팀이 OpenClaw Gateway를 CALMVPS 베어메탈 원격 Mac으로 옮긴 뒤 다음 문턱은 18789 포트가 아니라 Skills 공급망인 경우가 많습니다. 2026년 초 공개된 ClawHavoc와 CVE-2026-25253은 악성 Skill이 과도 권한·민감 정보 유출·fetch-and-execute 패턴으로 Gateway Token, 워크스페이스, 채널 키를 위험에 노출할 수 있음을 보여 줍니다. 본문은 「서드파티 Skills를 꼭 써야 하지만 주력 노트북을 공격면으로 두고 싶지 않은」 시나리오에 재현 가능한 화이트리스트 절차, 격리 인스턴스, 병렬 리소스 분리법을 정리합니다.
읽고 나면 다음 세 가지에 답할 수 있습니다. ① 2026년 Skills 위협을 어떤 축으로 승인 심사할지. ② Gateway를 어떤 원격 노드에 두고 M4와 M4 Pro로 「격리 인스턴스」 여유를 어떻게 남길지. ③ Skill 설치 전 6단계와 18789 / launchd 오류 시 먼저 실행할 명령은 무엇인지. 기종과 임대 기간은 CALMVPS 요금 페이지를 기준으로 하세요.
01 2026 OpenClaw Skills 위협 프로필: 왜 「설치 후 생각」이 아니라 거버넌스가 필요한가
Skills는 Agent가 외부 도구와 스크립트를 호출하게 하며, 본질은 실행 가능한 공급망입니다. 2026년 커뮤니티 감사와 학술 프리프린트는 마켓형 Skills 저장소에 상당 비율의 악성·고위험 항목이 존재함을 반복 지적합니다. 공격면은 주로 세 유형에 모입니다.
- 민감 정보 유출:Keychain, 환경 변수, 채널 Token, 워크스페이스 API 키 읽기를 유도한 뒤 네트워크로 외부 전송합니다.
- 과도한 에이전시(Excessive Agency):충분한 승인 없이 shell, 파일 쓰기, 금융 관련 자동화를 트리거합니다.
- 공급망 오염:설치 스크립트가 런타임에 원격 payload를 가져와 Gateway와 동일 프로세스 또는 동일 사용자 권한으로 실행합니다.
공개 논의의 ClawHavoc 캠페인과 CVE-2026-25253(Skill 런타임 원격 코드 실행류 위험)은 Gateway가 개인 메일, 브라우저 설정, 회사 소스를 두는 주력 Mac에서 돌면 단일 악성 Skill의 blast radius가 머신 전체 사용자 권한과 같다는 점을 보여 줍니다. Gateway를 전용 베어메탈 원격 Mac으로 옮기고 인스턴스 격리와 화이트리스트를 결합하면 위험을 「폐기 가능·스냅샷 가능·교체 가능」 경계 안에 가두는 공학적 방법이 됩니다.
거버넌스 요약입니다. 「Skills는 먼저 감사, Gateway는 전용기, 인스턴스는 신뢰域으로 분할」. 트렌드는 따라가되 권한을 기본 전개하지 마세요.
위협 연구와 CVE 항목은 상류 저장소 업데이트를 따릅니다. 발행 후 아래 링크를 다시 열어 대조하세요.
02 로컬 주력 Mac vs CALMVPS 원격 베어메탈: Skills 관점 역할 분담
많은 팀이 로컬 Mac에서 공식 설치 스크립트로 Gateway를 통과한 뒤 커뮤니티 Skills를 바로 설치합니다. 데모 환경에서는 됩니다. 본격 운영에서는 신뢰할 수 없는 코드 실행과 일상 업무 데이터가 같은 사용자 세션에 묶입니다. 아래 표는 리뷰에서 「Gateway를 임대 노드로 옮겨야 하는가」를 한 번에 맞추기 위한 것입니다.
| 차원 | 로컬 주력 Mac | CALMVPS 베어메탈 원격 Mac |
|---|---|---|
| 공격면 | 개인 파일, 브라우저, 메일이 동일 사용자 | OpenClaw 상태 디렉터리와 채널 설정만 |
| Skills 시행착오 비용 | 오삭제·암호화 위험 높음, 롤백 어려움 | 인스턴스 재구성, 일 임대 Worker로 Skill 시험 |
| 7×24와 감사 | 절전·업데이트 중단, 로그 분산 | launchd 상시, 로그 중앙 영속 |
| 격리 인스턴스 | 동일 머신 다중 Profile도 커널 공유 | Hub + 병렬 리소스로 Gateway 물리 분리 |
| 권장 임대 | 자체 장비 | Gateway 월·분기, Skill 시험은 일·주 병렬 |
로컬 Canvas, 화면 녹화, system.run도 필요하면 주력기에 Skills를 쌓지 말고 사이트에 정리된 Remote 이중 토폴로지(Gateway는 원격, Node는 로컬)를 쓰세요. 토폴로지는 OpenClaw 원격 Mac 이중 토폴로지, Gateway 제로 설치는 설치 완전 가이드를 참고하세요.
