Agent 365이 OpenClaw를 우리 문제로 만들었어요: IT 관리자 30분 감사

8 분 읽기 작성자: AI Skills Directory

Agent 365의 Shadow AI 페이지가 5월 1일 GA로 출시됐어요. 회사 Windows 단말에서 OpenClaw 돌아가는지 알려주는데, Intune 정책 문법은 아직 공개 안 됐어요. 오늘 뭘 해야 하는지 정리했어요.

목차

Microsoft Agent 365가 어제, 5월 1일에 일반 공급(GA)을 시작했어요. GA 발표문 한쪽에 묻혀 있는 기능 중에 IT 관리자들이 이번 주 일정에 미리 잡아두지 못한 게 하나 있는데요 — Microsoft 365 관리 센터 안에 새로 생긴 Shadow AI 페이지예요. Windows 단말에서 OpenClaw 돌고 있는 걸 찾아내 줘요. GitHub Copilot CLI랑 Claude Code도 “곧 추가” 예정이고요.

만약 IT 관리자인데 OpenClaw를 정중하게 못 본 척 해 왔다면 — 그게 어제로 끝났어요. 마이크로소프트가 우리 회사 어떤 Windows 단말에서 OpenClaw 돌고 있는지 보여주고, “차단” 버튼까지 같이 줬거든요. 페이지에선 어떤 사용자, 어떤 기기, 어떤 경로에서 돌고 있는지 다 알려줘요. 안 알려주는 건 — 마이크로소프트가 아직 공개 안 했기 때문에 — 실제 차단을 배포할 Intune CSP / OMA-URI 문법이에요.

그 빈자리를 이 감사가 채워요. 30분, 4개 섹션, 오늘 바로 배포 가능한 정책들이에요.

어제 뭐가 바뀐 거예요? (90초)

Microsoft Agent 365가 2026년 5월 1일에 GA를 달성했고요. 그 안에서 Shadow AI 페이지가 한 가지 구체적인 걸 찾기 시작했어요 — OpenClaw. 인기 오픈소스 로컬 에이전트 런타임인데, 사용자가 Claude(또는 다른 LLM)를 자기 파일시스템, 브라우저, 자격증명에 연결할 수 있게 해주는 거죠. 마이크로소프트 GA 발표에 따르면, 이 페이지는 “Windows 디바이스의 로컬 에이전트 활동"을 식별하고 관리자가 “OpenClaw의 일반적 실행 방식을 차단하는 정책"을 한 번 클릭으로 적용할 수 있게 해줘요. 그 클릭은 Intune 관리 센터로 연결돼요.

발견 기능은 Frontier 프로그램에 게이트돼 있어요. Microsoft Learn 기준, Agent 365 라이선스가 필요한데 (사용자당 월 15달러 단독, 또는 Microsoft 365 E7 번들로 99달러). E5 단독으로는 안 풀려요.

다음에 올 것 — 같은 발표에 따르면 — 은 GitHub Copilot CLIClaude Code 탐지예요. “곧 확장” 외에 공개 일정은 없는데, Microsoft Build가 6월 2-3일에 열리니까 그게 자연스러운 다음 발표 자리겠죠.

이게 보통의 기능 출시보다 더 중요한 이유 — OpenClaw는 AI 에이전트한테 2012년 Dropbox가 파일 공유한테 한 일이에요. 사람들이 회사 컴퓨터에 깔아요. 빨라지니까. 묻지도 않고요. 보안팀이 알게 될 즈음엔, 이미 민감한 거 만진 뒤예요. Cisco의 @nik_kale가 “Shadow AI 2.0 — 풀 파일시스템 액세스, 텔레메트리 0, DLP/CASB 우회"라고 부르는데 — 틀린 말 아니에요.

마이크로소프트가 OpenClaw를 첫 타깃으로 고른 이유

마이크로소프트는 위협 모델을 3개월 전에 running-OpenClaw-safely 게시물에 문서화했어요. 5단계 침해 체인이 중요한 게 — 아래 모든 Intune 정책이 이 단계 중 하나에 매핑되거든요.

