오픈클로(OpenClaw) AI 에이전트에서 링크 하나만 클릭해도 시스템이 장악되는 원격 코드 실행 취약점이 발견됐습니다. CVE-2026-25253 보안 이슈와 클로허브 공급망 공격까지, 지금 당장 확인해야 할 내용을 정리했습니다.
한눈에 보는 블로그 정리
- CVE-2026-25253은 CVSS 8.8 고위험 취약점으로, 악성 링크 클릭 한 번으로 시스템 전체가 장악될 수 있습니다.
- 로컬 환경에서도 예외 없이 공격이 가능하며, 방화벽조차 우회합니다.
- 클로허브 마켓플레이스에서는 1,184개의 악성 스킬이 추가로 발견돼 이중 위협이 현실화됐습니다.
- 네이버, 카카오, 당근 등 국내 주요 IT 기업들이 사내 사용을 전면 차단했습니다.
- 2026.1.29 버전 이상으로 즉시 업데이트하고 토큰과 API 키를 전면 재발급해야 합니다.
AI 비서가 해커의 문을 열어줬다
오픈클로는 슬랙, 텔레그램, iMessage 같은 메신저는 물론이고 로컬 파일 시스템까지 직접 제어하는 자율형 AI 에이전트입니다. 전 세계 13만 5천 개 이상의 인스턴스가 실제 업무에 활용되고 있을 만큼 개발자들 사이에서 인기가 높습니다. 그런데 바로 그 넓은 권한이 이번 사태의 핵심 문제였습니다.
보안 연구팀 depthfirst가 코드를 감사하던 중 취약점을 발견했습니다. 편의성을 위해 설계된 자동 연결 기능이 어느 순간 공격자의 뒷문이 되어 있었던 것입니다. Cisco Talos는 오픈클로를 두고 생산성 측면에서는 획기적이지만 보안 측면에서는 심각한 도전이라고 평가했습니다.
취약점 작동 방식, 생각보다 단순해서 더 무섭습니다
이번 취약점의 핵심은 오픈클로 컨트롤 UI가 URL에 포함된 gatewayUrl 파라미터를 아무런 검증 없이 신뢰한다는 점입니다. 공격자가 만든 링크를 사용자가 클릭하는 순간, 오픈클로는 스스로 공격자 서버로 인증 토큰을 전송합니다.
| 공격 단계 | 발생 상황 | 결과 |
|---|---|---|
| 1단계 | 악성 링크 클릭 또는 페이지 방문 | 인증 토큰 공격자 서버로 유출 |
| 2단계 | 크로스사이트 웹소켓 하이재킹(CSWSH) | 로컬 방화벽 우회, localhost 직접 접근 |
| 3단계 | 샌드박스 비활성화, 안전장치 해제 | API 명령으로 보안 설정 제거 |
| 4단계 | 임의 명령 실행 | 시스템 전체 장악 완료 |
더 충격적인 건 로컬 환경도 안전하지 않다는 사실입니다. 일반적으로 인터넷에서 localhost는 접근이 불가능하지만, 브라우저는 HTTP와 달리 웹소켓 연결에는 동일 출처 정책(SOP)을 적용하지 않습니다. 오픈클로의 웹소켓 서버가 오리진 헤더 검증을 하지 않아, 사용자의 브라우저 자체가 공격의 경유지가 됩니다.
