치명적인 보안 결함과 악성 코드 위협에도 불구하고 OpenClaw AI 에이전트가 급속히 확산

The Icarus Moment for Autonomous Agents

진정한 자율형 AI 어시스턴트(autonomous AI assistant)의 약속—당신의 기기에서 실행되어 캘린더를 관리하고 이메일을 협상하며 항공권을 예약해주는—은 사실상 OpenClaw의 형태로 도래했습니다. 이전 이름은 Clawdbot과 Moltbot였던 이 오픈 소스 프로젝트는 GitHub 성장 기록을 깨며 단 몇 달 만에 149,000개 이상의 스타를 모았습니다. 이 프로젝트는 대형 언어 모델(LLM)이 대리로서 코드 실행과 현실 세계와의 상호작용을 수행할 수 있게 하는 “손”이 되어줄 것이라고 약속했습니다.

하지만 그 약속은 사이버보안 현실과 격렬하게 충돌했습니다. 2026년 2월 2일 현재, AI 커뮤니티는 중대한 보안 위기에 직면해 있습니다. **OpenClaw**에는 공격자가 단 하나의 악성 링크로 사용자의 컴퓨터 전체를 장악할 수 있도록 허용하는 심각한 취약점이 발견되었습니다. 보안 전문가들은 이를 로컬 AI 실행에 대한 "악몽 같은 시나리오"라고 부르며, **CVE-2026-25253**로 분류된 치명적인 논리적 결함을 강조했습니다.

Creati.ai 팀에게 이 사건은 명백한 교훈을 줍니다. AI 에이전트에게 "손"을 서둘러 부여하는 과정에서 데이터를 안전하게 다룰 "장갑"을 건너뛰는 경우가 많다는 점입니다. OpenClaw의 유용성은 부인할 수 없지만, 그 아키텍처는 수천 명의 초기 사용자들을 원격 코드 실행(remote code execution) (RCE), 데이터 유출, 그리고 악성코드가 만연한 "스킬(skills)" 생태계에 노출시켰습니다.

From "Moltbot" to Malware Magnet

OpenClaw의 궤적은 혼란 그 자체였습니다. 원래 오스트리아 개발자 **Peter Steinberger**가 Clawdbot으로 공개했으나, Anthropic과의 상표 분쟁으로 리브랜딩을 강요받았습니다. 잠시 Moltbot으로 운영되다가 결국 OpenClaw로 자리잡았습니다. 정체성 위기는 있었지만 핵심 가치 제안은 매력적이었습니다: 로컬에서 실행되고, 데이터를 소유하며, Telegram, Signal, WhatsApp 같은 인기 메시징 앱과 인터페이스해 복잡한 작업을 수행하는 에이전트(agent).

클라우드에 존재하는 SaaS 기반 어시스턴트와 달리, OpenClaw는 사용자의 인프라—일반적으로 Mac mini나 홈 서버—에서 실행됩니다. 이 "로컬 우선(local-first)" 접근 방식은 프라이버시 측면의 이점으로 홍보되었습니다. 아이러니하게도 그것이 프로젝트의 아킬레스건이 되었습니다. 강력한 샌드박스(sandbox) 없이 AI 에이전트에 셸 접근과 파일 시스템 읽기/쓰기 권한 등 고급 시스템 권한을 부여함으로써, 사용자는 자신의 기기를 무방비한 표적으로 바꿔버렸습니다.

Anatomy of the CVE-2026-25253 Exploit

DepthFirst의 **Mav Levin**이 발견한 이 취약점은 논리적 결함이 메모리 손상 버그보다 더 위험할 수 있음을 보여주는 교본과도 같습니다. CVSS 점수 8.8이 할당된 CVE-2026-25253는 "토큰 유출로 이어져 게이트웨이 전체를 장악할 수 있는 취약점"으로 설명됩니다.

The One-Click Nightmare

결함은 OpenClaw의 Control UI가 들어오는 연결을 처리하는 방식에 있습니다. 애플리케이션은 URL의 쿼리 문자열로부터 gatewayUrl 파라미터를 수신하도록 설계되었습니다. 중요한 점은 이 파라미터를 검증 없이 신뢰했다는 것입니다.

사용자가 정교하게 조작된 링크를 클릭하면(예: "멋진 새 에이전트 스킬"로 위장되었거나 공유된 Moltbook 게시물처럼), OpenClaw 인터페이스는 자동으로 해당 URL에 명시된 서버에 WebSocket 연결을 시도합니다. 이 과정에서 사용자의 **인증 토큰(auth token)**을 연결 페이로드에 전송합니다.

공격자는 단순히 악성 WebSocket 서버를 호스팅하고 사용자가 그것을 가리키는 링크를 클릭하도록 속이면 됩니다. 연결이 성사되면 공격자는 인증 토큰을 캡처합니다. 이 토큰으로 공격자는 사용자의 로컬 게이트웨이를 가장할 수 있습니다. 그 순간부터 "에이전트"는 사실상 공격자를 위해 작동합니다. 공격자는 에이전트의 구성을 변경하고 존재하는 최소한의 샌드박스도 비활성화하며 권한 있는 동작을 호출할 수 있습니다. OpenClaw는 유용성을 위해 셸 명령을 실행하도록 설계되었기 때문에, 공격자는 **1-클릭 RCE**를 달성하여 피해자 기기에서 임의의 명령을 실행할 수 있게 됩니다.