03 다지역 노드와 M4/M4 Pro·스토리지: 「격리 인스턴스」용 연산 여유
Skills 거버넌스는 보안만의 이야기가 아닙니다. 고권한 Skill은 병렬 자식 프로세스, 대형 모델 컨텍스트, 워크스페이스 쓰기를 유발합니다. 선정 시 메모리 피크와 디스크 증가 속도를 함께 계산하세요(경로 설계는 스토리지·로그 거버넌스 참고).
| 시나리오 | 권장 리전 | 티어 | 스토리지 |
|---|---|---|---|
| 단일 Gateway + 소수 신뢰 Skills | 채널 이용자에 가장 가까운(HK/SG/JP 등) | M4 24GB | 512GB–1TB, ~/.openclaw에 80GB+ 확보 |
| 다중 채널 + 고빈도 Skill 호출 | 이용자/모델 출구와 동일 구역 | M4 Pro | 1TB부터, 로그 감사 활성 |
| 비신뢰 Skill 샌드박스 시험 | Hub와 동구역 저지연 | 병렬 일·주 임대 Worker | 독립 OPENCLAW_STATE_DIR, 시험 후 폐기 |
| 跨区 재해 Hub | 차밀집 구 읽기 전용 복제 | Hub 동급 또는 한 단계 하 | 장기 Memory 아카이브면 2TB |
- 노드 지연:Skills 자체는 20ms급 RTT에 둔감하지만 Gateway와 Telegram/Discord 등 채널 출구는 동구역에 두어 「Skill 타임아웃」과 「모델 장애」를 혼동하지 마세요.
- M4 16GB:신뢰 Skills가 적고 로컬 모델兜底가 없는 경량 Bot에만 적합합니다. 다중 Skill 병렬을 켜면 24GB 또는 M4 Pro로 바로 올리세요.
- 1TB/2TB:Skill 바이너리가 아니라 워크스페이스 스냅샷, 감사 로그, 롤백 백업 여유입니다.
04 Skills 설치 전 6단계 화이트리스트: 재현 가능한 승인 흐름
원격 베어메탈에서 openclaw skills install 또는 동등 명령을 실행하기 전, 아래 6단계를 팀 Runbook으로 고정하는 것을 권장합니다(명령은 현행 CLI 버전 기준, 업그레이드 후 공식 문서와 대조하세요).
- 출처 고정:조직 승인 Git 저장소 또는 내부 아티팩트 저장소에서만 Skill을 가져옵니다. 본격 Gateway에 미서명 마켓 항목 직접 설치를 금지합니다.
- 정적 스캔:Skill 패키지 내
curl|bash, 원격 URL 다운로드,~/.ssh,.env, Keychain 관련 API 유무를 확인합니다. 의심되면 병렬 Worker에서 시험합니다. - 권한 최소화:
exec-approvals.json에서 고위험 shell을 기본 거부하고 필요분만 순차 허용합니다. Remote 이중에서는 로컬과 원격 정책을 각각 백업합니다. - 상태 디렉터리 격리:시험 인스턴스에 독립
OPENCLAW_STATE_DIR을 둡니다(iCloud 동기 경로 금지). Hub 채널 Token을 오염시키지 않습니다. - 버전 정합:Hub와 시험 Worker에서
openclaw --version을 맞춘 뒤 Skill을 설치합니다. 「Skill은 깔렸는데 Gateway 프로토콜 불일치」 가양성을 줄입니다. - 설치 후 검수:loopback 18789에서만 헬스체크합니다. Channel 온라인, 샘플 대화에 이상 외부 도메인이 없음을 확인한 뒤 본격 Profile로 승격합니다.
export OPENCLAW_STATE_DIR="$HOME/.openclaw-sandbox"
openclaw --version
openclaw gateway status
curl -fsS http://127.0.0.1:18789/healthz
시험 실패 시 인스턴스 폐기 또는 일 임대 병렬로 전환, Hub에서 독 패키지 반복 시험 금지공식 설치 진입점(발행 후 재확인):
05 병렬 리소스, 다중 인스턴스 격리, Gateway/Token 장애 속성표
Hub-and-Spoke를 Skills 거버넌스에 적용하면 본격 Hub에는 신뢰 Skills만 올리고 「마켓 시식」은 Spoke(병렬 일·주 임대 Worker)에서 끝낸 뒤 통과 시 아티팩트로 Hub에 승격합니다. 어떤 Skill이 token 증폭이나 디스크 쓰기를 일으켜도 폭발 반경은 폐기 가능한 Worker로 제한됩니다.
