이미 벌어진 일들 — 실제 공격 사례 | FindSkill.ai

AI 에이전트에는 적이 있어요

2026년 1월, 보안 연구팀 Koi Security가 ClawHub(OpenClaw AI 에이전트 확장 마켓플레이스)에서 2,857개의 스킬을 검사했어요. 그 중 341개가 악성이었어요. “잠재적으로 위험한” 것도, “코딩이 잘못된” 것도 아니에요. 악성. 데이터를 훔치도록 설계된 것이에요.

341개 중 335개는 ClawHavoc이라 명명된 단일 조직적 캠페인에서 나왔어요. 공격은 단순하면서도 정교했어요: 유용해 보이는 스킬을 게시하고, README에 “먼저 이 사전 요구사항을 설치하세요"라고 쓰면, 설치 명령이 Atomic macOS Stealer 트로이목마를 다운로드해요. 암호화 키, SSH 자격증명, 브라우저 비밀번호 — 순식간에 사라져요.

이론적인 이야기가 아니에요. 지금 실제로 벌어지고 있는 일이에요. 한국에서도 2025년에 이미 AI 에이전트를 표적으로 한 프롬프트 인젝션과 공급망 공격이 보고되었고, 과기정통부와 KISA는 2026년을 “자동화된 AI 공격의 해"로 경고했어요.

이 레슨을 마치면 다음을 할 수 있어요:

실제 데이터를 활용해 AI 에이전트 공격의 4가지 카테고리를 설명
AI 에이전트가 전통적인 소프트웨어와 근본적으로 다른 보안 리스크를 만드는 이유를 설명

배울 내용

이 코스는 AI 에이전트의 보안 환경을 다뤄요 — OpenClaw를 주요 케이스 스터디로 활용하고(보안 연구가 가장 많이 공개되었기 때문), 여러분이 사용하는 모든 AI 에이전트에 적용되는 원칙을 배워요. 8개 레슨에 걸쳐 위협 모델링부터 나만의 보안 정책 작성까지 실용적인 보안 스킬을 구축해요.

How This Course Works

각 레슨은 실제 데이터, 실용적 기법, 퀴즈와 함께 하나의 보안 영역을 가르쳐요. 마지막 레슨은 캡스톤으로, 실제로 사용할 개인 보안 정책을 만들어요. 과장이나 공포 조성 없이 — 오직 증거와 실행만 다뤄요.

카테고리 1: 원격 코드 실행 (RCE)

CVE-2026-25253은 NIST에 의해 CVSS 점수 8.8(High)로 게시되었어요. 취약점: OpenClaw의 WebSocket 엔드포인트가 수신 연결의 출처를 검증하지 않았어요. 방문한 어떤 웹사이트든 로컬 OpenClaw 인스턴스에 명령을 보낼 수 있었어요.

악성 링크 한 번 클릭. 컴퓨터에서 완전한 코드 실행.

수정은 2026.1.29 버전에서 릴리스되었지만, SecurityScorecard의 STRIKE 팀은 몇 주 후에도 12,812개의 인스턴스가 여전히 취약한 버전을 실행하고 있음을 발견했어요. 스캐닝이 계속되면서 그 수는 50,000개 이상으로 증가했어요.

핵심은 “OpenClaw가 나쁘다"가 아니에요. AI 에이전트가 상당한 시스템 접근 권한으로 실행되고, 통신 레이어의 단일 취약점이 공격자에게 모든 것을 준다는 거예요.

✅ Quick Check: AI 에이전트의 WebSocket RCE가 일반 웹 애플리케이션보다 더 위험한 이유는? (답: AI 에이전트는 이미 파일 읽기, 명령 실행, API 접근, 시스템 수정 권한을 가지고 있어요. 공격자가 그 모든 역량을 즉시 상속받아요.)

카테고리 2: 악성 스킬 (공급망 공격)

ClawHavoc이 헤드라인이었지만 유일한 사례는 아니었어요. 여러 보안 벤더의 조사 결과:

연구자	발견	규모
Koi Security	ClawHavoc 캠페인 — AMOS 트로이목마 배포	악성 스킬 341개
Snyk (ToxicSkills)	취약점 또는 악성 패턴	1,467개 스킬 (36.82%)
Cisco	최소 1개 취약점을 가진 스킬	31,000개 스킬 중 26%
Bitdefender	탈취된 계정의 악성 스킬	800개 이상 확인

공급망 공격 패턴은 npm과 PyPI의 초기 문제를 그대로 따라가요 — 단, AI 에이전트 스킬이 더 위험해요. 악성 npm 패키지는 샌드박스된 Node.js 프로세스에서 실행되지만, 악성 OpenClaw 스킬은 파일, 터미널, API 키, 브라우저에 접근하며 실행돼요.

