무슨 일이 있었나?
2026년 4월 7일, 360 디지털 보안 그룹은 자사의 AI 취약점 발견 에이전트가 OpenClaw 플랫폼에서 3건의 추가 고위험 보안 취약점—심각 1건, 중간 2건—을 발견했다고 발표했습니다. 모든 취약점은 OpenClaw 팀에 의해 패치되고 공개 되었습니다.
360이 OpenClaw에서 문제를 발견한 것은 이번이 처음이 아닙니다. 이미 3월 말에 360은 전 세계 170,000개 인스턴스에 영향을 미치는 심각한 MEDIA 프로토콜 취약점을 공개했으며, 이는 중국 국가 취약점 데이터베이스(CNNVD)에서 확인되었습니다.
주목할 점은 360이 AI를 사용해 AI 취약점을 찾았다는 것입니다—공격 표면 분석, AI 코드 감사, 동적 침투 테스트를 결합한 멀티 에이전트 협업 시스템으로 자동으로 보안 문제를 발견했습니다.
세 가지 취약점이 AI 핵심 메커니즘을 직격
보고서에 따르면, 새로 발견된 세 가지 취약점은 AI 에이전트의 핵심 작동 메커니즘을 직접 겨냥하며, 사용자 기기, 데이터 및 계정의 핵심 보안에 영향을 미칩니다.
알려진 주요 CVE
| CVE ID | 심각도 | 유형 | 영향 받는 버전 | 패치 버전 |
|---|---|---|---|---|
| CVE-2026-34425 | 5.3 (중간) | Shell-bleed 보호 우회 | < 2026.4.2 | 2026.4.2 |
| CVE-2026-34426 | 7.6 (높음) | 인증 우회 (환경 변수 정규화) | < 2026.4.2 | 2026.4.2 |
| CVE-2026-34503 | 8.1 (높음) | 불완전한 WebSocket 세션 종료 | < 2026.4.2 | 2026.4.2 |
참고: 위 점수는 NVD 기준입니다. 360의 원본 보고서에는 “높음 1건 + 중간 2건"으로 명시되어 있으며, 이는 CNNVD와 NVD의 채점 기준 차이에서 비롯됩니다.
심각: MEDIA 프로토콜 프롬프트 인젝션 우회
가장 위험한 취약점입니다. OpenClaw의 MEDIA 프로토콜은 플랫폼의 도구 보안 정책 제어 이후에 위치한 출력 후처리 레이어에서 실행됩니다. 이는 다음을 의미합니다:
관리자가 모든 도구 호출을 명시적으로 비활성화한 경우에도, 공격자는 이 취약점을 악용할 수 있습니다—기본 그룹 채팅 멤버 권한만 있으면 되며, 특별한 인증은 필요 없습니다—서버의 민감한 로컬 파일을 직접 탈취할 수 있습니다.
기술적 특성:
- 극히 낮은 공격 임계값: 그룹 채팅 멤버 권한만 필요
- 극히 넓은 영향 범위: 50개국 이상, 전 세계 170,000개 이상의 인스턴스
- 모든 방어 우회: 도구 정책 제어 완전 무력화
중간: WebSocket 자체 연결 + 토큰 바인딩 미비
WebSocket 프로토콜의 자체 연결 메커니즘과 토큰 바인딩 검증 부재로 인해, 브라우저가 로컬 OpenClaw 인스턴스를 하이재킹할 수 있습니다. 폐기된 토큰이 계속 유효한 상태로 남아 지속적인 무단 액세스 위험이 발생합니다.
추가: SSH 명령어 인젝션 (기존 알려진 취약점)
OpenClaw는 2026년 2월에 SSH 명령어 인젝션 취약점(CVE-2026-25157, CVSS 7.8 높음)이 이미 공개된 바 있으며, 2026.1.29 버전에서 패치되었습니다. 이 취약점은 공격자가 하이픈으로 시작하는 호스트명을 통해 SSH 옵션(예: -oProxyCommand)을 주입하여 로컬 명령어를 실행할 수 있게 했습니다. 360의 신규 3건 취약점에는 포함되지 않지만, OpenClaw의 체계적인 입력 검증 문제를 반영합니다.
