지난주에 트위터를 열었다가 타임라인이 온통 Moltbot 얘기로 도배된 걸 보고 “이게 뭐지?” 싶었습니다. GitHub 스타가 하루 만에 17,000개가 넘게 찍혔다고 하니, 뭔가 대단한 게 나왔구나 싶어서 저도 설치해볼까 했습니다. 근데 조금만 파보니까 좀 찜찜한 부분들이 보이더군요. 오늘은 그 얘기를 해보려고 합니다.
Moltbot이 뭔데 이렇게 난리일까
Moltbot은 원래 Clawdbot이라는 이름이었습니다. 오스트리아 개발자 Peter Steinberger가 만든 셀프 호스팅 AI 비서인데, 쉽게 말하면 “Claude에게 손을 달아준 것”입니다. 채팅만 하는 게 아니라 실제로 뭔가를 합니다. 파일 열고, 브라우저 조작하고, 이메일 보내고, 심지어 항공편 예약까지.
50개가 넘는 통합을 지원하고 WhatsApp, Telegram, Slack, Discord 등 거의 모든 메신저에서 쓸 수 있습니다. 게다가 대화 간 메모리가 유지되니까 “어제 얘기했던 그 프로젝트 파일 열어줘”라고 하면 알아서 찾아줍니다.
Andrej Karpathy가 추천하고, David Sacks가 트윗하고, MacStories에서 “개인 AI 비서의 미래”라고 칭찬하니까 순식간에 퍼진 거죠. 1월 24일 하루 만에 GitHub 포크가 50개에서 3000개 이상으로 뛰었고, 몇 주 만에 85,000 스타를 찍었습니다. GitHub 역사상 가장 빠른 성장이라고 합니다.
10초 만에 벌어진 일
여기서부터 이야기가 이상해집니다. Anthropic이 “Clawd”라는 이름이 “Claude”랑 너무 비슷하다며 상표권 문제를 제기했습니다. 그래서 Steinberger는 이름을 “Moltbot”으로 바꿔야 했습니다. (lobster가 허물을 벗는 것을 molt라고 하는데, 거기서 따왔다고 하네요.)
문제는 이름을 바꾸는 과정에서 터졌습니다. GitHub 조직명과 X(트위터) 핸들을 동시에 바꾸려고 했는데, 기존 이름을 놓고 새 이름을 가져오는 그 찰나의 틈을 노린 겁니다. 대략 10초 정도 됐다고 합니다.
크립토 스캐머들이 그 10초 만에 clawdbot 계정을 낚아챘습니다. 그리고 바로 가짜 토큰 홍보를 시작했습니다. 수만 명의 팔로워가 있는 계정이었으니까요. 가짜 토큰은 잠깐 동안 시총이 수백만 달러까지 갔다가, Steinberger가 사기라고 경고한 뒤에 폭락했습니다.
솔직히 이건 Moltbot 자체의 보안 문제는 아닙니다. 근데 이 사건이 보여주는 게 있습니다. 이렇게 핫한 프로젝트 주변에는 항상 노리는 눈들이 있다는 거죠.
진짜 문제는 따로 있습니다
GitGuardian이라는 보안 회사가 Moltbot 관련 레포지토리들을 분석했는데, 결과가 좀 충격적입니다.
181개의 시크릿이 유출된 상태로 발견됐습니다. 그중 65개는 아직도 유효합니다. 30%는 Telegram Bot 토큰이고요.
# 이런 식으로 .env 파일이 그대로 커밋된 경우가 많았습니다
ANTHROPIC_API_KEY=sk-ant-xxxxx
TELEGRAM_BOT_TOKEN=123456789:ABCdefGHIjkl
OPENAI_API_KEY=sk-xxxxx
보안 연구원 Jamieson O’Reilly가 조사한 바에 따르면, 수백 명의 사용자가 Moltbot 컨트롤 서버를 인터넷에 아무 보호 없이 열어놓고 있었습니다. SlowMist라는 보안 회사는 게이트웨이 시스템에 인증 우회 취약점이 있어서 수백 개의 API 키와 개인 대화 기록이 공개적으로 접근 가능하다고 발표했습니다.
Moltbot은 기본적으로 여러분의 컴퓨터에 거의 모든 권한을 가집니다. 셸 접근, 파일 시스템 접근, 브라우저 제어. 편리하죠. 근데 그 권한이 잘못된 손에 들어가면 어떻게 될까요?
그래서 쓰면 안 되는 건가요?
그건 아닙니다. 다만 알고 쓰자는 겁니다.
Moltbot을 쓰려면 최소한 이 정도는 체크해야 합니다.
1. 절대로 API 키를 Git에 커밋하지 마세요
# .gitignore에 반드시 추가
.env
.env.*
config/secrets.yml
2. 컨트롤 서버를 외부에 노출하지 마세요
로컬에서만 돌리거나, 쓴다면 최소한 VPN 뒤에 두세요. 기본 포트 그대로 인터넷에 열어두는 건 집 현관문 열어놓고 출근하는 거랑 같습니다.
3. 권한을 최소화하세요
Moltbot이 할 수 있는 모든 걸 다 켜놓을 필요 없습니다. 파일 시스템 접근이 필요 없으면 끄세요. 이메일 전송이 필요 없으면 끄세요.
4. 민감한 작업은 확인 단계를 추가하세요
돈이 오가는 작업, 파일 삭제 같은 건 한 번 더 물어보게 설정하는 게 좋습니다.
마치며
AI 에이전트 시대가 본격적으로 시작되고 있습니다. Moltbot 같은 도구는 분명 생산성을 크게 높여줄 수 있습니다. 근데 그만큼 공격 표면도 넓어진다는 걸 잊으면 안 됩니다.
편리함에는 늘 대가가 있습니다. Moltbot의 경우, 그 대가는 “내 컴퓨터의 거의 모든 권한을 AI에게 주는 것”입니다. 그게 나쁘다는 게 아닙니다. 다만 그 권한이 어디로 새어나갈 수 있는지, 어떤 위험이 있는지 알고 쓰자는 겁니다.
GitHub 스타 85,000개가 보안을 보장해주지는 않습니다. 결국 내 시스템은 내가 지켜야 합니다.