  1. 배포 — 악성 스킬이 ClawHub(OpenClaw 스킬 레지스트리)에 게시.
  2. 설치 — 충분한 승인 게이트 없이 스킬 실행.
  3. 상태 접근 — 공격자가 토큰, 자격증명, 구성 데이터 탈취.
  4. 권한 재사용 — 합법적 API를 통한 유효 ID 정보 사용.
  5. 지속성 — 재부팅 후에도 살아남는 구성 변경 (OAuth 동의, 예약 작업, 승인된 도구).

마이크로소프트의 평이한 런타임 평가: “지속적 자격증명을 갖는 신뢰되지 않은 코드 실행 — 일반 워크스테이션에 부적합.” 권장 자세 — 전용 VM, 전용 자격증명, 정기 재구성을 “사고 대응이 아닌 예상되는 통제 수단"으로.

위협 모델은 됐고요, 이제 감사예요.

30분 IT 관리자 감사

Microsoft 365 관리 센터를 열어요. Frontier 프로그램 액세스랑 테넌트의 Agent 365 라이선스가 필요해요. Shadow AI 페이지는 Agent 365 안에 있어요 (마이크로소프트가 정확한 네비게이션 경로는 아직 공개 안 했는데 — Agent 365 컨트롤 플레인 안의 “Shadow AI” 타일이에요).

0-5분: 발견 스윕 실행

Shadow AI 페이지에 들어가요. Microsoft Defender + Intune이 인벤토리 데이터를 공급해요. 표가 보일 거예요 — 디바이스 이름, 로그인한 사용자, OpenClaw 버전, 설치 경로, 마지막 접속 타임스탬프.

기록할 것:

  • 회사 전체 인스턴스 총 개수.
  • 인스턴스 수 기준 상위 3개 부서. 엔지니어링이 1등일 거예요. 놀라운 건 그 다음에 누가 오느냐.
  • C:\Users\<user>\.openclaw\ 외부에서 OpenClaw 돌고 있는 디바이스 — 바이너리 이름 변경 또는 지속성 재배치 케이스예요.
  • 여러 디바이스에 등장하는 사용자 — 보통 파워 유저거나 자격증명 공유 서비스 계정.

500대 이상 Windows 단말 회사에서 0개가 나왔다면, 발견 범위 설정 다시 확인하세요 (디바이스 그룹이 제대로 연결됐어요?). 0은 가능하긴 한데, 엔지니어가 있는 회사에선 흔하지 않아요.

5-15분: 부서별로 허용/차단/모니터 결정

이건 테넌트 전체 일괄 토글이 아니에요. 부서별로 고른 3개 정책 영역이 — 이번 주 X에서 보안 아키텍트들이 수렴한 — 쓸 만한 패턴이에요.

차단 (Deny) — 적용 대상: 재무, 인사, 법무, 컴플라이언스, PII나 규제 데이터 다루는 모든 부서. 이유: OpenClaw 위협 모델에 “합법적 API를 통한 유효 ID 정보 사용"이 들어있는데, 풀어 쓰면 “우리 AI 에이전트가 우리의 진짜 Outlook 세션을 써서 메일을 보내고, 우린 감사 로그에 그게 안 보일 거다” 라는 뜻이에요. 규제업무에서 이건 못 받아들여요.

모니터 (허용 + 텔레메트리) — 적용 대상: 엔지니어링, IT, 데이터사이언스. 이유: 차단하면 그림자-IT 반응을 트리거해요 (개발자들이 회사 와이파이에 연결한 개인 노트북에서 돌리는데 그게 더 안 좋아요). 관리되는 단말에서 허용하고, Defender for Endpoint EDR로 다 로깅하고, Entra Agent ID 할당을 요구하세요.

허용 (승인됨) — 적용 대상: 개발자 샌드박스 VM만. 이유: 마이크로소프트 자체 배포 가이드는 OpenClaw가 전용 VM에 전용 자격증명이랑 재구성 계획이랑 같이 있어야 한다고 해요. 그 패턴을 사용 가능하게 만들고, 다른 경로는 폐기하세요.

피해야 할 실수는 “전체 차단, 나중에 정리"예요. 전체 차단은 2주 안에 뒤집힐 거예요. 엔지니어링의 누군가가 생산성 도구 액세스를 잃고, 부사장한테 에스컬레이션, 부사장이 CIO한테, 더 빡빡한 일정으로 이 감사를 다시 하게 돼요.

