GitHub 1위 OpenClaw, 플러그인 12%가 악성코드

24시간 만에 GitHub 스타 2만 개, 그리고 악몽의 시작

사이버 보안 위협을 상징하는 코드 매트릭스 화면

2026년 1월 25일, OpenClaw가 GitHub에서 바이럴을 탔다. 24시간 만에 스타 2만 개를 돌파했다. 몇 주 만에 13만 5천 개를 넘겼다. GitHub 역사상 가장 빠른 성장 속도였다. AI 에이전트 플랫폼으로서 컴퓨터 전체를 제어할 수 있다는 점이 개발자들의 호기심을 자극했다. 디스크 접근, 터미널 제어, 브라우저 조작, OAuth 토큰 관리까지 가능했다.

문제는 바로 그 "전체 제어"에 있었다. OpenClaw는 운영체제 수준의 권한을 요구했다. 그리고 그 권한 위에서 돌아가는 플러그인 생태계에는 아무런 검증 장치가 없었다. 클릭 한 번으로 설치되는 스킬이 키로거가 될 수 있었고, 실제로 그렇게 됐다.

2026년 1월 말부터 3월 초까지 약 40일간 벌어진 일은 AI 에이전트 시대의 첫 번째 대형 보안 참사라 할 만하다. 플러그인 마켓플레이스의 12%가 악성코드였고, 13만 5천 대 이상의 인스턴스가 인터넷에 노출됐으며, 중국 정부와 Meta가 사용 금지 명령을 내렸다.

2,857개 중 341개, 12%의 충격

2026년 1월 31일, 보안 기업 Koi Security가 ClawHub 마켓플레이스 전체 감사를 완료했다. ClawHub는 OpenClaw의 공식 플러그인 저장소다. 누구나 스킬을 올릴 수 있었고, 사전 검증은 없었다.

결과는 충격적이었다. 2,857개 스킬 중 341개가 악성으로 판명됐다. 전체의 약 12%다. 10개 중 1개 이상이 악성코드를 품고 있었다. 더 놀라운 건 이 341개 중 335개가 단일 캠페인 ClawHavoc에서 비롯됐다는 사실이다. 한 공격 그룹이 조직적으로 ClawHub에 악성 스킬을 대량 유포한 것이다.

이 악성 스킬들은 교묘했다. "solana-wallet-tracker", "AuthTool" 같은 평범한 이름을 달고 있었다. 전문적인 문서와 설명을 갖추고 있었다. 설치하면 정상적으로 동작하는 것처럼 보였다. 하지만 백그라운드에서는 Windows에 키로거를, macOS에 Atomic Stealer(AMOS) 인포스틸러를 설치했다. 암호화폐 지갑 정보, 클라우드 자격증명, API 키를 탈취하는 것이 목적이었다.

Bitdefender의 AI Skills Checker는 더 넓은 범위를 분석했다. 제출된 스킬의 약 **20%**에서 악성 행위 징후를 탐지했다. Koi Security의 12%보다 높은 수치다. 2월 이후 악성 스킬 수는 계속 늘어 820개 이상으로 확산됐다.

ClawJacked, 웹사이트 하나로 에이전트 탈취

코드가 표시된 화면과 보안 위협 시각화

악성 스킬만이 문제가 아니었다. 2026년 2월 26일, 보안 기업 Oasis Security가 ClawJacked라는 취약점을 공개했다. 이 취약점은 아무 웹사이트에서나 사용자의 OpenClaw 에이전트를 완전히 탈취할 수 있게 했다. 플러그인도, 확장 프로그램도, 사용자 상호작용도 필요 없었다.

공격 원리는 이렇다. 피해자가 어떤 웹사이트든 방문한다. 그 웹사이트의 JavaScript가 localhost의 OpenClaw 게이트웨이 포트(18789)로 WebSocket 연결을 시도한다. WebSocket은 localhost 연결에 대해 cross-origin 정책이 적용되지 않기 때문에 브라우저가 이를 차단하지 않는다.

여기서 결정적 문제가 드러난다. OpenClaw의 게이트웨이는 localhost 연결에 대해 비밀번호 시도 횟수를 제한하지 않았다. 초당 수백 번의 비밀번호 추측이 가능했다. 일반적인 비밀번호는 1초 만에, 대형 사전(dictionary)도 수 분이면 뚫렸다. 비밀번호가 맞으면 자동으로 신뢰할 수 있는 기기로 등록됐다. 사용자에게 확인 프롬프트도 뜨지 않았다.

