 후 sk-ant-xxx... 같은 API 키를 설정 파일에 직접 적어두는 것은 절대 금물입니다. 백업, 팀 공유, Git 업로드 시 키가 유출될 수 있기 때문입니다. 아래 단계대로 API 키를 환경 변수로 분리하고, 내장 보안 감사 툴로 전체 서버를 점검하세요.
- .env 파일 생성 및 API 키 이전
~/.openclaw/.env파일을 새로 만들고 모든 API 키와 비밀 값을 이 파일로 옮깁니다. 파일 권한도 함께 제한합니다. # .env 파일 생성 및 편집 nano ~/.openclaw/.env # .env 파일 내용 예시: # ANTHROPIC_API_KEY=sk-ant-xxxxxxxxxxxxx # TELEGRAM_BOT_TOKEN=7XXXXXXXXX:AAxxxxxx # DISCORD_BOT_TOKEN=MTxxxxxxxxxxxxxx # .env 파일 권한 제한 chmod 600 ~/.openclaw/.env- openclaw.json에서 환경 변수 참조로 교체설정 파일에 직접 적혀있던 키 값을
${변수명}형태로 교체합니다. OpenClaw는.env파일을 자동으로 읽어 변수를 치환해 줍니다. { "models": { "default": "claude-3-5-sonnet-20241022", "providers": { "anthropic": { "apiKey": "${ANTHROPIC_API_KEY}" } } } }- 게이트웨이 재시작 및 적용 확인변경된 보안 설정을 반영하기 위해 게이트웨이를 재시작합니다.
# 변경된 보안 설정을 적용하기 위해 게이트웨이 재시작 openclaw gateway restart- 내장 보안 감사 도구 실행OpenClaw에 내장된 Security Audit 도구를 실행하여 토큰 강도, 포트 노출 여부, 파일 권한, 고위험 스킬 활성화 여부를 전수 점검합니다. 조치가 필요한 항목은 구체적인 해결 방법과 함께 출력됩니다.
# 보안 취약점 심층 검사 실행 openclaw security audit --deep
.gitignore 파일에 반드시 .env를 추가하세요. Git 저장소를 사용한다면 실수로 API 키가 공개 저장소에 올라가는 사고를 원천 차단할 수 있습니다.
고급 보안 — Docker Sandbox 격리 실행과 엔터프라이즈급 비밀 관리
기본 보안 설정을 마쳤다면, 한 단계 더 나아가 고위험 스킬의 격리 실행과 엔터프라이즈급 비밀 관리를 적용할 수 있습니다. 이 단계는 팀 단위 운영이나 프로덕션 환경을 목표로 하는 분께 강력히 권장합니다.
Docker Sandbox — 고위험 스킬(exec, browser) 격리 실행
exec(명령어 실행)나 browser(웹 브라우저 제어) 같은 고위험 스킬은 AI가 잘못된 명령을 실행할 경우 서버 전체가 위험해질 수 있습니다. Docker Sandbox를 활성화하면 이러한 스킬들이 호스트 서버와 완전히 격리된 컨테이너 내부에서만 동작하여, 만에 하나 AI가 악성 명령을 실행하더라도 서버 본체에는 영향을 미치지 않습니다.
Doppler·Vault — 엔터프라이즈급 비밀 관리
.env 파일 방식보다 한층 더 안전한 방법으로, Doppler나 HashiCorp Vault 같은 전용 비밀 관리(Secrets Manager) 솔루션을 연동할 수 있습니다. API 키의 버전 관리, 자동 만료, 팀별 접근 권한 제어까지 가능해 팀 규모가 커질수록 그 효과가 극대화됩니다.
