AI는 단순히 지시를 따르는 어시스턴트를 넘어, 스스로 행동하는 에이전트로 진화했습니다. ‘클로(claws)’라 불리는 이 에이전트들은 목표를 설정하면 달성 방법을 스스로 찾아내고, 인간의 개입 없이도 무한히 과업을 수행합니다. 하지만 클로의 능력이 향상될수록 신뢰를 구축하기는 더욱 어려워집니다. 특히 스스로 진화하는 이들의 자율성은 기존의 운영 환경 자체를 완전히 뒤바꿔 놓았습니다.
지금까지는 이러한 클로를 안전하게 구동할 인프라가 존재하지 않았습니다.
NVIDIA는 GTC에서 OpenClaw 상시 가동 어시스턴트를 단일 명령어로 간편하게 실행할 수 있는 오픈 소스 스택, NemoClaw를 발표했습니다. 이 스택은 정책 기반의 프라이버시 및 보안 가드레일을 통합하여 개발자가 에이전트의 행동과 데이터 처리 방식을 직접 제어하도록 돕습니다. 덕분에 자기 진화형 클로는 클라우드, 온프레미스, NVIDIA RTX PC, 그리고 NVIDIA DGX Spark 등 어디서나 안전하게 작동합니다.
NVIDIA NemoClaw는 NVIDIA Nemotron과 같은 오픈 소스 모델과 NVIDIA Agent Toolkit의 일부인 NVIDIA OpenShell 런타임을 함께 활용합니다. 강력한 오픈 소스 모델에 내장형 보안 조치를 결합함으로써, NemoClaw는 AI 에이전트 배포 과정을 단순화하는 동시에 안정성을 보장합니다.
한편, NVIDIA Agent Toolkit은 모델, 도구, 평가 시스템, 런타임을 아우르는 전체 배포 스택을 제공합니다. 이는 작업을 계획하고 애플리케이션과 기업 데이터를 가로지르며 작동하는 장기 실행 에이전트를 구축, 테스트 및 최적화하여 신뢰할 수 있는 엔터프라이즈급 서비스로 거듭나게 합니다.
Apache 2.0 라이선스 기반의 OpenShell은 에이전트와 인프라 사이에서 중추적인 역할을 담당합니다. 에이전트의 실행 방식과 가시 범위, 활동 영역은 물론 추론이 전달되는 위치까지 정밀하게 관리합니다. 특히 OpenShell은 클로를 격리된 샌드박스에서 구동하므로, 사용자는 에이전트의 생산성을 누리면서도 프라이버시와 보안에 대한 세밀한 통제권을 유지할 수 있습니다.
코드 수정 없이 openshell sandbox create --remote spark --from openclaw라는 단일 명령어를 실행해 보세요. OpenClaw는 물론 Anthropic의 Claude Code, OpenAI의 Codex와 같은 코딩 에이전트까지 OpenShell 내부에서 그대로 구동할 수 있습니다.
본 블로그에서는 AI 에이전트의 진화 과정을 짚어보고, OpenShell의 상세 작동 원리를 심도 있게 분석합니다.
클로(claws)가 초래하는 새로운 리스크
클로는 세션을 넘나들며 문맥을 기억하고, 독립적으로 행동하는 하위 에이전트를 생성하며, 과업 수행 중에 스스로 코드를 작성해 새로운 기술을 습득합니다. 또한 도구를 자유자재로 활용하며 사용자가 노트북을 닫은 후에도 실행을 멈추지 않습니다. 이제 개별 개발자 한 명이 팀 전체의 몫을 해내는 에이전트를 구동할 수 있게 된 셈입니다. 과거에는 수주간의 조율과 복잡한 파이프라인이 필요했던 작업을 이제는 에이전트가 중단 없이 처리해냅니다.
OpenClaw와 같은 장기 실행 에이전트는 비약적인 생산성 향상을 입증했으나, 동시에 심각한 보안 리스크를 동반합니다. 현재의 에이전트 런타임은 웹 기술의 초창기를 연상케 합니다. 강력한 성능을 자랑하지만, 정작 핵심적인 보안 기본 요소인 샌드박싱, 권한 관리, 격리 기능은 결여되어 있습니다.
장기 실행 및 자기 진화형 에이전트가 실제로 제 기능을 다 하려면 안전성, 역량, 자율성이라는 세 가지 요소가 동시에 충족되어야 합니다. 하지만 기존 방식으로는 한 번에 두 가지만 확보할 수 있습니다. 안전하고 자율적이지만 필요한 도구와 데이터에 접근하지 못한다면, 에이전트는 실질적인 결과물 도출에 실패합니다. 역량이 뛰어나고 안전하더라도 매번 승인 절차를 거쳐야 한다면, 사용자는 에이전트를 감시하는 데 시간을 다 허비하게 됩니다. 반면 역량과 자율성을 모두 갖추고 모든 권한을 가진 에이전트는 스스로를 감시해야 하는 모순에 빠집니다. 즉, 보호해야 할 프로세스 내부에 가드레일이 공존하는 위험한 구조가 형성되는 것입니다.
마지막 시나리오는 가장 치명적인 실패 사례로 꼽힙니다. 상태를 저장하지 않는(stateless) 챗봇은 유의미한 공격 표면이 거의 없습니다. 그러나 지속적인 셸(shell) 접근 권한과 유효한 인증 정보를 보유하고, 스스로 도구를 재작성하며, 내부 API를 대상으로 6시간 동안 축적된 문맥을 바탕으로 실행되는 에이전트는 완전히 다른 차원의 위협 모델이 됩니다. 모든 프롬프트 주입(Prompt Injection)은 잠재적인 인증 정보 유출로 이어지며, 클로가 설치하는 모든 제3자 기술은 파일 시스템 접근 권한을 가진 검증되지 않은 바이너리와 다를 바 없습니다. 클로가 생성하는 모든 하위 에이전트는 의도치 않은 권한까지 그대로 상속받을 위험이 큽니다.
