구글이 서드파티 OAuth 클라이언트 OpenClaw를 통해 Gemini 모델에 접속한 AI Ultra 구독자들의 계정을 제한한 것으로 전해졌다. 이 사실은 구글 AI 개발자 포럼의 한 게시글에서 확산되고 있다. 구글은 사전 경고나 설명 없이 조치를 취했으며, 이로 인해 월 249.99달러를 내는 이용자들이 Gemini 2.5 Pro에 접근하지 못하게 되었다. 일부 사용자들은 Gmail, Workspace 등 연동된 서비스 접근까지 위협받고 있다. 이번 제재는 Anthropic이 2일 전 OpenClaw를 포함한 서드파티 도구에서의 OAuth 토큰 사용을 명시적으로 금지하는 조항을 법적 약관에 추가한 직후 발생했다.

(중략)

문제를 처음 제기한 포럼 글의 제목은 “Account Restricted Without Warning, Google AI Ultra, OAuth via OpenClaw”로, 글쓴이는 OpenClaw를 통해 Gemini 2.5 Pro에 연결한 후 접근이 차단됐다고 전했다. 구글은 약관 위반 근거를 제시하지 않았고, 이후 어떠한 설명도 내놓지 않았다.

다른 이용자들도 비슷한 사례를 공유했다. 일부는 이의신청을 제출했지만 자동응답만 받았고, 어떤 이들은 담당자와 직접 소통조차 불가능했다고 한다. 한 사용자는 새 구글 계정을 만들어도 동일한 제한이 걸렸다고 토로했다. “경고도 없었고 이유도 없었습니다. 수십 년간 써온 계정이 하루아침에 막혔어요.” 그는 유튜브, 구글 울트라, 기타 모든 구글 서비스를 해지하겠다고 위협했다. 또 다른 사용자는 “이 몇백 달러를 돌려받으려면 1조 달러짜리 회사를 상대로 소송을 해야 할 판”이라고 말했다.

연 3,000달러에 가까운 금액을 내는 유료 구독자들에게, 구글이 내놓은 해결책은 단 하나 — “내부팀에 전달하겠다”는 커뮤니티 매니저의 답변뿐이었다. 구체적인 일정도, 내용도 없었다. 그동안 포럼 글은 계속 길어지고 있다.

문제는 구글의 계정 구조 때문이다. AI 제품이 구글 전체 계정 인프라 위에서 작동하기 때문에, Gemini 사용 제재는 Gmail·Workspace·클라우드 스토리지 등 다른 서비스의 접근 제한으로 번질 수 있다. 포럼 사용자들은 바로 이 점을 우려했다. 즉, AI 구독에 문제가 생기면 단순히 하나의 제품 접근이 막히는 것이 아니라, 비즈니스 전체가 위험에 처할 수 있다는 것이다.

앤트로픽이 먼저 규칙을 정했다

구글의 조치는 갑작스러운 일이 아니다. 앤트로픽은 2월 20일, 소비자 이용약관을 개정하며 OAuth 토큰 사용 제한을 명확히 규정했다. 이제 Claude Free·Pro·Max 계정의 토큰은 Claude Code와 Claude.ai에서만 사용 가능하며, OpenClaw 같은 외부 툴에서 쓰는 것은 약관 위반으로 간주된다.

사실 해당 조항(3.7항)은 이미 2024년 2월부터 존재했지만, 2년 동안 OpenClaw·OpenCode 같은 툴이 이를 우회해온 셈이었다. 앤트로픽은 이를 묵인하거나 단속하지 않았는데, 최근 경제적 압박이 커지면서 실질적 단속을 시작한 것으로 보인다.

앤트로픽 엔지니어 Thariq Shihipar는 “서드파티 도구는 트래픽 패턴이 비정상적이며, 공식 SDK의 모니터링 정보가 없어 문제 발생 시 지원이 불가능하다”고 설명했다.

《더 레지스터》의 기자 토마스 클라번은 이 사안을 “토큰 차익(arbitrage)” 관점에서 해석했다. 즉, 정액제 구독요금으로 한정된 사용량을 예상하고 가격을 책정했지만, 서드파티 툴을 통해 사용량을 늘리면 구독 모델의 수익 구조가 무너진다는 것이다.

앤트로픽은 즉시 대응에 나섰다. 2월 22일, OpenCode는 “앤트로픽의 법적 요청에 따른 조치”라며 Claude Pro·Max 계정 키 지원 코드를 제거했다. 약관이 실제 코드로 강제된 것이다.

반면, OpenAI는 정반대의 태도를 보였다. 개발자 Thibault Sottiaux가 서드파티 도구에서 OpenAI 구독 키를 사용하는 것이 “허용된다”고 공식 발언했으며, 이는 개발자 친화적 행보로 경쟁 우위를 넓히는 전략적 포지셔닝으로 해석된다.

OpenClaw, 주목의 중심에 서다

OpenClaw는 2025년 11월 출시 이후 GitHub 스타 20만 개 이상을 얻으며 폭발적인 인기를 끌었다. 2월 15일, 샘 알트먼은 OpenClaw 창립자 피터 스타인버거가 OpenAI에 합류한다고 발표했고, OpenClaw는 오픈소스 재단형 구조로 전환될 예정이다.

그러나 인기가 높아진 만큼 보안 문제도 커졌다. Censys는 1월 31일 기준 21,639건의 Public OpenClaw 인스턴스를 발견했다. SecurityScorecard의 STRIKE 팀은 원격 코드 실행(RCE) 위험을 가진 수십만 개의 노출된 운영 사례를 추가로 보고했다. 1월 25일부터 30일까지 5개의 취약점(CVE)이 패치되었는데, 그중 하나는 원클릭 RCE 취약점으로 두 차례 수정 끝에 2026.1.30 버전에서 해결됐다.

이후 정보 탈취형 악성코드(Infostealer)가 OpenClaw 사용자 설정 파일을 직접 노리는 사례도 등장했다. Hudson Rock은 2월 중순, Vidar 계열 악성코드가 사용자의 Gateway 토큰·암호화 키·운영파일(soul.md)까지 통째로 유출했다고 보고했다. CTO 알론 갈은 “이 악성코드가 OpenClaw를 겨냥한 것은 아니었지만, 우연히 ‘금광을 캘’ 만큼의 민감 정보를 찾아낸 셈”이라고 밝혔다.

여기에 1월 말에는 공급망 공격(Supply Chain Attack)까지 터졌다. Koi Security가 발견한 ClawHavoc은 OpenClaw 플러그인 마켓 ClawHub에 정상적인 ‘스킬’ 형태로 올라왔지만, 실제로는 Atomic Stealer 악성코드를 심은 상태였다. 공격자는 피해자의 OpenClaw 인스턴스와 그에 연결된 모든 서비스에 완전한 원격 제어 권한을 얻을 수 있었다.

이에 AI 보안 기업 Adversa AI의 창립자 알렉스 폴리아코프는 방어 도구 SecureClaw를 개발했다. 이는 OWASP와 MITRE 프레임워크에 기반한 55개의 보안 점검 항목을 수행하며, 폴리아코프는 “완전한 해결책은 아니지만, 다층 방어로 공격을 크게 어렵게 만든다”고 설명했다.

(후략)