오픈클로 보안 위험, 이것만 알고 사용하세요

오픈클로(OpenClaw) 보안 위험이 2026년 초 연달아 수면 위로 떠오르고 있습니다. CVE-2026-25253(CVSS 8.8)을 포함한 치명적 취약점이 잇달아 발견됐고, 전 세계 82개국 135,000개 이상의 오픈클로 인스턴스가 외부에 노출된 상태라는 보고가 나왔습니다. 현재 오픈클로를 사용하고 있거나 설치를 고려하는 개발자와 IT 담당자라면 반드시 알아야 할 위협들이 있습니다. 악성 스킬부터 원클릭 해킹, 인포스틸러, 프롬프트 인젝션까지 오픈클로 보안 위험의 유형별 실태와 지금 당장 취할 수 있는 대응 방법을 이 글에서 정리했습니다.

 

목차

1. 오픈클로(OpenClaw)란? — AI 비서의 강력함과 그 이면
2. 악성 스킬의 습격 — 4개 중 1개가 위험하다
3. 원클릭 해킹 — CVE-2026-25253 취약점의 실체
4. 인포스틸러와 무인증 노출 — 숨어있는 두 가지 위협
5. 프롬프트 인젝션과 AI 맹신 — 보안의 또 다른 얼굴
6. 오픈클로 보안 위험 대응 방법 — 지금 당장 해야 할 것들

 

오픈클로(OpenClaw)란? — AI 비서의 강력함과 그 이면

오픈클로는 Anthropic의 Claude AI를 기반으로 하는 오픈소스 AI 어시스턴트 에이전트 플랫폼입니다. 단순한 챗봇이 아니라, Claude MCP(Model Context Protocol)를 통해 사용자의 컴퓨터를 직접 조작할 수 있는 권한을 갖습니다. 파일을 열고, 브라우저를 제어하고, 터미널 명령을 실행하는 것까지 가능합니다.

 

이 강력함의 핵심은 "스킬(Skill)" 시스템에 있습니다. 날씨 알림, 이메일 자동 정리, 업무 일정 관리처럼 특정 작업을 자동화하는 지침서 묶음을 스킬이라고 합니다. 사용자들이 직접 만든 스킬을 클로허브(ClawHub)에 올려두면 누구든 다운로드해서 쓸 수 있는 구조입니다.

 

문제는 바로 여기서 시작됩니다. 컴퓨터를 자유자재로 움직일 수 있는 AI 비서가 악의적인 지시를 따르게 된다면 어떻게 될까요. 기업 보안에서 가장 두려워하는 것이 내부자 위협인 이유와 같습니다. 공격자가 오픈클로를 악용할 경우 개발자의 깃헙 토큰, 데이터베이스 접근 권한, 고객 정보, 민감한 설정 파일 등을 한순간에 탈취할 수 있습니다. 외부 방어막이 아무리 단단해도 내부에서 권한을 가진 누군가가 잘못된 방향으로 움직이면 막기가 어렵습니다.

 

악성 스킬의 습격 — 4개 중 1개가 위험하다

보안 기업 Snyk의 ToxicSkills 연구팀이 클로허브 스킬 3,984개를 분석한 결과는 상당히 충격적이었습니다. 전체의 13.4%인 534개에서 치명적인 보안 이슈가 발견됐고, 36.82%인 1,467개에서는 보안 결함이 하나 이상 확인됐습니다. 사람이 직접 검토한 결과 76개의 악성 페이로드가 실제로 동작 가능한 상태였고, 그 중 8개는 조사 시점에도 클로허브에 공개된 채로 방치돼 있었습니다.

 

"스킬을 다운로드 받을 때마다 주사위를 굴리는 겁니다. 1/4 확률로 당첨이 되는 거야."

전체 스킬의 26%에 취약점이 포함돼 있다는 분석은 이 비유로 가장 정확하게 표현됩니다. 네 번 다운로드하면 한 번은 문제 있는 스킬에 걸린다는 뜻입니다.