에이전트 기술은 이미 완성되었습니다. 하지만 이들을 진정으로 신뢰하고 운용할 수 있는 안전한 환경은 지금까지 부재했습니다.
NVIDIA가 OpenShell을 구축한 방식
OpenShell 설계의 핵심은 프로세스 외부 정책 집행(Out-of-process policy enforcement)이라는 아키텍처 결단에 있습니다. 행동 지침을 담은 프롬프트에 의존하는 대신, 에이전트가 구동되는 환경 자체에 제약 사항을 강제합니다. 즉, 에이전트가 해킹당하더라도 이러한 제약권을 임의로 해제할 수 없음을 의미합니다. 이는 브라우저 탭 모델을 에이전트에 적용한 것과 같습니다. 모든 세션은 격리되며, 어떠한 동작이 실행되기 전 런타임 단계에서 권한 검증을 거칩니다.
Claude Code나 Cursor와 같은 도구들도 훌륭한 내부 가드레일과 시스템 프롬프트를 갖추고 있지만, 이러한 보호 장치들은 결국 에이전트 내부에서 작동합니다. 반면 OpenShell은 이러한 장치들을 감싸 안으며, 최종 통제 지점을 에이전트의 손이 닿지 않는 외부로 완벽히 분리해 냅니다.
런타임은 수많은 구성 요소로 이루어지지만, 현재 NVIDIA가 제공하는 핵심 요소는 다음과 같습니다.
- 샌드박스(Sandbox)는 장기 실행 및 자기 진화형 에이전트만을 위해 특수 설계되었습니다. 일반적인 컨테이너 격리와는 차원이 다릅니다. 에이전트의 기술 습득 및 검증, 프로그래밍 가능한 시스템과 네트워크 격리를 관리하며, 에이전트가 호스트 시스템에 영향을 주지 않고도 실행 환경 내에서 자유롭게 활동하도록 지원합니다. 개발자가 승인함에 따라 샌드박스 범위 내에서 정책 업데이트가 실시간으로 이루어지며, 모든 허용 및 거부 결정은 상세한 감사 추적(Audit trail)으로 기록됩니다.
- 정책 엔진(Policy engine)은 파일 시스템, 네트워크, 프로세스 계층 전반에 걸쳐 에이전트 환경의 제약 사항을 집행합니다. 자율적으로 진화하는 에이전트가 런타임 중에 패키지를 설치하고 기술을 배우며 하위 에이전트를 생성할 때, 이를 신뢰하기 위해서는 세밀한 감시가 필수적입니다. 엔진은 바이너리, 목적지, 메서드, 경로 수준에서 모든 동작을 평가합니다. 덕분에 에이전트는 검증된 기술을 설치할 자율성을 얻으면서도, 검토되지 않은 바이너리를 실행하는 것은 차단당합니다. 만약 에이전트가 제약에 부딪히면 그 원인을 분석하고 정책 업데이트를 제안할 수 있으며, 최종 승인권은 오직 사용자에게 주어집니다.
- 프라이버시 라우터(Privacy router)는 민감한 문맥 데이터가 온디바이스(On-device)의 로컬 오픈 모델 내에 머물도록 관리하며, 정책이 허용하는 경우에만 Claude나 GPT 같은 프런티어 모델로 경로를 연결합니다. 라우터는 에이전트가 아닌 사용자가 설정한 비용 및 프라이버시 정책에 따라 의사결정을 내립니다. OpenShell은 특정 모델에 종속되지 않도록(Model-agnostic) 설계되었으며, 모든 에이전트와 그 제어 장치들이 통제받을 수 있는 통합 환경을 제공합니다.
OpenShell이 열어가는 차세대 클로의 시대
OpenShell은 단일 개발자가 사용하는 NVIDIA DGX Spark나 NVIDIA 스택부터 대규모 기업용 배포 환경에 이르기까지 동일한 기본 원칙을 바탕으로 확장 가능하도록 설계되었습니다. 여기에는 ‘기본 차단(deny-by-default)’, 실시간 정책 업데이트, 그리고 상세한 감사 추적(audit trail)이 포함됩니다. 한 명의 개발자이든, 거대한 기업용 GPU 클러스터를 운영하든 상관없이 동일한 수준의 보안 표준이 적용됩니다.
클로의 도입과 활용 속도는 그 어느 때보다 빨라지고 있습니다. 앞으로 6개월에서 12개월 사이의 인프라 결정이 향후 기업용 에이전트 배포의 미래를 결정짓는 이정표가 될 것입니다.
OpenShell로 구축한 에이전트는 Claude Code, Codex, Cursor, OpenCode와 같은 인기 코딩 에이전트를 활용해 시간이 지날수록 새로운 기술을 지속적으로 습득합니다. 개발자는 샌드박스 인터페이스를 통해 도구, 모델, 행동 양식을 자유롭게 추가할 수 있으며, 이 과정에서 생겨나는 모든 새로운 역량은 기존과 동일한 정책 및 프라이버시 제어 하에 놓이게 됩니다.
지금 바로 NVIDIA GitHub 리포지토리를 방문하여 OpenShell을 시작해 보세요. 여러분의 NVIDIA DGX Spark, NVIDIA DGX Station, 또는 NVIDIA RTX GPU가 탑재된 전용 PC에서 직접 구동할 수 있습니다.
