오픈클로(OpenClaw) 보안 위협과 해법

OpenClaw Vulnerability Risk - cover
OpenClaw Vulnerability Risk - cover
Views: 30
넥스트플랫폼 동준상 대표 (naebon@naver.com)

2026.02.28 / 동준상.넥스트플랫폼
Google Cloud Generative AI Leader

오픈클로 등장과 함께 보안 위협에 대한 논쟁이 지속되고 있습니다. AI 에이전트가 가져다줄 밝은 면과 어두운 면을 모두 살펴볼 수 있는 대표적인 예시가 아마도 오픈클로가 아닐까 생각합니다. 이번 포스트에서는 AI 에이전트 시대에 창궐할 보안 위협은 어떤 것이 있고 그에 대한 해법은 무엇인지 오픈클로 사례를 기준으로 알아봅니다.

Sponsored by

AIGrape: GPT, Gemini, Claude, Perplexity - All in One AI Platform
AIGrape: GPT, Gemini, Claude, Perplexity – All in One AI Platform

핵심 요약 (Executive Summary)

OpenClaw Vulnerability Risk – infographic

오픈클로(OpenClaw)는 쉘 명령 실행, 브라우저 제어, 파일 관리 등 강력한 시스템 권한을 가진 오픈소스 AI 에이전트로, 그 높은 활용성만큼이나 심각한 보안 취약점을 내포하고 있습니다. 2026년 현재, 오픈클로는 원격 코드 실행(RCE), 공급망 공격, 자격 증명 유출 등 다각적인 보안 위협에 직면해 있습니다.

주요 핵심 사항:

  • 광범위한 권한과 공격 표면: 오픈클로는 로컬 시스템의 루트 권한에 준하는 접근이 가능하도록 설계되어 있어, 침해 시 시스템 전체가 장악될 위험이 큽니다.
  • 심각한 취약점 노출: CVE-2026-25253(WebSocket 하이재킹) 및 CVE-2026-26325(명령어 불일치)와 같은 치명적인 결함이 발견되어 공격자들의 표적이 되고 있습니다.
  • 공급망 및 생태계 위험: 공식 마켓플레이스인 ‘클로허브(ClawHub)’의 스킬 중 약 20%가 악성 코드로 의심되며, ‘몰트북(Moltbook)’과 같은 제3자 플랫폼의 데이터 유출로 수백만 개의 에이전트 토큰이 노출되었습니다.
  • 권고 대응 방안: 로컬 실행 대신 격리된 클라우드 환경(샌드박스) 사용, 게이트웨이 인증 강제, 정기적인 패치 및 API 키 로테이션이 필수적입니다.

보안 취약점/위협 명칭식별자 (CVE 등) 및 위험 등급상세 설명
WebSocket 하이재킹을 통한 원클릭 원격 코드 실행 (RCE)CVE-2026-25253

위험 등급: Critical (8.0)		로컬 서버가 WebSocket Origin 헤더를 검증하지 않아, 사용자가 악성 링크를 클릭할 경우 공격자가 실행 중인 에이전트에 연결하여 원격으로 코드를 실행할 수 있는 취약점입니다.
Moltbook 데이터베이스 노출해당 없음

위험 등급: Critical (대규모 유출)		OpenClaw 생태계의 소셜 네트워크인 Moltbook의 데이터베이스가 접근 제어 없이 방치되어 대규모 데이터가 노출된 사건입니다.
평문 자격 증명 저장 및 API 키 누출해당 없음

위험 등급: Critical (Cisco 조사 기준)		LLM 제공자 API 키 및 메시징 플랫폼 토큰을 평문으로 저장하여 접근 권한이 생길 경우 쉽게 탈취될 수 있는 구조적 결함입니다.
인증되지 않은 인터넷 노출 인스턴스해당 없음

위험 등급: High (심각)		초기 설정에서 localhost 연결을 무조건 신뢰하는 특성과 잘못된 프록시 설정이 결합되어, 외부의 모든 요청을 신뢰할 수 있는 로컬 사용자로 인식하여 인증 없이 노출되는 문제입니다.
ClawHub 공급망 공격 (ClawHavoc 캠페인)해당 없음

위험 등급: High (악성 비율 약 20%)		공식 스킬 마켓플레이스인 ClawHub에 정상적인 도구로 위장한 악성 스킬을 업로드하여 사용자 시스템에 악성코드를 배포하는 공격입니다.
rawCommand와 command 불일치를 통한 접근 제어 우회CVE-2026-26325

