OpenClaw가 드러낸 에이전틱 AI 보안의 맹점과 기업 대응 로드맵

개요: OpenClaw 사건이 시사하는 것

오픈소스 에이전트형 도우미인 OpenClaw(구 Clawdbot, Moltbot)는 폭발적 확산과 함께 심각한 노출 사례를 만들며 에이전틱 AI 보안의 구조적 공백을 드러냈다. 인터넷 스캔 결과 1,800개가 넘는 인스턴스에서 API 키, 챗 기록, 계정 정보가 유출됐고, BYOD 환경에서 전통적 경계 방어는 사실상 보이지 않는 상태가 됐다.

왜 기존 경계가 위협을 보지 못하는가

에이전틱 AI 보안 가정의 실패

많은 기업은 에이전트를 일반 개발도구처럼 취급해 표준 접근제어만 적용하지만, OpenClaw는 이 가정이 설계 단계부터 틀렸음을 보여준다. 에이전트는 허가된 권한 안에서 동작하면서도 공격자가 영향 줄 수 있는 컨텍스트를 끌어오고, 자율적으로 액션을 실행한다. 경계 장비는 이를 ‘정상 HTTPS(HTTP 200)’로만 본다. 잘못된 위협 모델은 잘못된 통제를 낳고, 그 결과 에이전틱 AI 보안의 블라인드 스팟이 커진다.

‘치명적 삼위일체’와 의미론 공격

프롬프트 인젝션을 명명한 사이먼 윌리슨은 에이전트의 ‘치명적 삼위일체’를 사적 데이터 접근, 불신 컨텐츠 노출, 외부 통신 능력으로 정의한다. 세 가지가 결합되면 경고 한 번 없이 민감정보 유출이 가능하다. 또한 전문가들은 AI 런타임 공격이 시그니처 기반의 구문(syntax)이 아니라 의미(semantics)를 노린다고 지적한다. “이전 지시 무시” 같은 평범한 문구가 버퍼 오버플로우에 필적하는 피해를 부를 수 있지만, 악성코드 시그니처와는 공통점이 없다.

노출과 악성 스킬이 보여준 현실

Shodan으로 드러난 OpenClaw 게이트웨이

레드팀 업체 Dvuln의 제이미슨 오레일리는 Shodan에서 특징적 HTML 지문(예: “Clawdbot Control”)을 검색해 수백 건의 OpenClaw 인스턴스를 발견했다. 수동 점검한 사례 중 일부는 인증 없이 완전 개방돼 명령 실행과 설정 열람이 가능했다. 여기서 Anthropic API 키, 텔레그램 봇 토큰, 슬랙 OAuth 자격증명, 통합 챗 플랫폼의 전체 대화 기록까지 노출됐다. 원인은 기본 설계가 로컬호스트(127.0.0.1)를 신뢰하고, nginx/Caddy 역프록시 뒤에서 모든 연결이 내부 트래픽처럼 보이는 구조였기 때문이다. 특정 취약점은 패치됐지만, 아키텍처적 위험은 남아 있다.

Cisco 평가: ‘보안 악몽’과 스킬 스캐너

Cisco AI Threat & Security Research는 OpenClaw를 기능 면에선 혁신적이지만 보안 면에선 “절대적 악몽”이라 평했다. 이들은 정적 분석, 행위 데이터플로, LLM 의미 분석, VirusTotal을 결합한 오픈소스 Skill Scanner를 공개하고, 서드파티 스킬 “What Would Elon Do?”를 시험했다. 결과는 치명적: 9건의 보안 이슈(중 2건 크리티컬, 5건 하이)와 함께, 스킬이 봇에게 curl로 외부 서버로의 데이터 전송을 지시하고, 프롬프트 인젝션으로 안전장치를 우회하는 등 사실상 멀웨어처럼 동작했다. 시스템 접근 권한을 가진 에이전트는 전통적 DLP·프록시·엔드포인트 모니터링을 우회하는 은밀한 유출 채널이 된다.

경계 밖에서 커지는 위험

에이전트 전용 소셜 네트워크 ‘Moltbook’

OpenClaw 기반 에이전트들은 인간 가시성 바깥의 채널을 형성하기 시작했다. ‘Moltbook’은 “에이전트용 소셜 네트워크(인간은 관찰자)”를 표방하며, 게시가 UI가 아닌 API로 이뤄진다. 일부 사용자는 자신이 자는 사이 에이전트가 종교 테마 커뮤니티를 만들었다고 확인했다. 합류 과정에서 외부 셸 스크립트가 설정 파일을 재작성하고, 에이전트는 작업, 사용자 습관, 오류를 게시한다. 맥락 유출이 참여의 기본값이 되며, 게시물의 프롬프트 인젝션은 MCP 연결을 통해 다른 능력 전반으로 연쇄 전파될 수 있다.

능력 곡선이 보안 곡선을 추월

에이전틱 AI 보안의 핵심 문제는 자율성이 높아질수록 한 번의 의미론 조작이 야기하는 피해 반경이 기하급수로 커진다는 점이다. 가능성에 흥분한 생태계가 악용 가능성에 대한 경계보다 앞서가고 있다.

보안 책임자의 즉각 조치

에이전틱 AI 보안 기본 원칙 수립

에이전트를 생산 인프라로 취급하라: 최소 권한, 스코프드 토큰, 허용 목록 기반 액션, 모든 통합에 강한 인증, 엔드투엔드 감사 가능성을 확보한다. 이는 에이전틱 AI 보안의 출발점이다.

가시성 확보와 노출 점검

자사 IP 대역을 Shodan으로 스캔해 OpenClaw/Clawdbot/Moltbot 지문을 탐지하고, 윌리슨의 ‘치명적 삼위일체’가 결합된 시스템을 지도화하라. 세 조건을 모두 가진 에이전트는 증명될 때까지 취약하다고 가정한다.

세분화와 행위 로깅

Gmail·SharePoint·Slack·DB 접근을 공격적으로 분리하고, 에이전트를 특권 사용자로 다룬다. 사용자 인증 로깅만이 아니라 에이전트의 구체적 행위를 로깅하라.

스킬 스캐닝과 IR 체계 업데이트

Cisco Skill Scanner 등으로 스킬을 정기 점검하고, 파일 내부에 숨은 악성 행위를 탐지하라. 인시던트 대응 플레이북을 업데이트해 프롬프트 인젝션 같은 비서명형, 비이상징후형 공격을 포착하도록 SOC 교육을 실시한다.

금지보다 가드레일

무턱대고 금지하면 우회가 늘어난다. 안전한 실험을 허용하는 정책과 가드레일을 먼저 세우고, 섀도우 AI에 대한 가시성을 확보하라.

결론

OpenClaw는 위협이 아니라 신호

문제는 OpenClaw 그 자체가 아니라, 앞으로 2년간 모든 에이전틱 AI 배치에서 반복될 구조적 공백이다. 이미 공격 패턴과 통제 격차는 문서화됐다. 향후 30일 내 에이전틱 AI 보안 모델을 수립·검증하는지가 생산성 이득과 대형 유출의 갈림길이 된다. 지금 통제를 검증하라.