Oasis Security는 이를 CVSS 8.8(고위험)으로 분류했다. 공격이 성공하면 에이전트가 접근할 수 있는 모든 것, 즉 파일 시스템, 터미널, 브라우저, 메시징 앱에 대한 통제권이 공격자에게 넘어간다. OpenClaw 측은 공개 후 24시간 이내에 패치(v2026.2.25)를 배포했다.

CVE 8개, 보안 구멍은 하나가 아니었다

ClawJacked는 빙산의 일각이었다. 2026년 1월 말부터 2월까지 공개된 주요 취약점은 총 8개다.

CVE 번호	위험도	유형	내용
CVE-2026-25253	CVSS 8.8	원격 코드 실행	Control UI의 URL 파라미터 미검증
ClawJacked	CVSS 8.8	인증 우회	localhost WebSocket 무제한 시도
CVE-2026-26322	CVSS 7.6	SSRF	서버측 요청 위조
CVE-2026-26319	CVSS 7.5	인증 누락	Telnyx 웹훅 인증 부재
CVE-2026-26329	고위험	경로 조작	브라우저 파일 업로드 경로 탈출
CVE-2026-27001	고위험	프롬프트 인젝션	워크스페이스 경로 통한 주입
+ 2건	고위험	복합	Endor Labs 추가 발견

2026년 2월 18일, Endor Labs는 6개의 추가 취약점을 공개했다. 이 중 3개는 고위험(high-severity)으로, 각각 공개 익스플로잇 코드가 존재했다. 즉 공격 도구가 이미 돌아다니고 있었다.

CVE-2026-25253은 특히 위험했다. OpenClaw의 Control UI가 쿼리 스트링에서 gatewayUrl 파라미터를 받아 자동으로 WebSocket 연결을 생성하고, 사용자의 인증 토큰을 전송했다. 악성 링크 하나를 클릭하면 그 순간 원격 코드 실행이 가능했다. 공격 체인은 "밀리초" 만에 완성됐다.

13만 5천 대가 인터넷에 노출됐다

취약점만 있었다면 그나마 나았을 것이다. 문제는 이 취약점이 있는 인스턴스가 대규모로 인터넷에 노출되어 있었다는 점이다.

OpenClaw는 기본적으로 0.0.0.0에 바인딩됐다. 모든 네트워크 인터페이스에서 접근을 허용하는 설정이다. 안전한 설정은 127.0.0.1(localhost만 허용)이지만, OpenClaw는 기본값이 반대였다. Gartner는 이를 **"insecure by default"**라고 규정했다.

시점	노출된 인스턴스 수	출처
1월 말	약 1,000대	Shodan
1월 31일	21,639대	Censys
2월 초	30,000대 이상	Bitsight
2월 중순	42,665대	연구자 Maor Dayan
2월 말	135,000대 이상	SecurityScorecard

일주일 만에 1,000대에서 2만 대로 21배 폭증했고, 한 달 만에 13만 5천 대를 넘었다. 82개국에 걸쳐 분포했다. 미국이 가장 많았고, 중국이 약 30%를 차지했다. 주로 Alibaba Cloud, Tencent, DigitalOcean에서 호스팅됐다.

보안 경고 화면과 네트워크 시각화

노출된 인스턴스에서는 API 키, OAuth 토큰, 평문 비밀번호가 그대로 드러났다. SecurityScorecard의 Jeremy Turner는 이렇게 표현했다. "아무나 컴퓨터에 접근하게 해주는 것과 같다. 누구의 지시든 따를 수 있다."

연구자 Maor Dayan이 확인한 42,665개 인스턴스 중 5,194개는 실제로 원격 코드 실행이 가능한 상태였다. SecurityScorecard는 이 중 15,000개 이상이 직접적인 원격 코드 실행 공격에 취약하다고 평가했다.

기업과 정부가 사용 금지에 나섰다

보안 위기에 대한 대응은 빠르게 나왔다.

Meta는 직원들의 업무 기기에 OpenClaw 설치를 금지했다. 위반 시 해고 사유가 된다고 경고했다. Microsoft는 OpenClaw를 "신뢰할 수 없는 코드 실행과 영속적 자격증명"으로 분류했다. 중국 정부는 더 강경했다. **국가인터넷응급센터(CNCERT)**가 OpenClaw 보안 경고를 발령하고, 국영 기업과 정부 기관, 주요 은행에서의 사용을 제한했다.

