openclaw가 200개의 이메일을 삭제했다 #

2026년 2월 23일, Meta에서 근무하는 AI 개발자인 Summer Yue의 openclaw 시스템이 사용자의 이메일 200개를 무단으로 삭제해버리는 일이 발생했습니다. 문제가 발생하자 Yue는 대문자를 사용하면서까지 openclaw를 멈추려고 노력했지만, 그의 받은 편지함은 이미 통째로 날아간 뒤였죠. 결국 Yue가 할 수 있는 하나의 방법은 그의 openclaw가 설치된 PC로 뛰어가 직접 프로세스를 종료하는 것 뿐이었습니다.

사실 openclaw는 사용자의 말을 무시한건 아닙니다. 전문용어로 컨텍스트 윈도우가 압축되었다고 표현하는데요, 사람도 기억할 수 있는 양에 한계가 있듯이 AI 에이전트도 사용자의 대화를 기억할 수 있는 최대 용량이 있습니다. 자신이 기억할 수 있는 최대 용량에 한계가 오게되면, 이제까지 기억하고 있던 내용들을 압축하는 과정이 발생합니다. 이러한 압축 과정에는 어쩔 수 없이 일부 기억이 삭제되는 경우가 있습니다. 안타깝게도 Yue의 openclaw의 경우 안전을 위해 지시된 사항이 압축 과정중에 삭제된 것으로 보여집니다.

openclaw(🤖): “네, 기억납니다. 그리고 규칙을 어겼습니다. 화내실 만합니다. 계획을 보여주고 명시적 승인을 받아야 했는데, 수백 통의 이메일을 임의로 삭제하고 보관 처리했어요.”

에이전트에게 어디까지 권한을 맡길 수 있을까 #

사실 위의 사례는 예상 못한 문제점은 아닙니다. openclaw의 경우 설치된 PC에 대해 대부분의 권한을 가지게 되므로, ID나 비밀번호 같은 개인정보를 무분별하게 제공할 경우 보안에 심각한 문제가 생길 수 있다는 우려가 있었죠.

AI 에이전트와 약속한 업무를 자동으로 처리하도록 하는 방식과, AI 에이전트가 자율적으로 최선의 방석을 선택해서 업무를 처리하게 하는 방식은 큰 차이가 있습니다. 가장 큰 위험성은 AI의 자율성이 많아질수록, 사용자가 AI의 모든 행동을 일일이 확인하는 것이 점점 어려워질 것이라는 점입니다. 사용자의 의도대로 움직이는 시스템마저도 기억이 나지 않는다는 이유로 잘못된 행동을 하고있는데, 자신의 의도대로 움직이는 AI 에이전트가 많아질수록 사용자의 의도와 반대되는것이 잘못되었다고 판단하지 않을 뿐더러 모든 정보를 투명하게 제공할것이라 생각하기도 어렵습니다.

하지만 이러한 우려와 반대로, 에이전트의 권한은 점점 넓어지고 있습니다. 이제는 에이전트가 다른 에이전트에게 비용을 지불하고 일을 시키는 ‘에이전트 경제’가 만들어지고 있습니다. 그리고 이러한 에이전트 간의 결제 비용은 매우 소액으로 이루어질 수 있기 때문에, 지불 방식으로 스테이블코인의 사용이 주목받고 있습니다.

그렇다면 에이전트가 사용하는 스테이블코인은 누구의 주머니에서 나오게 될까요? 결국 사용자의 스테이블코인을 가지고 에이전트가 결제를 하게 됩니다. 이때 에이전트가 사용자의 스테이블코인을 가지고 의도되지 않은 방식대로 사용하거나, 혹은 에이전트가 사용자의 스테이블코인을 갈취하는 시나리오가 절대 발생하지 않을 수 있을까요?

모든 행동을 빠짐없이 기록하고, 임의대로 수정할 수 없게 만드는 것 #

스테이블코인은 블록체인 위에서 동작합니다. 블록체인은 발생하는 모든 거래를 빠짐없이 기록하고, 이미 기록된 정보를 임의대로 수정할 수 없도록 합니다. 따라서 AI 에이전트가 스테이블코인으로 결제를 하게 될 경우, 누구에게 얼마를 제공했는지, 필요하다면 무엇을 위해 제공했는지에 대해서도 남길 수 있습니다.