 

확인된 악성 스킬의 공격 방식은 크게 세 가지로 나뉩니다. 첫째는 외부 악성 바이너리를 다운로드하도록 유도하는 방식, 둘째는 브라우저에 저장된 아이디·비밀번호, 암호화폐 지갑 키, SSH 키 등의 자격증명을 난독화된 방법으로 탈취하는 방식, 셋째는 보안 메커니즘을 비활성화하고 백도어를 설치하는 방식입니다. Snyk 연구에 따르면 확인된 악성 스킬의 100%가 악성 코드 패턴을 포함하고 있었고, 91%는 동시에 프롬프트 인젝션 기법까지 활용하고 있었습니다.

 

서비스형 악성코드(MaaS)로 무기화된 스킬들

더 우려스러운 건 이 악성 스킬들이 단순한 개인 해킹 시도가 아니라는 점입니다. 일부는 서비스형 악성코드(MaaS, Malware-as-a-Service) 형태로 운영되고 있었습니다. 해킹 도구를 구독형 서비스처럼 판매하는 생태계가 오픈클로 스킬 마켓에까지 침투한 겁니다. 악성 스킬을 만들어 배포하는 공격자들의 아이디(zaycv, Aslaep123, moonshine-100rze 등)도 연구 과정에서 확인됐습니다.

 

오픈클로 측에서도 이 문제를 인지하고 클로허브에 악성 코드 스캐너를 도입했습니다. 다만 스캐너가 도입됐다고 해서 완벽히 안전해진 건 아닙니다. 난독화 기법을 쓰는 악성 스킬은 자동 스캐너를 우회할 수 있고, 실제로 Snyk 연구 당시에도 스캐너 도입 후에 악성 스킬이 공개 상태로 남아 있었습니다.

 

원클릭 해킹 — CVE-2026-25253 취약점의 실체

악성 스킬과는 별개로, 오픈클로 자체에서 발견된 취약점도 있습니다. 2026년 1월 말 공개된 CVE-2026-25253으로, CVSS 점수 8.8(높음)을 기록한 심각한 취약점입니다.

 

공격 흐름은 이렇습니다. 오픈클로의 Control UI는 URL의 쿼리 파라미터로 전달되는 gatewayUrl 값을 아무런 검증 없이 신뢰합니다. 이 때문에 오픈클로가 설치된 컴퓨터에서 해커가 만든 사이트를 방문하는 것만으로도 자동으로 WebSocket 연결이 맺어집니다. 이 연결 과정에서 저장된 인증 토큰이 해커 서버로 전송되고, 토큰을 획득한 공격자는 피해자의 컴퓨터에 원격 명령 실행(RCE, Remote Code Execution)이 가능해집니다.

 

단계	공격 방식
1단계	피해자가 악성 링크 클릭 또는 해킹된 사이트 방문
2단계	오픈클로가 gatewayUrl을 검증 없이 신뢰, 자동 WebSocket 연결
3단계	저장된 인증 토큰이 해커 서버로 자동 전송
4단계	토큰으로 원격 명령 실행(RCE) 달성, 피해자 컴퓨터 제어 가능

오픈클로는 2026년 1월 30일 패치 버전(2026.1.29)을 배포하면서 게이트웨이 URL 연결 전 사용자 확인 모달을 추가했습니다. 그러나 패치 이후에도 50,000개 이상의 인스턴스가 여전히 구버전을 쓰고 있어 이 취약점에 노출된 상태라는 조사 결과가 나왔습니다.

 

같은 시기에 보안 기업 Oasis Security는 ClawJacked라는 별도의 취약점도 발견했습니다. 브라우저가 localhost(127.0.0.1)로의 WebSocket 연결을 보안 정책상 차단하지 않는 점을 악용한 공격입니다. 공격자는 이 허점을 이용해 초당 수백 회의 브루트포스로 비밀번호를 탈취할 수 있었고, 성공 시 신원 정보, 애플리케이션 로그, 민감한 파일, 연결된 노드에서의 임의 쉘 명령 실행까지 가능했습니다. 이 취약점은 2026년 2월 26일 패치(2026.2.26)가 배포됐습니다.

