보안팀 몰래 확산된 Clawdbot, 인포스틸러가 먼저 노렸다

개요

Clawdbot의 MCP 구현에는 필수 인증 부재, 프롬프트 인젝션 허용, 설계상 셸 접근 권한 부여 등 근본적 취약점이 있었다. 보도가 나온 지 이틀 만에 연구자들은 해당 공격면을 검증하고 추가 취약점까지 확인했다. 이후 프로젝트는 Anthropic의 상표 이슈 제기로 1월 27일 ‘Moltbot’으로 리브랜딩됐다.

기본값과 MCP 설계의 문제

MCP는 에이전트가 이메일·파일·캘린더·개발도구에 걸친 작업을 자동화하도록 연결하는 계층이지만, 필수 인증이 없고 경계가 약하면 실행 권한이 과도하게 확장된다. 기본 구성은 18789 포트를 공용 인터넷에 노출했고, 동일 서버의 역프록시(Nginx/Caddy) 뒤에서 로컬호스트로 전달된 연결을 신뢰해 외부 요청이 내부 신뢰로 승격되는 문제가 발생했다. 레드팀 업체 Dvuln의 제미슨 오라이리가 쇼단에서 “Clawdbot Control”을 검색하자 수초 만에 수백 대가 노출되었고, 그중 8대는 인증 없이 완전한 명령 실행이 가능했으며 47대는 인증이 작동, 나머지는 미설정 프록시·약한 자격 증명으로 부분 노출 상태였다.

노출과 악용: 인포스틸러, 심리 맥락까지 탈취

슬로우미스트는 수백 개의 Clawdbot 게이트웨이가 API 키, OAuth 토큰, 수개월 치 비공개 대화 기록을 자격 증명 없이 열람 가능한 상태로 인터넷에 노출됐다고 경고했다. 아르케스트라 AI의 마트베이 쿠쿠이는 프롬프트 인젝션만으로 이메일 경로를 통해 5분 만에 SSH 개인 키를 추출했다. 허드슨 록은 이를 ‘Cognitive Context Theft’라 명명하며, 비밀번호뿐 아니라 사용자의 업무 진행 상황, 신뢰 관계, 불안 요인 등 심리적 맥락까지 수집되어 사회공학 공격의 정밀도가 급격히 높아진다고 분석했다. 한편 Array VC의 슈루티 간디는 자사 인스턴스에서 7,922건의 공격 시도를 보고했다.

서플라이체인 공격: ClawdHub 기술(스킬) 라이브러리

오라이리는 ClawdHub에 공개 스킬을 업로드한 뒤 다운로드 수를 4,000건 이상으로 부풀리고, 8시간 내 7개국 16명의 개발자에게 전파되는 과정을 증명했다. 페이로드는 무해했지만 원격 코드 실행으로 바꾸는 것은 어렵지 않다고 밝혔다. ClawdHub는 검수·승인·서명 없이 내려받은 코드를 신뢰하는 구조여서, 이용자가 생태계를 신뢰하는 심리를 공격자가 악용하기 쉽다.

평문 저장과 엔드포인트 방어의 공백

Clawdbot는 ~/.clawdbot/와 ~/clawd/ 경로에 메모리 파일을 마크다운·JSON 평문으로 저장한다. VPN 구성, 기업 자격 증명, API 토큰, 대화 맥락이 암호화 없이 디스크에 남고, OS 키체인·브라우저 저장소와 달리 사용자 권한의 어떤 프로세스라도 읽을 수 있다. 저장 데이터 암호화나 컨테이너 격리가 없는 로컬 퍼스트 AI 에이전트는 기존 EDR/엔드포인트 보안이 가정하지 않은 노출 클래스를 만든다. 프롬프트 인젝션은 방화벽이나 WAF에 탐지되지 않으며, 에이전트의 Node.js 프로세스는 합법적 앱이 시작한 정상 행위로 보이기 쉽다.

확산 속도: 바이럴 배포와 ROI, 그리고 자동화

대규모 무기화는 반복 가능한 기법, 넓은 배포, 공격자 ROI의 세 요소로 이뤄진다. 프롬프트 인젝션과 취약한 커넥터, 약한 인증 경계라는 기법은 이미 널리 이해됐고, 바이럴 툴과 ‘복붙’ 배포 가이드가 확산을 돕는다. 공격 자동화와 경제성만 성숙하면 표준화된 에이전트 익스플로잇 키트가 1년 내 등장할 가능성이 높다. 가트너는 연말까지 엔터프라이즈 애플리케이션의 40%가 AI 에이전트와 통합될 것으로 추정하며, 공격 면은 보안팀의 추적 속도를 앞지르고 있다.

정체성과 실행의 문제: 보안 리더가 놓치는 포인트

프롬프트 시큐리티 공동창업자이자 현재 센티널원에서 AI 보안을 이끄는 이타마르 골란은 “이것은 ‘AI 앱’ 문제가 아니라 정체성과 실행의 문제”라고 지적한다. MCP 서버는 종종 비밀 관리, 파일시스템, SaaS API 사이에 위치한 원격 실행 역량이며, 검증되지 않은 MCP 코드를 실행하는 것은 위험한 라이브러리를 추가하는 수준이 아니라 외부 서비스에 운영 권한을 부여하는 것에 가깝다. 많은 배포가 개인 실험에서 시작되어 BYOD 노트북을 통해 슬랙·이메일·코드 저장소 등 기업 데이터에 무심코 닿는다.

보안 리더를 위한 즉각 조치

첫째, 인벤토리화: 어디에서 에이전트가 실행되는지, 어떤 MCP 서버가 있고 어떤 액션·데이터에 접근하는지 파악하라. 전통 자산관리로는 BYOD·비공식 MCP를 놓치기 쉽다. 둘째, 출처 고정: 신뢰 가능한 스킬 소스만 화이트리스트로 허용하고, 암호학적 검증을 강제하라. 셋째, 최소 권한: 스코프드 토큰, 허용 액션 목록, 모든 통합에 강한 인증을 적용하라. 넷째, 런타임 가시성: 에이전트가 ‘설정상’이 아니라 ‘실제로’ 무엇을 하는지 감시·감사하라. 작은 입력과 백그라운드 작업이 사람 검토 없이 시스템 전반으로 전파된다.

타임라인과 전망

Clawdbot는 2025년 말 조용히 공개되었고, 2026년 1월 26일 바이럴 급증 이후 며칠 만에 보안 경고가 뒤따랐다. 단기적으로는 노출된 MCP 서버, 자격 증명 유출, 로컬 또는 취약한 에이전트 서비스에 대한 드라이브바이 공격이 이어질 전망이다. 향후 1년 동안은 인기 에이전트 스택과 공통 MCP 패턴을 겨냥한 표준화된 익스플로잇 키트의 등장이 합리적으로 예상된다. 현재는 Moltbot(구 Clawdbot)으로 리브랜딩되었으며, 연구자들은 초기 목록에 없던 공격면까지 확인했고 공격자는 수비보다 먼저 적응했다.