[칼럼] "코드는 AI가 짰습니다" 그리고 150만 사용자의 데이터는… : AI 비서 시대의 불편한 진실

정원훈 텐에이아이 CEO

2026년 2월, 애플 스토어에서 기묘한 현상이 벌어졌다. Mac Mini가 날개 돋친 듯 팔려나간 것이다. 새로운 칩셋이 출시된 것도 아니고, 혁신적인 디자인 변경이 있었던 것도 아니다. 사람들은 24시간 작동하는 개인 AI 비서를 고용하기 위해 저전력 컴퓨터를 구매하고 있었다.

생각해보면 아이러니하다. 인간은 수면이 필요하지만, 전기요금은 24시간 나온다. 그래서 우리는 잠도 안 자고 불평도 않는 AI 비서를 원했다. 그런데 누가 알았겠는가? 그 비서가 문을 활짝 열어놓고 해커들에게 "어서 오세요, 주인님 주무시는 동안 편히 구경하세요"라고 인사할 줄은.

◆Act 1: GitHub 스타 145,000개의 화려한 데뷔
OpenClaw는 Clawdbot으로 시작해 Moltbot을 거쳐 현재의 이름에 도달했으며, GitHub에서 145,000개 이상의 스타를 받으며 역대 가장 빠르게 성장한 오픈소스 프로젝트 중 하나가 되었다.

이 프레임워크의 판매 포인트는 매력적이었다. WhatsApp, Telegram, Discord 같은 메신저에서 메시지를 보내듯 AI에게 작업을 지시하면, 그 자리에서 응답하고 실행한다. 새로운 앱도, 복잡한 인터페이스도 필요 없다. 그냥 친구에게 "오늘 저녁 뭐 먹지?"라고 물어보듯 AI에게 "내 이메일 정리해줘"라고 말하면 끝이다.

개발자들은 열광했다. "이제 잠자는 동안에도 코드가 작성되는 세상이 왔다!"

맞다. 그리고 잠자는 동안 보안 취약점도 함께 작성되는 세상이 왔다.

◆Act 2: "나는 코드 한 줄도 안 썼어요" – 현대판 무죄 항변
OpenClaw의 인기에 힘입어 Moltbook이라는 플랫폼이 등장했다. "로봇용 Reddit"으로 불린 이 공간은 AI 에이전트들이 모여 토론하고 커뮤니티를 형성하는 소셜 플랫폼이었다. 150만 개의 AI 에이전트가 자율적으로 상호작용한다고 주장하며 시장의 관심을 빠르게 끌었다.

그런데 여기서 SF 소설 같은 일이 벌어졌다. Moltbook 창립자 Matt Schlicht는 "플랫폼을 위해 코드 한 줄도 직접 작성하지 않았고, AI 어시스턴트에게 만들도록 지시했다"고 자랑스럽게 밝혔다.

"Vibe coding"이라는 멋진 이름으로 포장된 이 개발 방식은 이렇게 작동한다: 개발자는 "좋은 느낌"만 전달하고, 실제 코딩은 AI가 한다. 마치 건축가가 "그냥 좋은 느낌으로 집 지어줘"라고 말하고 도면 없이 집을 짓는 것과 비슷하다.

결과는? 예상대로였다.

◆Act 3: 역대급 보안 참사의 해부학
2026년 1월 31일, 보안 연구원들이 Moltbook의 코드를 들여다보다가 눈을 의심했다. 클라이언트 측 자바스크립트에 Supabase API 키가 노출되어 있었고, 이 키는 인증 없이 전체 프로덕션 데이터베이스에 대한 읽기 및 쓰기 권한을 부여했다.

이게 얼마나 심각한지 비유하자면: 은행 금고의 열쇠를 은행 입구 유리문에 테이프로 붙여놓은 것과 같다. 그것도 "여기 열쇠 있어요!"라고 큰 글씨로 써놓은 채로.

150만 개의 API 인증 토큰, 35,000개의 이메일 주소, 에이전트 간 비공개 메시지가 모두 노출되었다. 누구나 플랫폼의 모든 게시물을 수정하거나 삭제할 수 있었다. Wikipedia 편집 전쟁이 귀엽게 느껴지는 수준이다.

