OpenClaw AI 에이전트에서 발견된 3개 보안 위협 분석: 341개 악성 스킬(ClawHavoc), 1-Click RCE 취약점(CVE-2026-25253), 91.3% 프롬프트 인젝션 성공률. AI 에이전트가 내부 위협이 되는 구조적 원인과 대응 방안.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 1월 마지막 주. OpenClaw라는 오픈소스 AI 에이전트가 폭발적으로 퍼졌다.
이메일을 대신 보내고, 코드를 작성하고, 파일을 정리한다. 사용자 대신 실제로 행동하는 AI. 편리하다. 그래서 위험하다.
OpenClaw가 공개된 지 10일 만에 세 가지 공격 경로가 동시에 터졌다. 341개 악성 스킬, 1-Click 원격 코드 실행 취약점, 그리고 91.3%의 프롬프트 인젝션 성공률. 가트너는 기업에 즉각 차단을 권고했다.
이 글에서는 OpenClaw에서 발견된 세 가지 공격 경로를 레이어별로 분석한다. 단순히 "OpenClaw가 위험하다"는 이야기가 아니다. AI 에이전트라는 새로운 공격 표면이 왜 기존 보안 모델로는 방어할 수 없는지, 그 구조적 원인을 짚는다.
AI 에이전트 공격 경로
OpenClaw는 "스킬(Skill)"이라는 플러그인 시스템으로 기능을 확장한다. 스킬 마켓플레이스인 ClawHub에서 원하는 스킬을 검색하고 설치하면 된다. NPM이나 PyPI와 같은 패키지 레지스트리와 본질적으로 같은 구조다.
문제는 여기서 시작됐다.
2026년 1월 27일부터 29일 사이, ClawHub에 최소 341개의 악성 스킬이 업로드됐다. 보안 연구팀 Koi Security가 이 캠페인을 "ClawHavoc"으로 명명했다.
공격자는 정교했다. 스킬 이름은 , 처럼 실제 수요가 있는 기능을 위장했다. 문서화도 전문적이었다. 그런데 설치 가이드의 "Prerequisites" 섹션에 함정이 있었다.
"이 스킬을 사용하려면 먼저 다음 도구를 설치하세요."
사용자가 안내대로 명령을 실행하면, Atomic Stealer(AMOS)라는 정보 탈취형 악성코드가 설치됐다.
| 항목 | 수치 |
|---|---|
| 악성 스킬 수 | 341개 (전체 약 4,000개 스킬의 8.5%(연구팀 스캔 기준)) |
| 최다 다운로드 스킬 | 7,000+ 설치 |
| 탈취 대상 | 암호화폐 지갑 키, SSH 키, 브라우저 비밀번호 |
335개 스킬이 macOS의 Atomic Stealer를 배포했고, 나머지 6개는 Windows 대상 인포스틸러를 배포했다. 이 공격은 기존 소프트웨어 공급망 침해(T1195.002)와 정확히 같은 패턴이다. 신뢰하는 저장소에 악성 패키지를 업로드하고, 개발자의 신뢰를 악용한다.
Snyk 엔지니어가 ClawHub 전체 약 4,000개 스킬을 스캔한 결과, 283개(Snyk 스캔 기준 7.1%)가 민감한 자격증명을 노출하는 결함을 포함하고 있었다.
ClawHavoc이 사용자의 실수를 이용한 공격이라면, 은 OpenClaw 자체의 설계 결함이다.
| 항목 | 내용 |
|---|---|
| CVE | |
| CVSS | 8.8 (High) |
| 유형 | CWE-669: Incorrect Resource Transfer Between Spheres |
| 영향 | 1-Click 원격 코드 실행 |
| 패치 | v2026.1.29 (2026년 1월 30일) |
이 취약점의 핵심은 WebSocket origin 검증 부재다. 공격은 세 단계로 진행된다.
1단계: 토큰 탈취
OpenClaw는 URL 쿼리 파라미터로 을 받으면, 사용자 확인 없이 해당 URL로 WebSocket 연결을 수립한다. 이때 인증 토큰도 함께 전송된다.
공격자는 악성 웹페이지에 OpenClaw 게이트웨이를 가장한 WebSocket 서버를 준비한다. 피해자가 악성 링크를 클릭하면, 브라우저가 공격자의 서버로 WebSocket 연결을 시도하고, 인증 토큰이 그대로 노출된다.
2단계: 샌드박스 탈출
탈취한 토큰으로 공격자는 OpenClaw 게이트웨이 API에 operator 권한으로 접근한다. 이 권한으로 두 가지 설정을 변경한다:
3단계: 원격 코드 실행
설정이 변경된 후, 공격자는 게이트웨이 API를 통해 호스트 머신에서 임의의 셸 명령을 실행한다. 피해자가 악성 링크를 클릭한 시점부터 코드 실행까지 밀리초 단위로 완료된다.
이 공격은 Reprompt의 Copilot 공격과 유사한 패턴이다. 사용자가 신뢰하는 인터페이스를 통해 악성 행위를 유도하되, AI 에이전트의 권한을 탈취하는 방식이다.
표면의 악성 스킬과 내부의 RCE 취약점 아래에는, OpenClaw의 근본적인 설계 문제가 있다.
데이터넷이 보도한 레드팀 테스트 결과:
| 테스트 항목 | 성공률 |
|---|---|
| 시스템 프롬프트 추출 | 84.6%(연구팀 실험) |
| 프롬프트 인젝션 | 91.3% |
| 권한 우회 | 분석 중 |
91.3%(연구팀 실험 결과)라는 수치는 사실상 방어가 없다는 뜻이다. 공격자가 OpenClaw에게 처리하도록 보낸 이메일, 문서, 웹페이지에 악성 지시를 숨기면, 10번 중 9번은 성공한다.