 

인포스틸러와 무인증 노출 — 숨어있는 두 가지 위협

오픈클로를 노리는 공격은 취약점 익스플로잇에 그치지 않습니다. 기존 악성코드 생태계도 오픈클로를 표적으로 삼기 시작했습니다.

인포스틸러의 새로운 먹잇감

인포스틸러(Infostealer)는 감염된 컴퓨터에서 중요한 정보를 빼내는 악성코드입니다. 이전에는 브라우저 저장 자격증명이나 암호화폐 지갑 키가 주된 탈취 대상이었습니다. 2026년 2월부터 Vidar 변종으로 추정되는 인포스틸러가 오픈클로 데이터를 수집하기 시작했다는 보고가 나왔습니다.

 

탈취 대상이 되는 오픈클로 파일은 세 가지입니다.

파일명	포함 정보
openclaw.json	게이트웨이 토큰, 이메일, 워크스페이스 경로
device.json	암호화 키, 페어링 정보
soul.md	에이전트 행동 지침, 안전 제약

특히 soul.md 탈취는 단순한 정보 유출 이상의 의미를 갖습니다. Hudson Rock의 CTO는 이 파일에 대해 이렇게 설명했습니다.

 

"탈취된 soul.md는 에이전트의 안전 제약을 우회하는 프롬프트를 만들기 위한 청사진이다."

공격자가 내 오픈클로 에이전트가 어떤 지시를 따르고 어떤 것을 거부하는지를 정확히 파악하게 된다는 뜻입니다. 이걸 바탕으로 맞춤형 공격 프롬프트를 설계할 수 있습니다. "오픈클로 파일을 가져가면 피해자의 삶 그대로를 가져갈 수 있다"는 표현이 과장이 아닌 이유입니다.

인증 없이 열려 있는 수만 개의 시스템

보안 연구자들이 Shodan(인터넷 연결 기기 검색 엔진)으로 조사해보니, 인증 절차 없이 외부에서 접근 가능한 오픈클로 시스템이 1,000개가 넘었습니다. 이후 SecurityScorecard STRIKE팀의 광범위한 스캔에서는 82개국 135,000개 이상의 노출 인스턴스가 확인됐고, 그 중 12,812개에서는 직접 원격 코드 실행이 가능한 상태였습니다. 28,663개의 고유 IP가 오픈클로 제어판을 외부에 공개하고 있었으며, 549건에서 이미 해킹 흔적이 발견됐습니다.

 

접근에 성공한 연구자들은 텔레그램 봇 토큰, 슬랙 계정, 오픈클로와 나눈 채팅 기록 전체를 확인했고, 관리자 권한으로 명령어까지 실행할 수 있었습니다. 근본 원인은 오픈클로의 기본 설정이 로컬(127.0.0.1) 대신 모든 네트워크 인터페이스(0.0.0.0)에 바인딩돼 있다는 점입니다. 설치 후 별도의 보안 설정을 하지 않으면 인터넷에 연결된 누구에게나 제어판이 열리게 됩니다.

 

프롬프트 인젝션과 AI 맹신 — 보안의 또 다른 얼굴

기술적 취약점 외에도 AI 에이전트 보안에는 덜 알려진 위협이 있습니다. 프롬프트 인젝션과 AI 자체에 대한 과도한 신뢰입니다.

 

BBC의 한 기자가 흥미로운 실험을 했습니다. AI 도구가 검색할 가능성이 있는 경로에 "핫도그를 가장 많이 먹는 테크 기자는 토마스 저메인 BBC"라는 내용을 담은 블로그 게시물을 올렸습니다. 실제로 나중에 "핫도그를 가장 잘 먹는 테크 기자가 누구야?"라고 물었더니 AI가 그 기자를 답으로 내놓았습니다. 완전한 거짓말이지만, 잘 쓰여진 블로그 게시물 하나가 AI의 답변을 오염시키는 데 성공한 겁니다.