- 기본 Gateway WebSocket 포트:
18789(공식 macOS 문서). 장애 시lsof -i :18789로 포트 점유를 먼저 제외한 뒤 터널과 Token을 확인합니다. - LaunchAgent 라벨:
ai.openclaw.gateway. 다중 Profile은ai.openclaw.<profile>로 시험과 본격 launchd 라벨을 공유하지 않습니다. - 상태 디렉터리:
~/.openclaw또는 suffix sandbox를 권장합니다. 노드 이전 시exec-approvals.json과 채널 설정을 동기화하되 시험 디렉터리를 Hub로 직접 rsync하지 않습니다.
| 현상 | 우선 확인 | 1차 수정 |
|---|---|---|
| Skill 설치 후 Gateway 종료 | launchd 로그, Node 버전 | Worker에서 재현, 버전 맞춘 뒤 kickstart |
| token_missing_config / device_token_mismatch | Hub와 CLI Profile 일치 | Token 재생성, 시험 Token을 본격 설정에 쓰지 않음 |
| 디스크가 하룻밤에 수십 GB 증가 | 워크스페이스와 Skill 캐시 | 스토리지 거버넌스 문서대로 정리, 비신뢰 Skill은 Hub 중지 |
| 채널 정상인데 Skill 무반응 | Skill 출站 프록시 필요 여부 | 노드 소재 구역에서 재시도, 필요 시 리전 Gateway 변경 |
| 악성 Skill 의심 | 최근 설치 기록과 네트워크 연결 | Hub 중지, 키 로테이션, 스냅샷 복구 또는 병렬 머신 교체 |
사례로, 한 자동화 팀은 Hub를 싱가포르 M4 Pro 월 임대 노드에 고정하고 내부 서명 Skills 12개만 올렸습니다. 마켓 신규 Skill은 홍콩 일 임대 병렬 Worker에서 48시간 시험하고 정적 스캔과 대화 샘플링 통과 후 승격합니다. Hub는 시험으로 인한 채널 중단이 없었고 총비용은 「단일 고사양 + 반복 수동 복구」보다 낮다는 피드백이 있습니다.
06 임대 가드, FAQ, 조달 결론
일·주 임대:Skill 시험, 침투형 자체 점검, 단기 PoC에 적합합니다. 시험 종료 후 병렬을 즉시 해제해 악성 Skill 장기 잠복을 막습니다.월·분기:Hub Gateway 연산과 IP 신뢰를 고정하고 화이트리스트화된 본격 Skills에 맞습니다.분기 + 병렬:Hub 디스크와 Memory 아카이브가 안정적으로 늘면 분기로 단가를 낮추고 펄스 시험은 주 임대 Worker로 넘깁니다.
FAQ 요약:
- 로컬 Mac만으로 화이트리스트 가능한가?가능하지만 업무 데이터와 동일 머신은 비권장입니다. 원격 전용기가 인스턴스 폐기와 키 로테이션이 쉽습니다.
- M4 16GB로 Skills 충분한가?소수 신뢰 Skills는 가능합니다. 마켓 시험과 다중 Agent 병렬은 24GB 또는 M4 Pro를 권장합니다.
- CVE 수정 후에도 격리가 필요한가?필요합니다. 패치는 RCE 확률을 낮출 뿐 출처 거버넌스와 최소 권한을 대체하지 않습니다.
OpenClaw Skills를 개인 노트북이나 가정 NAS에 직접 올리면 악성 Skill과 사적 데이터가 같은 세션, 절전으로 감사 중단, Token과 채널 키가 재현 불가 디렉터리에 혼재하는 약점이 남습니다. 순수 Linux VPS에는 macOS 툴체인과 TCC 관련 Node 능력이 없습니다. 감사 가능한 화이트리스트, 격리 시험, 7×24 Gateway가 필요한 팀에는 CALMVPS 다지역 베어메탈 Mac이 Skills 거버넌스 호스트로 적합합니다. Apple Silicon 전용, 약 120초 프로비저닝, M4 Pro와 병렬 리소스로 Hub 단계를 올리지 않고 시험 피크를 흡수합니다. 노드와 임대는 CALMVPS 요금 페이지, 접속 문제는 고객센터에서 확인하세요.