취약점만이 아니다: 공급망도 이미 침해됨
이 세 가지 신규 취약점 외에도, OpenClaw 생태계에 대한 더 큰 위협은 공급망 공격에서 비롯됩니다.
ClawHub 마켓플레이스(OpenClaw의 공식 플러그인 마켓)를 스캔한 결과, 보안 연구자들은 다음을 발견했습니다:
- 340개 이상의 악성 Skills 플러그인 (3,016개 샘플 중, 약 10.8% 감염률)
- 7.1%가 평문 자격 증명 유출 포함
- 다수의 인스턴스가 공개적으로 노출되어 공격자의 손쉬운 표적이 됨
공격 체인이 명확합니다: Base64 인코딩 → 디코딩 → curl 다운로드 → 악성 실행 → 지속적 백도어 설치
이는 npm이나 PyPI 공급망 오염 사건과 같지만, AI Agent 세계에서 발생한 것입니다.
AI 에이전트의 4계층 공격 표면
360과 NSFOCUS의 분석에 따르면, OpenClaw의 아키텍처에는 네 가지 공격 표면 계층이 있습니다:
| 계층 | 공격 벡터 | 위험 |
|---|---|---|
| 진입 계층 | 프롬프트 인젝션(직접/간접), API 게이트웨이 인증 우회 | 원격 코드 실행 |
| 의사결정 계층 | LLM 로직 조작, 메모리 오염 | AI 판단 변조 |
| 실행 계층 | 도구 권한 상승, 루트 실행 위험 | 데이터 탈취, 시스템 제어 |
| 생태계 계층 | ClawHub 공급망 오염, 서명되지 않은 플러그인 | 대규모 백도어 침투 |
기업 자체 보호 가이드
OpenClaw(또는 다른 AI Agent 프레임워크)를 프로덕션 환경에서 사용 중이라면, 반드시 구현해야 할 보안 조치입니다:
즉시 조치
- 2026.4.2 이상으로 업그레이드 — 알려진 모든 CVE 패치
- Docker로 배포 — 베어메탈에서 절대 실행하지 마세요
- 비루트 사용자로 실행 — 컨테이너 권한 제한,
no-new-privileges활성화 - 직접적인 인터넷 노출 차단 — 리버스 프록시 + IP 허용 목록 사용
- ClawHub 플러그인 감사 — 감사되지 않은 모든 서드파티 Skills 제거
장기 보호
- API 키 암호화 —
.env파일 사용, 하드코딩 금지 - 네트워크 격리 — iptables로 아웃바운드 연결 제한
- 절대 금지 규칙 — 절대 허용되지 않는 작업 정의
- 자동화 모니터링 — 정기적으로 구성 핑거프린트 스캔, 이상 탐지
권장 배포 아키텍처
| |
AI로 AI 취약점 찾기
360의 발견에서 가장 주목할 점은 취약점 자체가 아니라 발견 방법입니다.
그들은 “멀티 에이전트 협업 취약점 발견 시스템"을 사용했습니다—공격 표면 분석, 코드 감사, 동적 침투 테스트를 각각 담당하는 여러 AI 에이전트가 협력하여 자동으로 보안 문제를 발견했습니다.
이는 하나의 트렌드를 시사합니다: AI Agent 보안 문제는 궁극적으로 AI Agent가 해결할 것입니다. 공격자와 방어자 모두 AI를 사용하고 있으며, 보안 분야는 공식적으로 Agent vs Agent 시대에 진입했습니다.
결론
OpenClaw의 폭발적 성장(전 세계 170,000개 이상 인스턴스)은 AI Agent 시대가 도래했음을 증명합니다. 그러나 속도에는 위험이 따릅니다—취약한 버전이 몇 주 만에 수만 명에게 배포되면, “동질적 자산"은 대량 공격의 이상적인 표적이 됩니다.
AI 에이전트를 구축하는 팀에게 보안은 사후 고려 사항이 아닌 아키텍처 설계의 최우선 순위입니다. 결국, AI Agent의 자율성이 높을수록 침해 시 발생하는 피해도 그만큼 커집니다.
출처: BlockBeats, Observer Network, Data Security, NSFOCUS, CN-SEC