Steinberger와 유지 관리 팀은 2026.1.29 버전에서 패치를 릴리스했지만, 프로젝트의 분산된 특성 때문에 수천 개의 인스턴스가 여전히 패치되지 않은 채 노출되어 있습니다.

The "Moltbook" Phenomenon: A Playground for Botnets?

보안 실패를 악화시키는 요소는 에이전트 전용 소셜 네트워크인 Moltbook의 출현입니다. "에이전트 인터넷의 첫 페이지"로 태그된 이 네트워크는 게시 권한을 검증된 OpenClaw 인스턴스로 제한합니다. AI 간의 소셜 상호작용 실험을 의도한(심지어 "Crustafarianism"이라는 기묘한 패러디 종교를 탄생시키기도 했습니다) 이 플랫폼은 빠르게 악성코드 유포의 벡터로 전락했습니다.

Moltbook의 에이전트들은 자동으로 콘텐츠를 읽고 처리하여 "사회화"하기 때문에, 프롬프트 인젝션(prompt injection) 공격에 취약합니다. 보안 연구자들은 Moltbook의 악성 게시물이 숨겨진 지시를 포함할 수 있음을 보여주었습니다—사람에게는 보이지 않지만 LLM에는 읽히는 텍스트로, 읽는 에이전트에게 악성 코드를 다운로드하고 실행하라고 명령합니다.

이로 인해 "스킬(skills)" 레지스트리에 대한 공급망 공격이 발생했습니다. 과거의 NPM 또는 PyPI 생태계 공격과 유사하게, 악의적인 행위자들은 백도어를 포함한 "스킬"(에이전트의 기능을 확장하는 플러그인)을 게시하고 있습니다. Moltbook을 탐색하던 에이전트는 "Weather Checker" 스킬을 설치하도록 속아, 조용히 명령·제어 서버에 역쉘(reverse shell)을 여는 스킬을 설치할 수 있습니다.

Security vs. Utility: The Creati.ai Perspective

OpenClaw 사건은 AI 보안 리스크의 "치명적 삼중주(Lethal Trifecta)"를 보여줍니다:

민감한 데이터 접근: 에이전트는 이메일, 캘린더, 파일에 접근합니다.
외부 노출: 에이전트는 웹과 메시징 앱에서 신뢰할 수 없는 콘텐츠를 처리합니다.
외부 출력: 에이전트는 외부로 통신하고 코드를 실행할 수 있습니다.

이 세 가지가 엄격한 격리 없이 결합되면 재앙은 불가피합니다. 전통적인 애플리케이션은 권한을 시행하기 위해 OS를 신뢰합니다(즉, "사용자" 모델). 그러나 OpenClaw는 사용자로서(as the user) 동작하여 이러한 검사를 우회합니다. 에이전트가 속으면 OS는 이를 합법적 사용자가 합법적 행동을 수행한 것으로 인식합니다.

Comparing Agent Architectures

심각성을 이해하기 위해 OpenClaw 접근 방식과 안전한 엔터프라이즈 에이전트 아키텍처를 비교해야 합니다.

Agent Security Architecture Comparison

Feature	OpenClaw (Local/Open Source)	Enterprise Secure Agent Standards
Execution Environment	Host OS (User Level)	Ephemeral Sandboxed Containers
Auth Token Handling	Transmitted in WebSocket Payload	HttpOnly Cookies / Short-lived OAuth
Input Validation	Minimal (Trusts Query Params)	Strict Schema Validation & Sanitization
Tool Permissions	Full Shell Access (Default)	Allowlisted API Calls Only
Network Access	Unrestricted Outbound	Zero Trust Network Access (ZTNA)
Prompt Handling	Direct LLM Injection	Input Filtering & "Human in the Loop"

Immediate Steps for OpenClaw Users

OpenClaw(또는 Clawdbot/Moltbot) 인스턴스를 실행 중이라면, Creati.ai는 인프라를 보호하기 위해 즉각적인 복구 조치를 권장합니다.

즉시 업데이트: 버전 2026.1.29 이상을 실행하고 있는지 확인하세요. 이 버전은 gatewayUrl 파라미터의 자동 연결 로직을 제거합니다.
자격증명 교체: 에이전트가 실행 중일 때 링크를 클릭한 적이 있다면 게이트웨이 토큰이 유출되었다고 가정하세요. 인증 토큰과 API 키(OpenAI, Anthropic 등)를 재발급하세요.
환경 격리: OpenClaw를 주요 운영 기기에서 실행하지 마세요. 개인 파일이나 기본 홈 네트워크에 접근 권한이 없는 전용 가상 머신(VM) 또는 컨테이너를 사용하세요.
설치된 스킬 감사: skills 디렉터리를 검토하세요. 감사되지 않았거나 Moltbook 상호작용을 통해 자동으로 설치된 서드파티 스킬은 제거하세요.
WebSockets 비활성화: 메시징 앱을 통한 원격 제어가 필요하지 않다면 구성 파일에서 WebSocket 게이트웨이를 완전히 비활성화하세요.

자율 에이전트의 시대는 도래했지만 OpenClaw는 편의성과 보안 사이의 절충에 대한 아픈 교훈을 제공합니다. 아키텍처가 "에이전트 동작"을 "신뢰할 수 없는 코드"와 동일한 수준의 의심으로 다룰 때까지, 사용자는 경계를 늦추지 말아야 합니다. AI의 "손"은 강력하지만, 수갑 없는 손은 쉽게 주인에게 등을 돌릴 수 있습니다.