위험 등급: High (7.2)		시스템 실행 핸들러에서 허용 목록 검증은 한 명령으로 수행하고 실제 실행은 다른 인자로 수행할 수 있는 로직 결함입니다.
지속적 메모리를 악용한 프롬프트 인젝션해당 없음

위험 등급: Medium to High (상태 보존형)		에이전트의 장기 기억 기능을 악용하여 악성 명령을 메모리에 잠복시킨 후, 나중에 특정 작업이 수행될 때 실행되도록 하는 지연 실행 공격입니다.
OpenClaw Vulnerability Risk – mindmap

1. 오픈클로와 보안 위험

OpenClaw Vulnerability Risk – AI Alert

1.1 시스템 개요

오픈클로는 단순한 챗봇을 넘어 사용자의 디지털 생활에 깊숙이 관여하는 ‘연결된 개인 비서’입니다. 주요 기능은 다음과 같습니다.

  • 쉘(Shell) 명령어 실행 및 터미널 제어
  • 브라우저 및 캘린더 관리
  • 파일 읽기/쓰기 및 세션 간 지속적 메모리 유지
  • 메시징 플랫폼(WhatsApp, Telegram, Discord, Slack 등)과의 통합

1.2 보안 설계의 근본적 긴장 상태

오픈클로의 보안 문제는 ‘유용성을 위한 광범위한 권한’과 ‘보안성 유지’ 사이의 충돌에서 발생합니다. 에이전트가 제 역할을 수행하려면 사용자의 시스템 계정 권한(전체 디스크, 네트워크 접근 등)을 그대로 가져야 하는데, 이는 보안 사고 발생 시 공격자에게 시스템 전체를 넘겨주는 결과로 이어집니다. 또한, 에이전트가 스스로 기능을 수정하고 새로운 스킬을 설치하는 ‘자기 개선’ 특성은 통제 불능의 위험을 가중시킵니다.

2. 주요 보안 위험 상세 분석

OpenClaw Vulnerability Risk – CVE-2026-25253, One Click Hijack

오픈클로 출시 이후 불과 몇 주 만에 발견되거나 발생한 실제 사례를 바탕으로 한 7가지 주요 위협입니다.

2.1 WebSocket 하이재킹을 통한 원격 코드 실행 (CVE-2026-25253)

  • 개요: 로컬 서버가 WebSocket 원본 헤더(Origin Header)를 검증하지 않아 발생하는 취약점입니다.
  • 공격 방식: 사용자가 악성 링크를 단 한 번 클릭하는 것만으로도 공격자는 실행 중인 에이전트에 연결하여 인증 토큰을 탈취하고 시스템 권한을 장악할 수 있습니다.
  • 현황: 버전 2026.1.29에서 수정되었으나, 이전 버전을 사용하는 경우 밀리초 단위 내에 시스템이 완전히 침해될 수 있습니다.

2.2 무분별하게 노출된 인스턴스 (보안 설정 미흡)

  • 현황: 보안 연구팀(SecurityScorecard STRIKE 등)에 따르면, 약 3만 개 이상의 오픈클로 인스턴스가 인증 없이 인터넷에 노출되어 있습니다.
  • 원인: 초기 설정 시 로컬호스트(localhost) 연결을 무조건 신뢰하는 결함 때문입니다. 리버스 프록시 설정 오류 시 외부의 모든 요청이 신뢰할 수 있는 로컬 요청으로 오인됩니다.
  • 영향: 공격자는 인증 없이 Anthropic API 키, 텔레그램 토큰, 슬랙 계정 정보에 접근하고 사용자 대신 메시지를 보내거나 관리자 명령을 실행할 수 있습니다.

2.3 클로허브(ClawHub)를 통한 공급망 공격

  • 분석 결과: 클로허브에 등록된 약 2,800여 개의 스킬 중 상당수(비트디펜더 추산 약 20%)가 악성으로 판명되었습니다.
  • 주요 사례: ‘hightower6eu’라는 계정은 354개의 악성 패키지를 업로드했습니다. 이들은 정상적인 도구로 위장하여 ‘아토믹 스틸러(Atomic Stealer, AMOS)’와 같은 자격 증명 탈취형 악성코드를 설치하도록 유도합니다.

2.4 평문 자격 증명 저장 및 API 키 유출

  • 문제점: LLM 제공업체의 API 키 및 메시징 플랫폼 토큰을 평문(Plaintext)으로 저장합니다.
  • 위험: 인스턴스에 접근 권한을 얻은 공격자는 즉시 모든 API 키를 확보할 수 있으며, 프롬프트 인젝션 공격을 통해 에이전트가 스스로 자격 증명을 외부로 유출하게 만들 수도 있습니다.