15-25분: 4개 Intune 정책 스테이징

마이크로소프트 발표는 “Intune 정책 사용"이라고 적어놨는데 실제 CSP / OMA-URI / 구성 프로파일 문법은 아직 공개 안 됐어요. Microsoft Learn 검증 결과, OpenClaw 특화 차단을 위한 구성 프로파일 문법은 이 시점에 문서화 안 됐어요. 그래서 아래 정책들은 IT 관리자 커뮤니티가 수렴 중인 배포 가능 패턴이에요. 마이크로소프트 자체 위협 모델 단계에 매핑돼요.

정책 1 — 기본 설치 경로 차단 (배포 + 설치 단계). Intune Configuration Profile → Settings Catalog → Defender → Attack Surface Reduction → Controlled Folder Access. 보호 폴더 목록에 %USERPROFILE%\.openclaw\, C:\ProgramData\OpenClaw\, 그리고 단말이 쓰는 사용자 정의 기업용 SW 경로를 추가하세요. 기본 설치를 깨지만, 이름 변경된 바이너리는 못 잡아요 — 그건 정책 2.

정책 2 — 파일 해시 기반 차단 (이름 변경 케이스). Intune → Endpoint Security → Attack Surface Reduction → Custom rules. claude-code.exe, openclaw.exe, OpenClaw GitHub releases의 최신 게시 바이너리 해시를 끌어오세요. 해시 기반 정책은 productivity-helper.exe로 이름 변경한 거에도 살아남아요. OpenClaw가 빨리 출시되니까 매월 해시 갱신.

정책 3 — 예약 작업 지속성 차단 (지속성 단계). Intune → Compliance Policy → 사용자 정의 규칙으로 *\.openclaw\* 또는 알려진 OpenClaw 데몬 이름과 매칭되는 실행 경로를 가진 예약 작업을 깃발 표시. 비준수 표시. 작업이 제거될 때까지 세션 토큰을 폐기하는 Conditional Access랑 페어.

정책 4 — MCP 서버 아웃바운드 트래픽 차단 (상태 접근 + 권한 재사용). Microsoft Defender for Endpoint → Network protection rules. 차단-정책 부서 디바이스 그룹에서만 OpenClaw MCP 서버에 흔히 쓰이는 localhost 포트 (3000, 3333, 8080-8090 범위)에 대한 아웃바운드 트래픽을 차단. 4개 정책 중 가장 시끄러워요 — 같은 포트 쓰는 합법적 개발 도구의 false positive 예상 — 그러니까 엔지니어링이 아니라 재무/인사/법무 디바이스 그룹에 한정하세요.

회사가 Defender for Cloud Apps 돌리면, OpenClaw 클라우드 API 엔드포인트(api.openclaw.ai, claude.ai/api)도 영역 결정에 따라 승인됨/비승인됨 목록에 푸시.

25-30분: Claude Code랑 Copilot CLI 사전 준비

같은 Shadow AI 페이지가 몇 주 안에 Claude Code랑 GitHub Copilot CLI를 surfacing할 거예요. 감사 다시 안 하려고 오늘 두 가지 할 일.

  1. 지금 Entra Agent ID Conditional Access 정책 추가하세요. Microsoft Entra Agent ID 문서 기준, Entra는 “사용자 대신 에이전트”(GA)랑 “자체 ID를 가진 에이전트”(미리보기) 둘 다 지원해요. 사용자 대신 정책을 지금 세우세요. 모든 AI 에이전트가 자체 Conditional Access 범위를 가진 고유 ID를 받아요. Claude Code가 Shadow AI 인벤토리에 등장하면, 차단 결정이 아니라 어떤 Entra Agent ID 범위를 적용할지 결정만 하면 돼요.

  2. 표준 “AI 에이전트 인테이크” 양식 문서화. 세 질문 — 어떤 에이전트, 어떤 부서, 어떤 Entra Agent ID 범위. 개발자가 Claude Code 돌리고 싶으면 양식 작성. 30초면 되고, “모든 IT 관리자가 AI 위원회"라는 — 이번 주 우리 일정 잡아먹을 — 패턴에서 빠져나오게 해줘요.

누구한테 이게 의미가 있냐면

규제 회사(은행, 의료, 방위 하청) IT 관리자라면: 위 4개 Intune 정책은 선택이 아니에요. “지속적 자격증명을 갖는 신뢰되지 않은 코드 실행” 프레임은 6개월 안에 우리 감사관이 쓸 언어가 될 거예요. 차단 영역 이번 주 배포하세요. 허용 영역은 미루더라도요.