이스라엘 보안 기업 Hudson Rock은 OpenClaw가 주요 인증 토큰을 암호화하지 않은 채 저장하고 있다고 지적했다. 사용자의 이메일 API 키, 클라우드 서비스 토큰, 데이터베이스 자격증명이 평문으로 디스크에 남는다.
기존 정보 탈취형 악성코드(인포스틸러)는 브라우저 쿠키나 키체인을 노렸다. 이제는 OpenClaw의 설정 파일 하나만 탈취하면 사용자의 모든 서비스 접근 권한을 한 번에 획득한다.
OpenClaw의 문제는 OpenClaw만의 문제가 아니다. AI 에이전트라는 개념 자체가 보안과 충돌한다.
기존 소프트웨어는 정해진 기능만 수행한다. 웹 브라우저는 웹페이지를 렌더링하고, 이메일 클라이언트는 메일을 보낸다. 각 프로그램의 권한은 그 기능에 한정된다.
AI 에이전트는 다르다. 자연어 명령을 받아 임의의 행동을 수행한다. 이메일도 보내고, 파일도 삭제하고, API도 호출한다. 이렇게 동작하려면 광범위한 권한이 필요하다.
문제는 이 권한을 가진 에이전트가 외부 입력(이메일, 웹페이지, 문서)을 처리한다는 점이다. 외부 입력에 악성 지시가 포함되면, 에이전트는 그 지시를 사용자의 권한으로 실행한다. DockerDash 사례에서 AI 어시스턴트가 Docker 환경 전체를 장악한 것과 같은 원리다.
CrowdStrike는 이를 "궁극의 내부 위협(ultimate insider threat)"이라 표현했다. 에이전트에게 부여한 권한이 곧 공격자가 획득할 수 있는 권한이 된다.
| 영역 | 대응 방안 |
|---|---|
| 권한 최소화 | 에이전트에 필요한 최소 권한만 부여. 이메일 전송이 필요하면 이메일 권한만 |
| 입력 격리 | 외부 입력(메일, 웹) 처리 시 별도 샌드박스에서 실행 |
| 행위 모니터링 | 에이전트의 API 호출, 파일 접근, 네트워크 연결을 실시간 로깅 |
| 스킬 검증 | 서명된 스킬만 허용, 코드 리뷰 없는 스킬 설치 차단 |
핵심은 AI 에이전트를 사용자가 아닌 프로세스로 취급하는 것이다. 사용자에게 부여하는 신뢰를 에이전트에게 동일하게 적용하면, 프롬프트 인젝션 한 번으로 그 신뢰가 공격자에게 넘어간다.
OpenClaw 연구에서 밝혀진 공격 경로는 세 가지다. 첫째, 간접 프롬프트 인젝션(Indirect Prompt Injection)이다. 에이전트가 참조하는 외부 데이터(이메일, 문서, 웹 페이지)에 악성 지시문을 삽입하여 에이전트의 행동을 조작한다. 둘째, 도구 남용(Tool Abuse)이다. 에이전트가 접근 가능한 도구(파일 시스템, API, 데이터베이스)를 의도치 않은 방식으로 사용하도록 유도한다. 셋째, 목표 탈취(Goal Hijacking)다. 사용자의 원래 목표를 공격자의 목표로 대체한다.
AI 에이전트 보안의 핵심 원칙은 최소 권한(Least Privilege)과 인간 개입(Human-in-the-Loop)이다. 에이전트가 호출할 수 있는 도구와 접근할 수 있는 데이터를 작업 범위에 필요한 최소한으로 제한해야 한다. 민감한 작업(파일 삭제, 이메일 발송, 결제 처리)에는 사용자 확인을 반드시 요구해야 한다. OWASP는 2025년 "LLM Application Security Top 10"을 발표하며 에이전트 보안을 새로운 핵심 영역으로 지정했다.
OpenClaw 연구에서 발견된 첫 번째 경로는 도구 오염(Tool Poisoning)이다. AI 에이전트가 사용하는 외부 도구(API, 플러그인)의 설명 텍스트에 악성 지시를 삽입한다. 에이전트가 도구 목록을 로드할 때 이 지시가 컨텍스트에 포함되어, 에이전트의 행동을 조작할 수 있다.
두 번째 경로는 메모리 오염(Memory Poisoning)이다. 장기 메모리를 가진 에이전트에서 악성 데이터를 메모리에 주입하면, 이후 세션에서 이 데이터가 참조되어 지속적인 영향을 미친다. 한 번의 공격으로 이후 모든 대화에 영향을 미칠 수 있어 지속성(Persistence)이 높다.
세 번째 경로는 에이전트 간 감염(Cross-Agent Contamination)이다. 멀티에이전트 시스템에서 하나의 에이전트가 오염되면 에이전트 간 통신을 통해 다른 에이전트에게 전파된다. 이는 웜(Worm)의 전파 메커니즘과 유사하며, 에이전트 오케스트레이션 프레임워크의 새로운 공격 표면이 된다.
이런 공격이 위험한 이유는 AI 에이전트가 실제 시스템과 상호작용하기 때문이다. 코드 실행, 파일 시스템 접근, API 호출 권한을 가진 에이전트가 조작되면 전통적인 RCE(Remote Code Execution)와 동등한 영향을 미친다.
이런 위협에 대응하기 위해 OWASP는 2025년 AI 에이전트 보안 가이드라인을 발표했다. 핵심 원칙은 에이전트의 권한을 작업 단위로 세분화하고, 민감한 작업에는 사용자 확인을 요구하는 것이다.