Bitdefender는 탈취된 GitHub 계정이 악성 스킬에 정당성을 부여하는 데 사용되는 증거를 발견했어요. 공격자가 가짜 계정만 만드는 게 아니라, 히스토리와 스타가 있는 실제 계정을 탈취해요.

카테고리 3: 자격증명 노출

Snyk 연구에 따르면 3,984개 ClawHub 스킬 중 283개(7.1%)가 LLM 컨텍스트 윈도우를 통해 자격증명을 유출하고 있었어요. 일부는 악성이었고, 일부는 사고 — 개발자들이 AI 에이전트를 로컬 스크립트처럼 취급하고 모든 것이 모델을 통과한다는 점을 잊은 거예요.

한편 Clawhatch의 90개 이상 공개 GitHub 저장소 감사에서 약 40%가 평문 설정 파일에 작동하는 API 키를 포함하고 있었어요. OpenClaw의 update, doctor, configure 명령은 환경 변수를 해석해서 실제 값을 설정 파일에 기록해요.

✅ Quick Check: 개발자가 API 키에 환경 변수를 사용해요(좋은 관행). 하지만 OpenClaw의 configure 명령이 해석된 값을 설정 파일에 기록해요. 보안 문제는? (답: 환경 변수는 키를 파일 밖에 보관하기 위한 것이었어요. configure 명령이 해석된 값을 기록하면 키가 파일시스템에 평문으로 존재하게 되고 — git에 커밋되거나, 다른 프로세스가 읽거나, 악성 스킬이 유출할 수 있어요.)

카테고리 4: 노출된 인프라

SecurityScorecard의 STRIKE 팀은 인터넷에 노출된 135,000개 이상의 OpenClaw 인스턴스를 발견했어요. 기본 설정이 0.0.0.0:18789(모든 네트워크 인터페이스)에 바인딩되어 인터넷의 누구든 연결할 수 있었어요.

Gartner의 평가는 직설적이었어요: “OpenClaw 다운로드를 즉시 차단하라.” “기본적으로 안전하지 않다"고 평가했어요 — 인증 미적용, 벤더 보안 팀 부재, SLA 없음, 버그 바운티 프로그램 없음.

AI 에이전트가 다른 이유

전통적인 소프트웨어는 잘 알려진 공격 표면이 있어요. AI 에이전트는 새로운 것을 도입해요: 지시를 추론하고, 도구에 접근하고, 처리하는 콘텐츠에 기반해 자율적으로 행동하는 개체.

Trend Micro는 핵심 문제를 “치명적 삼각 편대"로 식별했어요 — 에이전트가 동시에 다음을 가질 때:

개인 데이터 접근 (파일, 자격증명, 메시지)
신뢰할 수 없는 콘텐츠 노출 (이메일, 웹 페이지, 공유 문서)
외부 통신 능력 (메시지 전송, API 호출, 명령 실행)

세 가지 중 두 가지는 관리 가능해요. 세 가지 모두? 에이전트가 도구가 아닌 공격 벡터가 돼요.

핵심 정리

CVE-2026-25253로 패치되지 않은 OpenClaw 인스턴스에서 WebSocket 출처 우회를 통한 1클릭 RCE가 가능했어요
341개 악성 스킬이 가짜 사전 요구사항 설치를 통해 Atomic macOS Stealer를 배포했어요
**ClawHub 스킬의 7.1%**가 LLM 컨텍스트 윈도우를 통해 자격증명을 유출하고 있었어요
135,000개 이상의 인스턴스가 기본 설정으로 인터넷에 노출되었어요
치명적 삼각 편대 (개인 데이터 + 신뢰할 수 없는 콘텐츠 + 외부 통신)가 에이전트를 전통적인 소프트웨어와 근본적으로 다르게 만들어요
이것은 OpenClaw만의 문제가 아니에요 — 시스템 접근 권한을 가진 모든 AI 에이전트가 같은 카테고리의 리스크에 직면해요

다음 레슨

이제 무엇이 잘못되었는지 알았어요. 다음 레슨에서는 OWASP의 에이전트 애플리케이션 Top 10을 포함해, AI 에이전트를 위해 특별히 설계된 위협 모델링 프레임워크로 이러한 위협을 체계적으로 생각하는 법을 배워요.

이미 벌어진 일들 — 실제 공격 사례

프리미엄 강좌 콘텐츠