- Authors
- Name
- 오늘의 바이브
135,000개 에이전트가 문을 열어둔 채 서 있다
2026년 2월, SecurityScorecard의 STRIKE 위협 정보팀이 충격적인 수치를 발표했다. 135,000개 이상의 OpenClaw 인스턴스가 인터넷에 그대로 노출돼 있다. 인증 없이. 방화벽 없이. 누구나 접근할 수 있는 상태로.
STRIKE 팀은 이를 **"접근 및 신원 확인 실패의 대규모 사례"**라고 표현했다. "편의성 우선 기본값과 불충분한 제어로 인해 강력한 AI 에이전트가 배포되고 있다"는 진단이다.
OpenClaw가 GitHub 역사상 가장 빠르게 성장한 프로젝트라는 건 모두가 안다. 48시간에 34,168 스타. 14만 스타 돌파. 그러나 그 성장의 이면에는 보안의 근본적 결함이 있었다. 그리고 그 결함이 135,000개 인스턴스를 위험에 빠뜨렸다.
이 글에서는 왜 이렇게 많은 인스턴스가 노출됐는지, 그 원인이 되는 기본 설정의 문제, 실제 위험성, 그리고 기업들이 지금 당장 해야 할 일을 분석한다.
0.0.0.0:18789 — 모든 것의 시작
OpenClaw의 기본 네트워크 바인딩 설정은 0.0.0.0:18789다. 이게 무슨 뜻인가?
0.0.0.0은 모든 네트워크 인터페이스에서 수신하겠다는 의미다. 로컬호스트만이 아니라, 이더넷, 와이파이, 가상 네트워크 어댑터 등 시스템에 연결된 모든 네트워크 인터페이스에서 들어오는 연결을 받겠다는 선언이다.
일반적으로 보안을 고려한 애플리케이션은 127.0.0.1로 바인딩한다. 로컬 시스템에서만 접근 가능하게 제한하는 것이다. 하지만 OpenClaw는 정반대를 선택했다.
OpenClaw 공식 문서조차 경고한다. "게이트웨이를 0.0.0.0에서 인증 없이 노출하지 마라." 그런데 기본값이 바로 그 상태다. 문서는 하지 말라고 하고, 기본 설정은 바로 그걸 하고 있다.
SecurityScorecard의 분석에 따르면 이건 "보안-기반 설계 원칙에 근본적으로 결함이 있는" 접근 방식이다. 설계 단계부터 보안이 고려되지 않았다는 뜻이다.
클라우드 환경에서 이 설정이 특히 치명적이다. AWS EC2, Google Cloud VM, Azure 인스턴스에 OpenClaw를 배포하면, 별도 설정 없이 공용 인터넷에 WebSocket 포트가 노출된다. 방화벽 규칙을 명시적으로 설정하지 않는 한, 전 세계 누구나 접근할 수 있다.
인증 우회율 93.4%의 의미
노출됐다는 것만으로는 즉각적인 위험이 아닐 수 있다. 강력한 인증이 있다면 접근은 가능해도 악용은 어렵다. 그러나 현실은 달랐다.
독립 연구에 따르면 42,665개 노출 인스턴스 중 5,194개가 실제로 취약했다. 더 충격적인 건 취약한 인스턴스의 93.4%가 인증 우회 조건을 보였다는 점이다.
인증 우회란 무엇인가? 공격자가 표준 WebSocket 핸드셰이크만 수행하면 된다는 뜻이다. 복잡한 로그인 화면을 뚫을 필요가 없다. 인증 미들웨어가 느슨하게 설정돼 있으면, 핸드셰이크 성공 즉시 에이전트 실행 권한을 얻는다.
이건 문을 열어둔 것과 다름없다. 아니, 문을 열어두고 "들어오세요"라고 표지판까지 붙여둔 것이다.
| 구분 | 수치 |
|---|---|
| 노출된 인스턴스 | 135,000+ |
| 검증된 취약 인스턴스 | 5,194 |
| 인증 우회 비율 | 93.4% |
| 영향 받은 국가 | 82개국 |
82개국에 걸쳐 취약점이 분포해 있다. 이건 특정 지역의 문제가 아니다. OpenClaw가 전 세계적으로 퍼져 있고, 보안 설정은 전 세계적으로 부실하다.
단일 노출 인스턴스의 파급력
한 개의 노출된 OpenClaw 인스턴스가 침해당하면 무슨 일이 벌어지는가?
OpenClaw 에이전트는 단순한 챗봇이 아니다. 이메일을 읽고 보낸다. WhatsApp과 Telegram 메시지에 접근한다. 파일 시스템을 탐색한다. 브라우저 세션을 제어한다. 캘린더를 확인한다. API 키를 사용한다.