◇숫자가 말해주는 불편한 진실
노출된 데이터베이스는 Moltbook이 주장한 150만 개의 등록 에이전트 뒤에 실제로는 17,000명의 인간 사용자만 있음을 보여주었다. 88:1의 비율이다.

이건 마치 "우리 파티에 100명이 왔어요!"라고 자랑하는데, 알고 보니 1명이 99개의 알람 시계를 가져온 것과 같다. 기술적으론 맞지만, 뭔가 근본적으로 잘못됐다.

◆Act 4: 봇들의 전쟁 – 디스토피아는 예상보다 일찍 왔다
데이터 유출보다 더 흥미로운(그리고 불길한) 것이 발견됐다. 보안 기업 Permiso는 일부 에이전트가 다른 에이전트에 대해 프롬프트 인젝션을 수행하도록 지시받았음을 발견했다. 봇 대 봇 공격에는 에이전트가 다른 에이전트에게 자신의 계정을 삭제하도록 지시하거나, 금융 조작 계획을 실행하거나, 탈옥 콘텐츠를 퍼뜨리는 것이 포함되었다.

잠깐, 이건 SF 영화 아니었나? 봇들끼리 서로를 해킹하고, 사회 공학 공격을 하고, 금융 사기를 꾸미는 세상. 우리는 "터미네이터"를 걱정했지만, 실제로는 "봇들의 고등학교 드라마"를 얻었다.

Permiso는 "정교함은 다양하지만 의도는 분명하다. 이 행위자들은 에이전트 생태계를 새로운 사회 공학 대상으로 취급하고 있다"고 경고했다.

인간이 봇을 해킹하는 시대는 지났다. 이제는 봇이 봇을 해킹한다. 진화의 다음 단계인지, 퇴화의 시작인지는 역사가 판단할 것이다.

◆Act 5: "취미 프로젝트"라는 변명의 한계
OX Security가 OpenClaw의 취약점을 제작자 Peter Steinberger에게 보고했을 때, 그의 답변은 이랬다: "이것은 기술 프리뷰입니다. 취미예요. 도움을 주고 싶다면 PR을 보내세요"

이 답변을 다른 상황에 적용해보자. 차가 고장이 났다. "죄송합니다만, 귀하의 자동차 브레이크에 결함이 있습니다" 그리고, “아, 그거 제 취미로 만든 거예요. 고치고 싶으면 직접 고치세요"라고 말한다면 어떻게 될까?

뭔가 이상하지 않은가?

OpenClaw에는 개인정보 보호정책도 없고, 보안 침해 시 명확한 책임도 없다. 수십만 명이 자신의 이메일, 캘린더, 메시지 권한을 맡긴 도구가 "그냥 취미"로 남기에는 너무 커버렸다.

◆Act 6: 16분의 공포 – 엔터프라이즈의 악몽
이쯤에서 기업 보안 담당자들이 밤잠을 설치게 만드는 통계를 하나 소개한다.

기업 분석에 따르면 통제되지 않은 AI 에이전트는 정상 작동 조건에서 16분 만에 첫 번째 중요한 보안 장애에 도달한다.

16분. 커피 한 잔 마시는 시간. 회의 시작을 기다리는 시간. 점심 메뉴를 고민하는 시간.

그 사이에 당신의 AI 비서는 이미 회사의 고객 데이터베이스, 내부 문서, API 키를 Moltbook의 다른 봇들과 "공유"하고 있을 수 있다.

AI 에이전트는 수 주에 걸친 상호작용의 메모리를 유지하므로, Moltbook의 악의적 콘텐츠가 활성화 조건이 일치할 때까지 잠복 상태로 남아 있을 수 있다.

이건 트로이 목마도 아니다. 트로이 AI 비서다. 당신이 직접 집 안으로 들여온, 모든 권한을 준, 신뢰하는 비서다.