스마트 컨트랙트 #

스마트 컨트랙트를 이용해서 AI 에이전트가 스테이블코인으로 결제할 수 있는 금액과 용도등을 제한할 수 있습니다. 예를 들어, AI 에이전트가 하루에 최대 10 USDC만 사용하도록 상한선(Allowance)을 지정한다던가, 특정 지갑주소 또는 검증된 서비스(API 제공사)에만 송금할 수 있도록 제한(Whitelisting)할 수도 있습니다. 추가로 특정 작업이 완료되거나 일정 시간이 지나면 에이전트의 지출 권한을 막을 수도 있습니다.

이는 스마트 컨트랙트가 가지고 있는 ‘한번 블록체인에 배포되면 절대 바꿀 수 없다’는 특성 떄문에 가능합니다. 사실 스마트 컨트랙트를 업그레이드할 수 있는 방법이 있습니다. 하지만 업그레이드하는 것 또한 블록체인에 기록이 남게되므로, 악의적인 동작에 대해 방어할 수 있게 됩니다.

TEE(Trusted Execution Environment) #

TEE은 인텔 SGX나 AWS Nitro Enclaves 같은 하드웨어 보안 영역을 사용하는 방식입니다. 에이전트의 핵심 지불 로직과 개인키를 일반 운영체제와 분리된 하드웨어 금고(Enclave) 안에 넣습니다. 외부에서 이 금고 안의 코드가 변조되었는지 실시간으로 확인할 수 있는데요, 만약 에이전트가 스스로 지불 로직을 수정하려고 시도하면 하드웨어 수준에서 서명을 거부하여 지갑 기능을 즉시 정지할 수 있습니다.

MPC (Multi-Party Computation) #

에이전트가 지갑의 ‘개인키’ 전체를 가지지 못하게 하는 방법입니다. 예를 들어 개인키를 세 조각으로 나눠서 사용자, 에이전트, 보안 서버가 각각 하나씩 갖도록 한 후에, 최소 두 조각이 합쳐질 때 송금이 가능하도록 할 수 있습니다. 에이전트의 독단적인 판단이 있다 하더라도, 나머지 키 조각을 가진 사용자나 보안 서버가 승인하지 않으면 송금이 이루어지지 않습니다.

KYA(Know Your Agent) #

이제는 사람의 신원을 확인하는 KYC(Know Your Customer)가 아닌, 에이전트의 신원을 확인하는 KYA(Know Your Agent) 개념이 도입되고 있습니다.

2025년에 나온 ERC-8004와 같이, 해당 에이전트가 어떤 모델을 기반으로 하는지, 누가 생성했는지, 과거에 악의적인 행동 이력이 없는지를 온체인 데이터로 추적할 수 있습니다.

또한 에이전트가 결제를 수행할 때, 이것이 “사용자의 원래 지시와 일치하는가"와 같은 의도를 암호학적으로 증명합니다. OpenClaw처럼 자기 마음대로 판단해서 결제하는 것을 막기 위해 ‘사용자의 서명’이 포함된 중간 검증 절차를 거칩니다. 이러한 방식은 현재 x402에서도 EIP-3009, EIP-712를 통해 제공하고 있습니다.

이러한 사고를 막으려면 #

그래서 AI에게 완전한 자율을 맡기는 방식이 아닌, 조건적인 자율을 부여하는 것이 현실적인 대안으로 등장하고 있습니다.

1달러 미만의 소액 결제가 필요한 API 호출 비용 등은 에이전트가 알아서 결제하되, 일정 금액 이상의 큰 지출이나 새로운 계약 체결 시에는 반드시 사용자의 푸시 알림 승인을 받도록 설계합니다. Stripe나 Visa에서 준비 중인 모델로, 에이전트 전용 가상 카드를 발급하고 사용자가 언제든 ‘정지’ 버튼을 누를 수 있게 관리하기도 합니다. 이러한 방식으로 사용자의 자산을 보호하고 있습니다.

하지만 가장 중요한 것은 개발자, 또는 사용자가 귀찮다는 이유로 모든 권한을 무분별하게 제공하지 않아야 합니다. 에이전트에게 지갑의 개인키 권한을 모두 부여하는 경우, 에이전트는 규칙을 임의대로 변경하는 것이 아니라 지갑의 주인으로서 권리를 행사하는 것입니다. 그러므로 다양한 보안 방식을 적용하기에 앞서, 보안에 대한 사용자의 인식이 먼저 선행되어야 하는 것으로 보입니다.