공격자가 노출된 에이전트를 장악하면 다음에 접근할 수 있다:
자격증명 저장소 — 브라우저에 저장된 비밀번호, 자동완성 데이터, 쿠키가 모두 탈취 대상이다. Chrome, Safari, Firefox, Edge 구분 없다.
로컬 파일 — 데스크탑, 문서 폴더, 다운로드 폴더의 모든 파일에 접근 가능하다. 계약서, 재무제표, 개인정보가 담긴 파일들이다.
브라우저 세션 — 로그인된 상태의 세션을 그대로 가져간다. 별도 인증 없이 사용자가 로그인한 모든 서비스에 접근할 수 있다.
메시징 플랫폼 — Telegram 세션 데이터, WhatsApp Web 세션, Slack 토큰이 유출된다. 사적인 대화, 업무 대화 모두 노출된다.
캐시된 민감 데이터 — .env 파일의 API 키, SSH 개인키, AWS 자격증명, 셸 히스토리까지 수집된다.
이건 개인 사용자만의 문제가 아니다. 개발자의 노트북 하나가 침해당하면, 그 개발자가 접근할 수 있는 모든 프로덕션 시스템이 위험해진다.
기업 IP 공간에서 발견된 인스턴스들
더 우려되는 건 노출된 인스턴스 중 상당수가 기업 IP 공간에서 발견됐다는 점이다. 개인의 실험이 아니라, 기업 네트워크 내에서 OpenClaw가 돌아가고 있다.
SecurityScorecard의 표현을 빌리면, 이건 "개별 실험에서 엔터프라이즈 규모 침해로 위험을 확대"시킨다.
기업 환경에서의 AI 에이전트 노출이 특히 위험한 이유가 있다.
첫째, 내부 네트워크 접근. 기업 VPN이나 내부 네트워크에 연결된 상태에서 에이전트가 돌아간다면, 공격자는 에이전트를 통해 내부 시스템에 접근할 수 있다. 방화벽은 외부 공격을 막지만, 내부에서 시작된 연결은 막지 않는 경우가 많다.
둘째, 권한 상승의 발판. 개발자 워크스테이션에는 프로덕션 데이터베이스 접근 권한, CI/CD 파이프라인 제어권, 클라우드 인프라 관리 권한이 있는 경우가 흔하다. 에이전트 하나가 이 모든 것의 진입점이 된다.
셋째, Shadow AI 문제. Gartner에 따르면 40%의 기업 애플리케이션이 2026년까지 AI 에이전트를 탑재할 전망이다. 그러나 6%의 조직만이 고급 AI 보안 전략을 갖추고 있다. 직원들이 IT 승인 없이 OpenClaw를 설치하는 경우, 보안팀은 그 존재조차 모른다.
연구에 따르면 14.4%의 AI 에이전트만이 완전한 보안/IT 승인을 받고 배포된다. 나머지 85%는 승인 없이, 또는 부분 승인만으로 운영된다. 이것이 Shadow AI다. 보안팀의 레이더에 잡히지 않는 AI 에이전트들이 기업 데이터를 처리하고 있다.
이미 침해된 인프라와의 연결
SecurityScorecard의 분석에서 가장 충격적인 발견은 따로 있다. 수십만 개의 OpenClaw 배포가 **"이전에 침해당한 인프라 또는 알려진 악성 IP 주소"**와 연결돼 있었다.
이게 무슨 의미인가? 두 가지 해석이 가능하다.
첫째, 이미 침해된 시스템에 OpenClaw가 설치됐다. 공격자가 시스템을 장악한 후, 지속적인 접근을 위해 OpenClaw를 백도어로 활용하고 있을 수 있다. AI 에이전트는 정상적인 도구처럼 보이므로 탐지가 어렵다.
둘째, OpenClaw 인스턴스가 C2 서버와 통신 중이다. 이미 악성 스킬이 설치돼 공격자의 명령을 받고 있을 가능성이다. ClawHavoc 캠페인에서 341개 악성 스킬이 발견된 것을 고려하면 현실적인 시나리오다.
어느 쪽이든 결론은 같다. 노출된 OpenClaw 인스턴스 중 상당수는 이미 악용되고 있거나, 악용될 준비가 완료된 상태다.
원격 코드 실행(RCE) 취약점의 누적
기본 설정 문제만이 아니다. OpenClaw 자체에도 심각한 보안 취약점들이 발견됐다.
CVE-2026-25253은 CVSS 8.8점을 받은 치명적 취약점이다. 로컬호스트에만 바인딩된 인스턴스조차 원클릭 RCE 체인으로 공격 가능했다. 2026년 1월 29일 패치가 나왔지만, 수천 개의 인스턴스가 여전히 업데이트되지 않은 상태로 남아있다.