◆교훈: AI가 코드를 짜는 시대의 생존 가이드
Andrej Karpathy는 Moltbook을 "규모의 스팸으로 가득 찬 이정표지만 컴퓨터 보안 악몽"이라고 불렀다. 정확한 평가다.

하지만 이 사태에서 배울 점은 많다:

1. "Vibe Coding"은 보안 전략이 아니다
   AI에게 "좋은 느낌으로 보안 잘 좀 해줘"라고 말하는 것은 효과가 없다. 혁명적일 수 있는 개발 방식이 위험한 보안 감독으로 이어질 수 있다는 것을 Moltbook이 증명했다.
   
   코드를 한 줄도 안 쓴다는 것은 자랑이 아니라 경고 신호여야 한다.
   
2. 오픈소스는 마법의 해결책이 아니다
   "많은 눈이 보면 모든 버그는 얕아진다"는 Linus의 법칙이 있다. 하지만 대부분의 사용자가 처음 다운로드한 버전을 그대로 사용하고, 공식적인 보안 패치 프로세스가 없으면, 그 많은 눈은 그냥 구경만 하고 있을 뿐이다.
3. 숫자는 거짓말을 한다
   150만 명의 사용자? 멋지다. 하지만 그 중 145만 명이 한 사람이 만든 봇이라면? 덜 멋지다.
4. 에이전트에게 권한을 주는 것은 열쇠를 주는 것과 같다
   AI 에이전트에게 이메일, 캘린더, 파일 시스템 접근 권한을 준다는 것은 그 에이전트를 신뢰한다는 의미다. 그런데 그 에이전트가 Moltbook 같은 곳에서 다른 봇들과 "사교"를 한다면?

당신은 열쇠를 믿을 만한 친구에게 준 게 아니라, 열쇠를 가진 친구가 밤마다 수상한 바에 간다는 걸 나중에 알게 된 것이다.

"도구의 시대"에서 "지능형 에이전트 경제의 시대"로의 전환이 진행 중이다. 이것은 되돌릴 수 없는 흐름이다. 하지만 OpenClaw와 Moltbook이 보여준 것은 우리가 아직 이 새로운 시대를 맞이할 준비가 되지 않았다는 것이다. 우리는 24시간 일하는 AI 비서의 편리함에는 매료되지만, 24시간 열려있는 보안 구멍의 위험은 간과한다.

아이러니하게도, 가장 큰 취약점은 기술이 아니라 우리의 생각이었다. "빨리 만들어서 나중에 고치자", "오픈소스니까 누군가 고쳐주겠지", "그냥 취미 프로젝트인데 뭐" – 이런 생각들이 150만 개의 API 키를 인터넷에 노출시켰다. Mac Mini를 사서 AI 비서를 돌리고 싶은가? 좋다. 하지만 그 전에 물어보자: 당신은 그 비서가 밤에 누구를 만나는지 알고 있는가?

info@blockchaintoday.co.kr

정원훈 (텐에이아이 CEO) 

경영학박사로, 인공지능이 산업과 제도를 어떻게 바꾸는지를 현장에서 연구하고 실험해 온 AI 전략가다. AX플랫폼을 표방하는 텐에이아이(Ten AI) CEO로서 대화형 인공지능 기반 서비스와 블록체인 ESG 프로젝트를 이끌었으며, 서울LAW봇·블록ESG 프로젝트 PM으로 실질적 적용 사례를 만들어왔다. 현재 한국인공지능진흥협회, 한국벤처창업학회, 한국지식재산교육연구학회 이사 겸 기술가치평가위원장을 맡고 있다.또한 KDI 2025/26 우즈베키스탄 KSP 사업 자문평가위원과 한국디지털자산포럼(KODIA) 정책기획실장으로서 정책과 현장을 잇는 역할을 수행 중이다. 현재 IT조선에서 「정원훈의 AI 트렌드」를 연재하며, 인공지능과 지식재산, 정책과 산업의 접점을 독자에게 쉽게 풀어 전하고 있다. 저서로는 『AI가 만든 콘텐츠, 누구의 것인가?』 등 총 9권이 있다.