📎 공식 문서 Security & Sandboxing 섹션 보기 →
실전 팁과 주의사항
- 토큰 주기적 교체:
gateway.auth.token은 3~6개월 주기로 갱신하세요. 기기를 분실하거나 공용 PC에서 접속했다면 즉시 교체해야 합니다. - Security Audit 주기적 실행:
openclaw security audit --deep을 월 1회 이상 실행하여 새로 추가한 스킬이나 설정 변경으로 인한 보안 취약점을 조기에 발견하세요. - 고위험 스킬 최소화:
exec,browser스킬은 반드시 필요할 때만 활성화하고, 사용하지 않을 때는 비활성화하거나 Docker Sandbox 환경에서만 실행되도록 제한하세요. - .gitignore 필수 설정:
.env,openclaw.json을 반드시.gitignore에 추가하세요. API 키가 공개 Git 저장소에 유출되면 수십만 원의 AI 비용 폭탄이 발생할 수 있습니다.
자주 묻는 질문 (FAQ)
- pairing과 allowlist 중 어떤 방식을 선택해야 하나요?
- 친구나 소수의 지인에게도 봇 사용을 허가할 의향이 있다면, 처음 1회만 인증 코드를 요구하고 이후 자유롭게 사용 가능한 pairing 모드가 유연합니다. 반면, 철저히 나 혼자 혹은 지정된 팀원만 사용해야 한다면 낯선 사람의 접근을 원천 차단하는 allowlist 모드가 가장 강력하고 안전합니다.
- API 키를 openclaw.json에 직접 적으면 왜 위험한가요?
- 설정 파일은 백업·공유·Git 버전 관리 등의 과정에서 의도치 않게 외부에 노출될 수 있습니다. 파일에 API 키가 평문으로 적혀있다면, 유출 즉시 해커가 내 API 계정으로 수십만 원의 과금을 발생시킬 수 있습니다. 반드시
"${ANTHROPIC_API_KEY}"처럼 환경 변수 참조로 대체하여 작성하세요. - CVE-2026-25253 취약점이 뭔가요? 제 서버도 위험할까요?
- 2026년 1월에 발견된 이 취약점은 브라우저 URL에
?token=내토큰형태로 파라미터를 전달할 때, 그 흔적이 브라우저 히스토리나 서버 로그에 평문으로 남아 서버 통제권을 빼앗길 수 있었던 중대한 버그입니다. 2026년 1월 29일 이후 최신 버전에서는 패치 완료되었습니다.openclaw --version을 확인하고 구버전이라면 즉시 업데이트하세요. - 보안 설정이 허술해서 해킹당하면 어떤 피해가 생기나요?
- 외부 공격자가 접근하면 AI API 요금이 무단으로 소진되는 것은 물론,
exec나browser같은 고위험 스킬이 열려있다면 서버 내 중요 파일 삭제나 악성코드 설치까지 이어질 수 있습니다.openclaw security audit --deep을 주기적으로 실행하여 보안 상태를 반드시 점검하세요.
이 글이 도움이 됐다면 댓글로 여러분의 경험을 알려주세요! 🙌
openclaw 보안 설정에서 막히는 부분은 댓글에 남겨주세요 — 직접 답변드립니다.
📬 새 편 알림 받기 → AI 활용 가이드 구독
'OpenClaw' 카테고리의 다른 글
| 오픈클로 완전 가이드 24편 openclaw 원격 접속 설정 — Tailscale·SSH 터널로 어디서나 안전한 AI 에이전트 만들기 (1) | 2026.04.08 |
|---|---|
| 오픈클로 완전 가이드 23편 Gateway 설정 완전 가이드 — 포트·토큰·데몬 상시 실행 (0) | 2026.04.08 |
| 오픈클로 완전 가이드 22편 로컬 LLM(Ollama) + OpenClaw 연동 — 완전 무료 AI 에이전트 구축 (0) | 2026.04.07 |
| 오픈클로 완전 가이드 21편 Models 설정 완전 가이드 — GPT·Claude·Gemini 연결 비교 (0) | 2026.04.07 |
| 오픈클로 가이드 20편 openclaw MCP 연동 — 외부 데이터 연결 완전 가이드 (0) | 2026.04.04 |
댓글