CISO나 보안 아키텍트라면: Shadow AI 페이지는 다음 AI 리스크 회의의 증거 기반이에요. 발견 스윕 뽑고, 인벤토리 스크린샷 찍고, 가져가세요. 정책을 추상적으로 논쟁하지 마세요 — 우리 회사 단말의 실제 카운트로 논쟁하세요.

SOC 분석가라면: OpenClaw 프로세스 이름, 설치 경로, 알려진 MCP 서버 포트가 이번 주 우리 탐지 규칙에 들어가요. Defender for Endpoint가 발견 surface; 우리 SIEM 상관관계가 행동 이상 (Outlook 적극 사용 안 하는 사용자 이름으로 Outlook API 호출하는 OpenClaw 프로세스)을 잡아야 해요.

팀이 OpenClaw 쓰는 엔지니어링 매니저라면: 답은 “차단에 맞서기"가 아니에요. 마이크로소프트 자체가 권장하는 승인된-VM 패턴을 만들고, 거기에 범위 지정된 Entra Agent ID 받고, 그걸 보안한테 제시하세요. 생산성은 유지되고, 마찰은 사라져요.

50명 회사의 Frontier 프로그램 고객이라면: Shadow AI 페이지가 0~1개 인스턴스 surface할 수도 있는데 그러면 감사가 30분이 아니라 10분이에요. 그래도 Claude Code 등장 전에 베이스라인 갖는 게 좋아요.

이 감사로 못 고치는 거

솔직한 한계 5가지:

  1. 회사 와이파이 연결한 개인 노트북. Shadow AI 페이지는 Intune 관리 단말만 봐요. 개발자가 집에서 가져온 비관리 노트북이 OpenClaw 하루 종일 돌려도 우린 절대 몰라요.
  2. Mac이랑 Linux. GA 시점 발견은 Windows 전용. OpenClaw 돌리는 Mac/Linux 단말은 안 보여요. 엔지니어링이 Mac 위주면 인벤토리는 부분 뷰일 뿐.
  3. 관리 호스트 안 VM에서 돌아가는 OpenClaw. Defender는 호스트는 보지만 게스트 VM은 안 봐요. 개발자가 Hyper-V나 WSL2 안에서 OpenClaw 돌리면 “WSL2 프로세스 활동"은 보일 수 있는데 OpenClaw 런타임 자체는 안 보여요.
  4. 외부 호스팅 MCP 서버. Network Protection 규칙이 localhost MCP 포트는 차단해요. 동료 PC에서 사무실 건너편이나 개인 클라우드 VM에서 도는 MCP 서버는 이 정책으로 못 잡아요.
  5. “곧 확장” 에이전트들. Claude Code랑 GitHub Copilot CLI는 아직 Shadow AI 인벤토리에 없어요. 거기 들어올 때까진 가장 인기 있는 두 대안에 대해 사각지대가 있어요.

결론

어제 GA가 벤더 리스크를 추가한 게 아니에요. 우리가 이미 갖고 있던 벤더 리스크에 가시성을 더한 거예요. 5분 발견 스윕은 무료 인텔리전스고, 4개 Intune 정책은 위 패턴으로 오늘 배포 가능하고, Entra Agent ID 작업은 Claude Code랑 Copilot CLI가 인벤토리에 등장할수록 복리로 보상해줘요.

정책 프레임워크 더 깊이 파고 싶으면 — 승인된-VM AI 에이전트를 위한 Conditional Access 패턴 포함 — 조달 측면을 다룬 Microsoft Agent 365 4-모델 그림이랑, DoD-flow-down 계약에서 Claude Code가 승인 가능한지에 영향을 미치는 업스트림 공급망 리스크 질문을 다룬 앤트로픽 vs 펜타곤 벤더 감사를 봐 주세요.

AI 에이전트 보안 특화 팀 업스킬링은 AI Agent Security 강좌에서 위협 모델을 처음부터 끝까지 다뤄요. 위 Intune + Defender + Entra 패턴이 모듈 4예요.

출처

Build Real AI Skills

Step-by-step courses with quizzes and certificates for your resume