커뮤니티

CertiK 「OpenClaw 보안 보고서」가 공개됐습니다. 이번 보고서는 현상급 AI 에이전트 프레임워크인 OpenClaw를 중심으로, 이미 공개되고 수정된 보안 사건을 기반으로 그 발전 과정에서의 보안 경계를 체계적으로 되짚고, 잠재적 위험 패턴을 분석하는 한편 개발자와 사용자 모두를 위한 대응 방안을 제시했습니다.

보고서는 OpenClaw의 GitHub 스타 수가 30만 개를 돌파하면서 AI 기반 에이전트가 실제 응용 단계로 빠르게 확산되고 있다고 지적했습니다. 그러나 주변적 프로젝트에서 대규모 배포 단계로 급속히 전환되는 과정에서, 초기의 ‘로컬 신뢰 환경’에 기반한 보안 모델은 점차 복잡해진 사용 환경을 충분히 대응하지 못하고 있다고 분석했습니다. 실제로 2025년 11월부터 2026년 3월까지 OpenClaw에서는 총 280건의 보안 공지와 100건 이상의 CVE 취약점이 보고됐으며, 이는 AI 에이전트가 실제 환경에 적용되면서 직면하는 보안 과제를 보여주는 사례로 평가됩니다.

​보고서 확인하기!


# 구조적 결함: ‘로컬 신뢰’에서 권한 통제 상실로

보고서는 일부 과거 취약점이 OpenClaw 제어 평면(Control Plane)에 존재하는 근본적인 설계 결함을 집중적으로 드러낸다고 지적했습니다. 특히 핵심 게이트웨이(Gateway)는 오랜 기간 ‘접속 출처의 근접성’을 인증 메커니즘으로 대체해 왔으며, 이로 인해 공격자가 로컬 요청이나 URL 파라미터 등을 악용해 Shell 실행, 파일 접근, 다중 디바이스 제어 등 전반적인 권한을 손쉽게 획득할 수 있는 구조였던 것으로 분석됐습니다.

​또한 20여 개 메시지 플랫폼과의 신원 연동(바인딩) 메커니즘에서도, 가변 속성 사용 및 Webhook 검증 부재 등 인증 설계상의 문제로 인해 허용 목록(Allowlist)이 반복적으로 우회된 것으로 나타났습니다. 이와 관련된 취약점은 현재까지 약 60건의 보안 공지로 보고된 상태입니다.

# 실행 계층 취약점: 검증 불일치와 로컬 자산 유출 위험

실행 계층에서는 정책 검증과 실제 실행 간의 불일치가 존재하는 것으로 나타났습니다. 강제 실행 메커니즘이 명령어 해석 이후의 최종 형태를 검증하지 않기 때문에, 공격자는 파라미터 축약 등을 통해 정확한 매칭 기반의 차단 목록을 우회할 수 있으며, 이로 인해 사전에 설정된 보안 경계가 실제 운영 환경에서는 무력화되는 문제가 발생합니다.

​또한 로컬 작업 공간은 고가치 자산이 집중적으로 저장되는 영역임에도 불구하고, 파일 시스템 경계에 대한 통제는 일관되지 않은 것으로 분석됐습니다. 각 모듈이 공통된 검증 체계를 공유하지 않고 개별적으로 검증 로직을 구현하면서, 경로 탐색 취약점과 샌드박스 결함이 여러 모듈에서 독립적으로 발생했습니다. 이러한 문제는 과거 취약점 사례에서도 반복적으로 확인됐으며, 결과적으로 잠재적 공격 표면을 더욱 확대시키는 요인으로 작용하고 있습니다.

# 공급망 및 배포 리스크: 공격 표면의 지속적 확대

확장된 생태계는 대규모 공급망 공격의 주요 경로로 부상하고 있습니다. 보고서는 ClawHub 플러그인 마켓에서 이미 수백 개의 악성 Skill이 발견됐으며, 이와 함께 위장 설치 프로그램 및 npm 패키지 문제도 확인됐다고 밝혔습니다. 기존의 공급망 공격과 달리, AI 에이전트의 Skill은 자연어를 통해 시스템 동작에 영향을 미칠 수 있어, 전통적인 보안 탐지 방식으로는 식별이 더욱 어려운 특징을 보입니다.

​또한 배포 설정에 따른 보안 리스크 역시 중요한 문제로 지적됐습니다. 데이터에 따르면 전 세계 82개 국가에서 13.5만 개 이상의 인스턴스가 외부 네트워크에 노출된 상태로 확인됐습니다. 샌드박스 비활성화, 과도하게 넓은 권한 정책, 신뢰 경계를 넘는 배포 구성 등은 코드 취약점이 없더라도 심각한 보안 위험을 초래할 수 있는 요인으로 분석됐습니다.

​아울러 프롬프트 인젝션(Prompt Injection)은 여전히 해결되지 않은 근본적인 보안 과제로 남아 있습니다. 간접 인젝션, 토큰 위·변조 등 다양한 공격 방식이 존재하며, 보고서는 이 문제가 모델 자체의 개선만으로 해결될 수 없다고 강조했습니다. 이에 따라 다층적인 시스템 수준의 방어 체계 구축, 엄격한 권한 및 기능 통제, 그리고 지속성 저장 영역에 대한 보호 강화가 필수적이라고 지적했습니다.

# 다층 방어 권고: 개발부터 배포까지의 보안 거버넌스

이러한 리스크에 대응하기 위해 CertiK은 보고서에서 개발자, 배포 운영자, 일반 사용자를 대상으로 한 다층적 보안 권고를 제시했습니다.

​개발자: OpenClaw와 같은 AI 에이전트 시스템을 설계할 때, 보안은 사후 보완이 아닌 초기 설계 단계부터 핵심 요소로 반영돼야 합니다. 이를 위해 제어 평면 관리 인터페이스를 강화하고, 파생 프로세스에 대해 변경 불가능한 권한 상속 구조를 강제 적용하며, 시맨틱 방화벽 등 시스템 수준의 방어 체계를 도입할 것을 권고했습니다.
​
배포 운영자: AI 에이전트는 ‘특권을 가진 직원’을 관리하듯 운영해야 합니다. 이를 위해 지속적인 모니터링, 정기적인 보안 감사, 엄격한 접근 권한 관리가 필요합니다. 또한 서비스는 로컬 루프백 주소에 바인딩해 운영하고, 격리된 환경에서 비(非)루트 계정으로 실행할 것을 권장했습니다. 아울러 강제적인 인증 및 허용 목록(Allowlist) 정책을 적용하고, 서드파티 확장 기능은 비신뢰 코드 기준에 따라 엄격히 검증해야 한다고 강조했습니다.
​
일반 사용자: 현 단계에서는 신중한 사용이 필요합니다. 보안이 충분히 성숙한 버전이 출시되기 전까지는, 자율형 AI 에이전트에 대해 개인 또는 기업의 핵심 계정에 대한 광범위한 접근 권한을 부여하지 않는 것이 바람직하다고 권고했습니다.
​
자세한 내용은 전체 보고서를 통해 확인하세요!