보안 기업 Noma의 조사에 따르면, 기업 고객의 53%가 단 한 번의 주말 동안 OpenClaw에 특권 접근 권한을 부여했다. 금요일 저녁에 설치해서 월요일 아침에 출근하면, 이미 에이전트가 회사 시스템 깊숙이 들어가 있었다.

한 사용자는 OpenClaw가 iMessage에 접근한 뒤 "에이전트가 폭주하며 수백 개의 메시지를 보냈다"고 보고했다. 에이전트가 의도치 않게 제어를 벗어난 사례다. 저널리스트 Federico Viticci는 실험 과정에서 1억 8천만 개의 토큰을 소비했다고 밝혔다. 통제 없는 에이전트가 시스템을 점유하면 비용도 폭발적으로 증가한다.

레거시 보안 도구로는 막을 수 없다

이 사태가 드러낸 더 근본적인 문제가 있다. 기존 보안 도구로는 AI 에이전트의 위협을 탐지할 수 없다는 것이다.

TechWire Asia는 OpenClaw가 보안 체계에 드러낸 문제를 **"치명적 삼각형(lethal trifecta)"**이라고 정리했다. 첫째, 개인 데이터에 접근한다. 둘째, 외부와 통신한다. 셋째, 신뢰할 수 없는 콘텐츠를 처리한다. 이 세 가지가 동시에 성립하면 에이전트는 공격 벡터가 된다.

엔드포인트 보안 솔루션은 에이전트의 행동을 해석하지 못한다. 에이전트가 파일을 읽는 것이 정상 작업인지, 데이터 유출인지 구분할 수 없다. 네트워크 보안 도구는 자동화된 API 호출과 공격 통신을 구분하지 못한다. 아이덴티티 관리 시스템은 에이전트의 OAuth 권한 부여를 비정상으로 감지하지만, 정상과 악용을 판별할 기준이 없다.

이메일 기반 프롬프트 인젝션도 실증됐다. 공격자가 이메일에 악성 명령을 삽입하면, OpenClaw가 이를 읽고 지시대로 실행하는 것이 확인됐다. 개인 키를 추출하거나, find ~ 명령으로 전체 디렉터리 구조를 덤프하는 것이 가능했다. 에이전트가 이메일을 읽는 것은 정상 기능이다. 그 이메일에 악성 지시가 숨어 있을 때, 에이전트는 그것이 공격인지 알 수 없다.

성장 속도와 보안 부재의 간극

OpenClaw 사태는 단일 도구의 실패가 아니다. AI 에이전트 생태계 전체에 대한 경고다.

OpenClaw 메인테이너는 이렇게 말했다. "커맨드라인 사용법도 모르면서 이 프로젝트를 쓰기엔 너무 위험하다." 솔직하지만, 그 말 자체가 문제를 증명한다. GitHub 1위에 오른 프로젝트가 "비전문가는 쓰지 마라"는 경고를 해야 하는 상황. 인기와 안전 사이의 간극이 이만큼 벌어져 있었다.

Peter Steinberger가 만든 이 프로젝트는 Clawdbot에서 Moltbot으로, 다시 OpenClaw로 세 달 동안 세 번 이름을 바꿨다(상표 분쟁 때문이다). 그리고 2026년 2월 15일, Sam Altman은 Steinberger의 OpenAI 합류를 발표하며 그를 "매우 똑똑한 에이전트의 미래에 대한 놀라운 아이디어를 가진 천재"라고 불렀다. 창시자는 떠나고, 보안 결함은 남았다.

40개 이상의 수정이 단일 릴리스에 포함된 적도 있다. 커뮤니티가 빠르게 대응하고 있다는 뜻이기도 하지만, 그만큼 구멍이 많았다는 뜻이기도 하다. declawed.io라는 추적 사이트가 생길 정도로 보안 이슈는 계속됐다.

AI 에이전트가 컴퓨터 전체를 제어하겠다는 약속은 매력적이다. 하지만 그 약속의 이면에는 컴퓨터 전체가 위험에 노출되는 현실이 있다. 12%라는 숫자는 ClawHub에만 해당하는 것이 아니다. 검증 없는 플러그인 생태계, 기본값이 안전하지 않은 설정, 에이전트의 과도한 권한. 이 세 가지가 결합되면 어떤 AI 에이전트든 같은 사태가 반복될 수 있다. OpenClaw는 첫 번째 사례일 뿐이다.

출처