AI에게 “내 이메일 정리해줘”라고 부탁했는데, 그 AI가 해커의 명령을 받아 당신의 파일을 훔치고 삭제한다면 어떨까요?
OpenClaw라는 오픈소스 AI 에이전트가 며칠 새 기술 커뮤니티를 들썩이게 만들었습니다. 하지만 보안 연구팀들이 치명적 취약점을 발견했죠. 이메일에 숨겨진 악성 명령 하나로 전체 시스템을 장악당할 수 있다는 겁니다.
출처: OpenClaw: When AI Agents Get Full System Access – Revolution or Security Nightmare? – innFactory
OpenClaw가 뭐길래
OpenClaw는 며칠 새 기술 커뮤니티를 들썩이게 만든 오픈소스 AI 에이전트입니다. 사용자의 컴퓨터에 직접 설치되어 WhatsApp, Telegram, Slack 같은 메신저를 통해 명령을 받고, 이메일을 보내고, 파일을 관리하고, 심지어 터미널 명령까지 실행할 수 있죠. 구글 워크스페이스, GitHub, Notion 등 100개 이상의 서비스와 연동됩니다.
가장 인상적인 건 “자가 확장” 기능입니다. 사용자가 새로운 기능을 요청하면 OpenClaw가 스스로 필요한 통합 기능을 개발합니다. 많은 사용자들이 “30분 만에 이메일과 캘린더를 채팅으로 제어했다”며 “아이폰의 등장을 보는 것 같다”고 흥분했습니다.
하지만 보안 전문가들은 경고등을 켰습니다. OpenClaw가 시스템 전체에 대한 접근 권한을 가진다는 점이 문제였습니다.
이메일 한 통으로 완전히 장악당하는 시스템
보안 연구팀 Zenity Labs는 OpenClaw의 치명적 취약점을 실제로 시연했습니다. 공격 시나리오는 이렇습니다:
한 직원이 OpenClaw를 회사 컴퓨터에 설치하고 Slack과 구글 워크스페이스에 연결합니다. 공격자는 이 직원에게 무해해 보이는 문서가 첨부된 이메일을 보냅니다. 문서 내부에는 눈에 보이지 않는 악성 명령이 숨어 있죠.
OpenClaw가 이 문서를 처리하는 순간, 숨겨진 명령이 작동합니다. 에이전트는 공격자가 제어하는 텔레그램 봇을 새로운 채팅 통합으로 추가하고, 공격자를 허용 목록에 등록합니다. 이제 공격자는 OpenClaw를 자유롭게 조종할 수 있습니다.
공격자는 텔레그램을 통해 “데스크톱의 파일 목록을 보여줘”라고 명령하고, 민감한 파일을 외부로 전송한 뒤 삭제합니다. 더 나아가 OpenClaw의 핵심 설정 파일(SOUL.md)을 수정해 지속적으로 공격자의 명령을 확인하도록 만듭니다. 심지어 Windows 예약 작업을 생성해 2분마다 이 악성 설정을 재주입하죠.
최종 단계에서는 전통적인 C2(Command and Control) 악성코드까지 배포할 수 있습니다. 이 시점에서 공격자는 AI 에이전트를 넘어 컴퓨터 전체를 장악합니다.
왜 막을 수 없나
이 공격의 핵심은 Prompt Injection입니다. AI 모델은 “사용자의 진짜 명령”과 “외부 데이터에 숨겨진 가짜 명령”을 구분하지 못합니다. OpenClaw는 이메일, 문서, 웹페이지 같은 신뢰할 수 없는 출처의 데이터를 일반 대화와 똑같은 방식으로 처리합니다.
innFactory의 분석에 따르면, 현재 어떤 대규모 언어 모델도 Prompt Injection을 완벽하게 막을 수 없습니다. Claude, GPT, Gemini 모두 취약합니다. 새로운 우회 기법이 개발될 때마다 방어는 뒤처집니다.
더 큰 문제는 OpenClaw의 확장 생태계입니다. ClawHub 같은 커뮤니티에서 누구나 새로운 ‘스킬’을 만들어 공유할 수 있는데, 이 스킬들이 악의적 코드를 포함하고 있거나 공급망 공격에 노출될 수 있습니다. 한 사용자는 자랑스럽게 “이 에이전트가 내 회사를 운영하고 있다”고 트윗했지만, 보안 전문가들은 소름 끼친다고 말합니다.
AI 에이전트 시대의 새로운 위협
OpenClaw 사례가 중요한 이유는 이것이 단순한 버그가 아니기 때문입니다. 소프트웨어 취약점을 패치하면 해결되는 문제가 아니라, OpenClaw의 설계 방식 자체에서 비롯된 구조적 문제입니다.
AI 에이전트는 사용자 대신 행동하도록 설계되었습니다. 그런데 “사용자가 원하는 것”과 “데이터 속에 숨겨진 공격자의 의도”를 구분할 수 없다면, 강력한 권한을 가진 도구가 오히려 완벽한 공격 경로가 됩니다.
두 연구 모두 한 가지를 강조합니다: 샌드박스 환경에서만 실행하라는 것입니다. 별도의 가상 머신이나 격리된 컨테이너에서 실행하고, 실제 이메일 계정이나 회사 네트워크와는 연결하지 말아야 합니다. 실험용 기기에서만 사용하고, 중요한 데이터는 절대 노출하지 말라고 권고합니다.
AI 에이전트는 분명 미래입니다. 하지만 보안 메커니즘 없이는 혁신이 아니라 재앙이 될 수 있습니다. OpenClaw의 사례는 편리함을 추구하기 전에 안전부터 확보해야 한다는 교훈을 남깁니다.
참고자료:
답글 남기기