2.5 지속적 메모리에 의한 프롬프트 인젝션 증폭

  • 특징: 오픈클로의 장점인 ‘장기 기억’ 기능이 보안 약점으로 작용합니다.
  • 공격 방식 (상태 저장형 지연 실행): 웹사이트나 문서에 숨겨진 악성 프롬프트가 에이전트의 메모리에 저장된 후, 며칠 뒤 관련 작업이 수행될 때 비로소 실행되어 시스템을 공격합니다.

2.6 기업 네트워크 내 ‘섀도우 AI(Shadow AI)’ 확산

  • 현황: 엔터프라이즈 고객의 약 22%에서 직원이 IT 부서의 승인 없이 오픈클로우를 실행 중인 것으로 확인되었습니다.
  • 위험: 개발자 노트북에서 실행되는 오픈클로가 VPN을 통해 내부 운영 환경에 연결되어 있을 경우, 에이전트의 취약점은 곧바로 기업 전체의 보안 문제로 직결됩니다.

2.7 제3자 생태계의 보안 취약 (몰트북 사례)

  • 사례: 에이전트용 소셜 네트워크인 ‘몰트북(Moltbook)’에서 데이터베이스 노출 사고 발생.
  • 피해: 약 150만 개의 API 토큰과 3만 5천 개의 이메일 주소, 개인 메시지가 유출되어 플랫폼 내 거의 모든 에이전트의 통제권이 탈취 가능하게 되었습니다.

3. 기술적 취약점 분석 (CVE-2026-26325)

최근 보고된 이 취약점은 오픈클로의 내부 처리 과정에서 발생하는 논리적 오류를 다룹니다.

항목상세 내용
취약점 명칭CVE-2026-26325 (CWE-284: 부적절한 접근 제어)
원인system.run 핸들러에서 rawCommandcommand[] 배열 간의 불일치 발생
영향허용 목록(Allowlist) 및 승인 평가 시에는 안전한 명령어를 검사하고, 실제 실행 시에는 다른 명령어(공격자의 명령어)를 실행하게 함으로써 보안 정책을 우회함
영향 범위Node.js 호스트 실행 경로 사용 및 허용 목록 기반 정책(security=allowlist) 활성 환경
해결책버전 2026.2.14로 업데이트 (게이트웨이 및 노드 호스트 검증 강화)

4. 해법: 보안 강화 및 대응 전략

OpenClaw Vulnerability Risk – SafeGuard

4.1 인프라 격리 (Sandboxing)

로컬 PC나 업무용 워크스테이션에서 직접 실행하는 대신, 독립된 클라우드 서버(예: DigitalOcean Droplet 또는 App Platform)를 사용하여 격리된 샌드박스 환경에서 운영해야 합니다. 이는 사고 발생 시 피해 범위를 클라우드 인스턴스 내로 한정시킵니다.

4.2 인증 및 접근 제어

  • 게이트웨이 토큰 인증을 반드시 활성화하고 정기적으로 교체하십시오.
  • 방화벽 규칙을 통해 특정 IP 주소에서만 에이전트 제어판에 접근할 수 있도록 제한하십시오.
  • VPN 또는 SSH 터널을 사용하여 제어 평면을 보호하고, 공용 인터넷에 직접 노출하지 마십시오.

4.3 스킬 및 공급망 관리

  • 클로허브에서 스킬을 설치하기 전 반드시 소스 코드를 감사하십시오.
  • 게시자의 계정 생성일과 신뢰도를 확인하십시오. 바이러스토탈(VirusTotal) 스캔 결과만 맹신해서는 안 됩니다.

4.4 데이터 및 운영 관리

  • API 키를 설정 파일이 아닌 환경 변수나 전용 비밀 관리 도구에 저장하십시오.
  • LLM 계정에 지출 한도를 설정하여 자격 증명 유출 시 발생할 수 있는 경제적 피해를 최소화하십시오.
  • 기업 보안 팀은 네트워크 내 무단 오픈클로우 인스턴스 탐지를 위한 모니터링을 강화해야 합니다.

결론

오픈클로는 강력한 자율성을 제공하지만, 현재의 보안 수준은 ‘설계에 의한 보안(Security by Design)’보다는 기능 확장에 치우쳐 있습니다. 사용자와 기업은 이 도구를 특권 권한을 가진 사용자로 간주하고, 엄격한 격리와 지속적인 감사를 통해 위험을 관리해야 합니다.

참고자료 다운로드

참고자료: openclaw vulnerability

답글 남기기

Related Posts