클로허브 마켓플레이스, 또 다른 위협의 진원지
CVE-2026-25253 하나만으로도 충분히 심각한데, 더 큰 문제가 따로 있었습니다. 기능 확장을 위한 스킬 마켓플레이스 클로허브(ClawHub)에서 대규모 공급망 공격이 동시에 진행되고 있었습니다.
| 조사 기관 | 감사 규모 | 악성 스킬 수 |
|---|---|---|
| Koi Security | 2,857개 | 341개 (ClawHavoc 캠페인) |
| 보안 연구팀 | 전체 | 1,184개 (12개 계정 업로드) |
| Snyk | 3,984개 | 283개 (7.1%) 인증정보 노출 |
| Bitdefender | 전체 | 약 900개 (전체 20%) 악성 행위 |
클로허브는 일주일만 지난 깃허브 계정이면 누구나 스킬을 등록할 수 있었습니다. 공격자 한 명이 무려 677개의 악성 패키지를 혼자 올렸습니다. 1위 스킬조차 9개의 보안 취약점을 숨기고 있었고, 수천 번 다운로드됐습니다. 악성코드는 SSH 키, 브라우저 비밀번호, 암호화폐 지갑 정보를 조용히 빼갔습니다.
국내 대형 IT 기업들은 이미 차단했습니다
국내 보안 업계도 신속하게 반응했습니다. 안랩 ASEC는 이번 취약점이 AI 에이전트의 광범위한 권한을 노린 고도화된 공격이라며 특별 경고를 발령했습니다. KISA 역시 긴급 보안 권고를 통해 즉시 업데이트를 촉구했습니다.
실제 대응도 빠르게 이뤄졌습니다. 연합뉴스 보도에 따르면 네이버, 카카오, 당근 등 국내 주요 IT 기업들이 2월 초 사내망과 업무용 기기에서 오픈클로 사용을 전면 차단했습니다. AI 비서 도구 하나가 내부망 전체를 위험에 빠뜨릴 수 있다는 인식이 기업 보안 담당자들 사이에서 빠르게 확산된 결과입니다.
관련 뉴스
지금 당장 해야 할 조치 체크리스트
오픈클로는 1월 30일 패치 버전을 배포했습니다. 하지만 업데이트 하나로 모든 게 해결되지는 않습니다. 노출 인스턴스 비율이 약 35%에 달한다는 분석도 있어, 이미 탈취됐을 가능성을 전제하고 움직이는 것이 안전합니다.
| 조치 항목 | 우선순위 | 대상 |
|---|---|---|
| 2026.1.29 버전 이상 업데이트 | 긴급 | 전체 사용자 |
| 게이트웨이 인증 토큰 재발급 | 긴급 | 전체 사용자 |
| 연결된 서비스 API 키 전면 교체 | 높음 | 기업 환경 필수 |
| 클로허브 설치 스킬 전수 검토 | 높음 | 스킬 사용자 |
| 웹소켓 트래픽 이상 로그 점검 | 권고 | 기업 보안팀 |
| SSH 키 및 암호화폐 지갑 재확인 | 권고 | 개발자, 크립토 사용자 |
AI 에이전트 시대, 보안 설계 방식이 바뀌어야 합니다
보안 전문가 Simon Willison이 제시한 치명적 삼위일체라는 개념이 주목받고 있습니다. 개인 데이터 접근 권한, 신뢰할 수 없는 외부 콘텐츠 노출, 외부 통신 기능, 이 세 가지가 동시에 충족되는 순간 AI 에이전트는 정보 유출의 완벽한 통로가 된다는 것입니다. 오픈클로는 세 조건 모두에 해당합니다.
AI 에이전트가 수십 개 서비스에 연결되는 환경이 일상이 된 지금, 비인간 신원(NHI) 관리라는 새로운 보안 개념이 기업의 핵심 과제로 떠올랐습니다. 편의성이 높아진 만큼 한 번의 침투가 만드는 피해의 범위도 기하급수적으로 커졌기 때문입니다. 이번 사태가 단순한 취약점 패치로 끝날 문제가 아닌 이유가 바로 여기에 있습니다.
마치며
오픈클로 CVE-2026-25253은 AI 에이전트에 넓은 권한을 부여할수록 보안 위험도 함께 커진다는 사실을 정면으로 보여줬습니다. 지금 사용 중이라면 즉시 업데이트와 토큰 재발급부터 시작하세요.