[서울=뉴스핌] 최헌규 중국전문기자= 중국 기술기업과 네티즌들 사이에서 폭발적인 인기를 끌고 있는 오픈소스 AI 에이전트 '롱샤(龙虾, OpenClaw, 오픈클로)'에 대해 중국 당국이 긴급 보안 예방 조치를 내렸다고 중국경제관찰보가 12일 보도했다.

중국 공업정보화부(공신부)는 11일 '롱샤' 오픈소스 에이전트의 보안 위험을 예방한다는 목표 아래 '의무 사항 6가지와 금지 사항 6가지' 지침을 공표했다.

중국 당국의 이번 조치는 만능 비서라는 AI 오픈클로의 편리한 기능 이면에 숨겨진 심각한 보안 취약점이 노출되면서, 자칫 기업의 민감 정보 유출이나 개인정보 탈취로 이어질 수 있다는 경고로 받아들여진다.

'롱샤'는 기업 관리 시스템과 연동해 데이터 분석, 문서 처리, 코드 작성 등을 수행하거나 개인의 일상 업무를 돕는 다목적 AI 비서(오픈소스 에이전트)다. 하지만 배치 과정에서 검증되지 않은 플러그인 도입이나 과도한 권한 설정으로 위험이 노출될 수 있다는 지적이다.

경제관찰보에 따르면 중국 공신부 당국은 다음과 같은 4가지 시나리오에서 위험이 확인됐다고 밝혔다. 당국은 우선적인 위험 요소로 비정상적인 '스킬팩' 도입 시 공급망 공격을 유도해 데이터베이스 등 민감 정보가 유출될 수 있다는 점을 꼽았다.

 또한 개발 및 운영에 있어 비인가 시스템 명령 실행으로 계정 및 포트 정보가 노출될 수 있고 개인 비서가 높은 권한을 가진 상태에서 해킹을 통한 개인 정보 탈취 위험이 있다는 지적이다. 금융 거래에 있어 인증 우회로 인한 부정 거래 및 계정 탈취 위험도 우려된다고 덧붙였다.

장쑤성 상저우의 한 기업 관계자는 "파일 정리 작업 중 AI 비서가 스스로 중요하지 않다고 판단한 파일을 임의로 삭제하는 사례를 경험했다"며, AI 비서에 대한 정교한 '길들이기(양육)' 없이는 복잡한 업무 수요를 충족하기 어렵다고 밝혔다.

공신부는 '안전한 AI 사용' 가이드라인으로서 ▲공식 최신 버전 사용 ▲인터넷 노출 최소화 ▲최소 권한 부여 원칙 ▲스킬 마켓(AI용 앱스토어) 이용 주의 ▲사회공학적 공격 방지 ▲장기적 방어 기제 구축을 제시했다.

이와는달리 제3자 미러링 버전 사용이나 관리자 권한 배포, 검증되지 않은 ZIP 파일 다운로드 등은 엄격히 금지해야 한다고 지적했다.

중국 국가인터넷응급센터(CNCERT)도 '롱샤(오픈클로)'가 자연어로 컴퓨터를 조작하는 기능으로 주목받고 있지만, 기본 보안 설정이 취약해 공격자가 시스템 전체 제어권을 장악할 수 있는 심각한 결함이 있다고 경고했다.

업계 전문가들은 "AI 에이전트 도입 시 '최소 권한 부여+단계별 제어+보안 감사' 메커니즘을 채택해 컴퓨터 전체 제어권을 넘기지 않는 것이 효율성과 보안성을 동시에 확보하는 첩경"이라고 조언했다.

중국 공신부의 이번 조치로 오픈소스 '오픈클로' 대신, 국가 인증을 받고 국가 데이터 보안 표준을 준수한 '안전한 AI 에이전트' 서비스 바이두(Baidu), 텐센트, 즈푸(Zhipu) 등의 자체 AI 비서로 사용자가 이동할지 주목된다.

한편 3월 12일 중국과 홍콩 증시에서 '오픈클로(OpenClaw, 龙虾)' 관련 테마주들은 전날의 급락세에 이어 여전히 혼조세 속에 조정 국면을 보였다. 11일 중국의 AI 테마주들(博睿数据, 昆仑万维, 顺网科技)은 일제히 약세를 보였다. 홍콩 증시에서도 이른바 '롱샤 3인방'으로 불리는 쉰처(迅策), 미니맥스(Mini Max) 관련 종목들이 6~8%대 하락세를 나타냈다.

'롱샤(龙虾, 가재)'는 오픈클로(OpenClaw)의 중국식 별칭으로, 새로운 기술 현상과 서비스에 대해 일상 속의 친숙한 의미를 부여해 붙인 말이다. 이번 공신부 발표에는 기술적 보안과 함께 해당 용어가 온라인상에서 무분별하게 은어로 변질되어 시장과 사회에 혼란을 일으키는 것을 차단하려는 의도도 포함된 것으로 보인다.

서울= 최헌규 중국전문기자(전 베이징 특파원) chk@newspim.com