2026년 1월 말 보안 감사에서는 더 충격적인 결과가 나왔다. 512개의 취약점이 확인됐고, 이 중 8개가 치명적으로 분류됐다.
| 취약점 유형 | 개수 |
|---|---|
| 치명적(Critical) | 8 |
| 높음(High) | 47 |
| 중간(Medium) | 189 |
| 낮음(Low) | 268 |
| 총 | 512 |
패치가 나와도 적용되지 않는다. 왜? OpenClaw 사용자 상당수가 개발자지만, 보안 업데이트에는 둔감하다. "잘 돌아가고 있으니 건드리지 말자"는 심리다. 또는 자동 업데이트가 비활성화돼 있다. 또는 업데이트 알림을 무시한다.
결과적으로 취약한 버전의 OpenClaw가 인터넷에 노출된 채 운영되고 있다. 공격자는 알려진 취약점을 스캔하고, 패치되지 않은 인스턴스를 찾아 공격한다. 기술적으로 어려운 일이 아니다.
인포스틸러가 OpenClaw를 노리는 이유
최근 발견된 인포스틸러 변종이 OpenClaw 설정 파일과 게이트웨이 토큰을 표적으로 삼고 있다.
왜 OpenClaw인가? 전통적인 인포스틸러는 브라우저 비밀번호, 암호화폐 지갑, 이메일 클라이언트를 노린다. OpenClaw는 이 모든 것에 합법적으로 접근할 수 있는 위치에 있다. 에이전트의 설정 파일과 인증 토큰만 탈취하면, 에이전트가 접근 가능한 모든 것에 접근할 수 있다.
OpenClaw 설정 파일에는 다음이 포함될 수 있다:
- LLM API 키 (OpenAI, Anthropic, Google)
- 이메일 SMTP 자격증명
- 메시징 플랫폼 토큰
- 클라우드 서비스 접근 키
- 데이터베이스 연결 문자열
게이트웨이 토큰을 탈취하면 더 직접적이다. 공격자가 원격에서 에이전트를 제어할 수 있다. 이메일을 보내라, 파일을 업로드하라, 코드를 실행하라. 에이전트는 시키는 대로 한다.
이건 새로운 공격 벡터다. 브라우저를 해킹하는 대신 AI 에이전트를 해킹한다. 브라우저보다 더 많은 권한을 가진 에이전트를.
완화 조치: 지금 당장 해야 할 것들
노출된 OpenClaw 인스턴스를 운영 중이라면, 즉각적인 조치가 필요하다.
1. 네트워크 바인딩 제한
# 안전한 설정
gateway:
host: 127.0.0.1
port: 18789
0.0.0.0 대신 127.0.0.1로 변경한다. 원격 접근이 필요하다면 VPN이나 SSH 터널을 통해서만 연결한다.
2. 방화벽 규칙 추가
포트 18789에 대한 인바운드 연결을 차단한다. 필요한 IP만 화이트리스트로 허용한다.
# iptables 예시
iptables -A INPUT -p tcp --dport 18789 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 18789 -j DROP
3. 강력한 인증 강제
API 키, OAuth, 또는 mTLS를 통한 인증을 반드시 활성화한다. 기본 인증 설정을 그대로 두지 않는다.
4. 즉시 패치 적용
최신 버전으로 업데이트한다. CVE-2026-25253를 포함한 보안 패치가 적용된 v2026.2.13 이상을 사용한다.
5. 격리 환경 배포
프로덕션 환경에서 OpenClaw를 직접 실행하지 않는다. Docker 컨테이너나 VM으로 격리한다. 호스트 시스템의 파일과 네트워크에 대한 접근을 최소화한다.
6. 배포 전 보안 검증
Bitdefender의 AI Skills Checker 같은 도구로 악성 동작을 분석한다. 신뢰할 수 없는 스킬은 설치하지 않는다.
편의성 vs 보안: OpenClaw가 선택한 것
OpenClaw의 기본 설정이 0.0.0.0인 이유가 있다. 편의성이다.
개발자가 OpenClaw를 처음 설치하고 실행한다. 로컬 네트워크의 다른 기기에서도 접근하고 싶다. 휴대폰에서도 쓰고 싶다. 127.0.0.1로 바인딩돼 있으면 추가 설정이 필요하다. 포트 포워딩, 방화벽 규칙, VPN 설정. 귀찮다.
0.0.0.0으로 열어두면 즉시 어디서든 접근 가능하다. "그냥 작동"한다. 사용자 경험이 좋다. 문서를 읽지 않아도 된다. 설정을 건드리지 않아도 된다.