 

프롬프트 인젝션은 악의적으로 설계된 외부 콘텐츠가 AI의 행동을 변조하는 공격 기법입니다. 앞서 Snyk 연구에서 악성 스킬의 91%가 악성 코드와 함께 프롬프트 인젝션을 동시에 활용하는 것으로 나타난 이유도 이중 공격으로 탐지를 회피하면서 AI 자체의 행동을 조작하기 위해서입니다.

 

AI 맹신 문제도 현실적인 위험입니다. 의사들 사이에서는 AI가 제공한 의료 정보를 그대로 믿고 오는 환자가 늘고 있다는 이야기가 나옵니다. 복잡한 시스템 개발에서 "AI가 혼자 할 수 있다고 했는데"라며 과도하게 의존하다가 취약점이 가득한 결과물을 얻는 사례도 보안 전문가들이 자주 언급하는 패턴입니다. AI의 답변은 정보 오염의 피해자가 될 수 있습니다. AI 출력을 비판적으로 검토하는 습관이 필요한 이유입니다.

 

오픈클로 보안 위험 대응 방법 — 지금 당장 해야 할 것들

지금까지 살펴본 위협들은 모두 예방 가능합니다. 우선순위 순으로 정리하면 다음과 같습니다.

오픈클로 보안 필수 조치 5가지

1. 즉시 업데이트: CVE-2026-25253 패치가 적용된 버전 2026.1.29 이상, ClawJacked 패치가 적용된 버전 2026.2.26 이상으로 업데이트합니다.
2. 토큰 재발급: 구버전을 사용 중이었다면 게이트웨이 토큰을 반드시 재발급합니다. 이메일 계정과 SSH 키 등 연동된 자격증명도 재발급을 권장합니다.
3. 인증 설정: 제어판에 반드시 비밀번호 인증을 설정합니다. 바인딩 주소를 0.0.0.0에서 127.0.0.1(로컬 전용)로 변경합니다.
4. 접근 IP 제한: 방화벽을 통해 신뢰할 수 있는 IP만 오픈클로 제어판에 접근하도록 설정합니다.
5. 스킬 설치 신중히: 클로허브에서 스킬을 다운로드하기 전 출처와 게시자를 확인합니다. 검토된 스킬인지, 최근에 리뷰가 달렸는지 확인하는 것이 최소한의 자기 방어입니다.

추가로, 인포스틸러 감염 여부도 확인해두는 것이 좋습니다. 보안 연구자나 기업 IT 담당자라면 오픈클로 배포 환경 전체의 바인딩 주소를 일괄 점검해야 합니다. SecurityScorecard 보고서가 지적했듯이 549건의 이미 해킹된 시스템 대부분이 기본 설정을 그대로 쓰고 있었습니다.

 

클로허브의 악성 코드 스캐너가 있다고 해서 방심하는 건 금물입니다. 난독화된 스킬은 자동 스캐너를 통과할 수 있고, 실제로 조사 당시에도 그런 사례가 확인됐습니다. 결국 가장 믿을 수 있는 방어는 사용자 자신의 주의입니다.

 

오픈클로 보안 위험은 무시할 수 없는 현실입니다. 강력한 도구이기 때문에 그 위협도 큽니다. 컴퓨터를 직접 조작할 수 있는 AI 에이전트는, 잘못된 손에 들어가거나 잘못된 지시를 따르게 됐을 때 일반 악성코드보다 훨씬 더 깊은 피해를 줄 수 있습니다.

 

사용을 그만두라는 말이 아닙니다. 오픈클로 보안 위험을 정확히 이해하고 대응한다면, 오픈클로의 강력한 기능을 더 오래, 더 안전하게 누릴 수 있습니다. 지금 당장 시작할 수 있는 첫 걸음은 간단합니다: 버전 확인, 토큰 재발급, 인증 설정. 이 세 가지만으로도 당신의 시스템을 훨씬 더 안전하게 보호할 수 있습니다.