이게 **"편의성 우선 기본값"**의 함정이다. 편리하지만 안전하지 않다. 그리고 대부분의 사용자는 기본값을 바꾸지 않는다. 문서에 경고가 있어도 읽지 않는다. 작동하니까.
보안에서는 **"기본값은 가장 안전한 옵션이어야 한다"**는 원칙이 있다. Secure by Default. 사용자가 명시적으로 위험을 감수하겠다고 선택하지 않는 한, 시스템은 안전한 상태를 유지해야 한다.
OpenClaw는 정반대를 선택했다. 편의성을 기본으로, 보안을 옵션으로. 그 결과 135,000개 인스턴스가 노출됐다.
AI 에이전트 시대의 보안 패러다임
OpenClaw 노출 사태는 더 큰 문제의 증상이다. AI 에이전트 보안이라는 새로운 영역이 열렸고, 우리는 준비되지 않았다.
전통적인 보안 모델은 사용자와 애플리케이션을 구분한다. 사용자는 인증하고, 애플리케이션은 사용자의 권한 내에서 작동한다. AI 에이전트는 이 경계를 흐린다.
에이전트는 사용자처럼 행동한다. 사용자를 대신해 이메일을 보내고, 파일을 읽고, API를 호출한다. 그러나 에이전트는 사용자가 아니다. 코드다. 악성 스킬이 설치되면, 사용자의 권한으로 악성 행위를 한다.
대부분의 조직은 **AI 에이전트를 독립적인 신원(identity)**으로 취급하지 않는다. 사용자의 연장선이거나, 일반적인 서비스 계정으로 본다. 연구에 따르면 21.9%의 팀만이 AI 에이전트를 독립적 신원으로 관리한다.
이건 RBAC(역할 기반 접근 제어), 감사 로그, 권한 최소화 원칙이 AI 에이전트에 적용되지 않는다는 뜻이다. 에이전트가 뭘 했는지 추적하기 어렵다. 에이전트의 권한을 제한하기 어렵다. 에이전트가 침해당해도 탐지하기 어렵다.
2026년은 AI 에이전트 보안의 원년이 될 것이다. 아니, 되어야 한다. OpenClaw 노출 사태는 경고다. 지금 보안 프레임워크를 갖추지 않으면, 더 큰 재앙이 올 것이다.
135,000이라는 숫자의 무게
135,000개의 노출된 인스턴스. 이 숫자를 다르게 표현하면?
- 중소기업 하나당 평균 10개의 AI 에이전트를 운영한다고 가정하면, 13,500개 기업이 영향 받을 수 있다.
- 각 인스턴스가 평균 3개의 클라우드 서비스에 연결돼 있다면, 405,000개의 클라우드 자격증명이 위험하다.
- 개발자 한 명이 평균 5개의 프로젝트에 접근한다면, 675,000개의 코드 저장소가 잠재적 영향권이다.
물론 이건 가정이다. 실제 피해 규모는 알 수 없다. 그러나 확실한 건, 이 숫자가 빙산의 일각이라는 점이다.
SecurityScorecard가 발견한 건 인터넷에서 스캔 가능한 인스턴스다. 기업 내부 네트워크에서만 접근 가능한 인스턴스, VPN 뒤에 숨은 인스턴스, 비표준 포트를 쓰는 인스턴스는 이 수치에 포함되지 않았다.
실제 OpenClaw 배포 수는 훨씬 많을 것이다. GitHub 스타 수가 14만을 넘었다. 그 중 상당수가 실제로 설치하고 운영 중일 것이다. 그리고 그 중 상당수가 보안 설정을 제대로 하지 않았을 것이다.
OpenClaw는 "보안상 재앙" 상태라는 평가를 받았다. ClawHavoc 공급망 공격, Log Poisoning 취약점, RCE 취약점, 그리고 이제 대규모 인스턴스 노출까지. 문제가 쌓이고 있다.
AI 에이전트의 미래는 밝다. 그러나 보안 없는 미래는 없다. 135,000이라는 숫자는 우리가 얼마나 준비되지 않았는지 보여주는 지표다. 그리고 이건 시작에 불과하다.
출처:
- 135K OpenClaw AI Agents Exposed to Internet — Bitdefender
- OpenClaw Security: Risks of Exposed AI Agents Explained — Bitsight
- Personal AI Agents like OpenClaw Are a Security Nightmare — Cisco Blogs
- Infostealer Steals OpenClaw AI Agent Configuration Files — The Hacker News
- OpenClaw: The AI Agent Security Crisis — Reco.ai
- AI Agents and Identity Risks — CyberArk
- State of AI Agent Security 2026 — Gravitee
- 이미지 출처 — Unsplash