“AI 에이전트, 사실상 무방비?” CertiK 실험: OpenClaw Skill 검증 우회해 시스템 무단 제어 - 데일리시큐

최근 오픈소스 자가 호스팅 AI 에이전트 플랫폼 오픈클로(OpenClaw)가 높은 확장성과 자율적 배포 특성을 바탕으로 빠르게 주목받으며, 개인 AI 에이전트 분야의 대표적인 제품으로 부상하고 있다. 그 생태계의 핵심인 Clawhub는 애플리케이션 마켓으로서 다양한 서드파티 Skill 플러그인을 집결시켜, 웹 검색, 콘텐츠 생성부터 암호화폐 지갑 조작, 온체인 상호작용, 시스템 자동화 등 고급 기능을 에이전트에 손쉽게 추가할 수 있게 한다. 이에 따라 생태계 규모와 사용자 수는 폭발적으로 증가하고 있다. 하지만 이처럼 고권한 환경에서 실행되는 서드파티 Skill에 대해, 플랫폼의 실제 보안 경계는 과연 어디까지인가? Web3 보안 기업 CertiK은 최근 Skill 보안에 대한 최신 연구를 발표했다. 보고서는 현재 시장이 AI 에이전트 생태계의 보안 경계를 잘못 인식하고 있다고 지적한다. 업계는 일반적으로 ‘Skill 스캔’을 핵심 보안 장치로 간주하지만, 실제 공격 환경에서는 이 메커니즘이 사실상 무력화될 수 있다는 것이다. 오픈클로를 하나의 스마트 기기 운영체제(OS)에 비유한다면, Skill은 그 위에 설치되는 각종 앱(APP)에 해당한다. 그러나 일반 소비자용 앱과 달리, 오픈클로의 일부 Skill은 고권한 환경에서 실행되며 로컬 파일 접근, 시스템 도구 호출, 외부 서비스 연결, 호스트 환경 명령 실행, 심지어 사용자 암호화 자산 조작까지 가능하다. 이러한 환경에서 보안 문제가 발생할 경우, 민감 정보 유출, 원격 장치 제어, 디지털 자산 탈취 등 심각한 결과로 이어질 수 있다. 현재 업계에서 서드파티 Skill에 적용하는 일반적인 보안 방식은 ‘등록 전 스캔 및 검수’다. 오픈클로의 Clawhub 역시 VirusTotal 코드 스캔, 정적 코드 분석 엔진, AI 기반 로직 일관성 검사를 결합한 3단계 검수 체계를 구축해 위험 등급에 따라 사용자에게 경고를 제공하고 있다. 그러나 CertiK의 연구 및 개념검증(PoC) 테스트 결과, 이와 같은 검수 체계는 실제 공격 상황에서 한계를 드러내며 핵심 보안 방어선 역할을 수행하기에는 부족한 것으로 나타났다. 연구는 먼저 기존 검증 메커니즘의 구조적 한계를 다음과 같이 분석했다. 정적 분석 규칙은 쉽게 우회될 수 있다. 해당 엔진은 코드 특성을 기반으로 위험을 탐지하는데, 예를 들어 ‘환경 변수 접근 + 외부 전송 요청’ 조합을 고위험으로 분류한다. 그러나 공격자는 단순한 문법 변경만으로 동일한 악성 로직을 유지하면서도 탐지를 회피할 수 있다. 이는 위험 코드를 다른 표현으로 바꿔 보안 시스템을 무력화하는 것과 유사하다. AI 검증 역시 구조적 한계를 갖는다. Clawhub의 AI 검증은 ‘기능 설명과 실제 동작 간 불일치’를 탐지하는 데 초점을 맞추고 있어, 정상 기능 내부에 숨겨진 취약점이나 악용 가능한 로직을 식별하는 데에는 한계가 있다. 이는 겉보기에는 문제없는 계약서 속에 숨겨진 위험 조항을 발견하기 어려운 것과 유사하다. 더욱 근본적인 문제는 검수 절차의 설계 자체에 있다. VirusTotal 스캔이 완료되지 않은 상태에서도 Skill은 마켓에 등록될 수 있으며, 사용자 경고 없이 설치가 가능하다. 이는 공격자에게 침투 기회를 제공한다. 이러한 위험을 검증하기 위해 CertiK 연구팀은 ‘test-web-searcher’라는 Skill을 제작했다. 해당 Skill은 겉으로는 정상적인 웹 검색 도구처럼 보이지만, 내부에는 원격 코드 실행(RCE) 취약점이 포함되어 있었다. 테스트 결과, 해당 Skill은 정적 분석과 AI 검증을 모두 통과했으며, VirusTotal 검사가 완료되지 않은 상태에서도 정상적으로 배포되고 설치되었다. 이후 텔레그램을 통해 단일 명령을 전송하는 것만으로 취약점이 실행되었고, 호스트 시스템에서 임의 명령 실행이 가능해졌다.(시연에서는 시스템을 직접 제어해 계산기를 실행시키는 데 성공했다.) CertiK은 이번 연구에서 이러한 문제가 오픈클로만의 개별적인 제품 결함이 아니라, AI 에이전트 산업 전반에 존재하는 보편적인 인식 오류라고 지적했다. 현재 업계는 ‘사전 검수·스캔’을 핵심 보안 방어선으로 인식하고 있지만, 실제 보안의 핵심은 실행 단계에서의 강제 격리와 정교한 권한 통제에 있다는 것이다. 이는 Apple iOS 생태계와 유사하다. iOS의 보안은 App Store의 엄격한 심사에 있는 것이 아니라, 시스템 차원의 강제 샌드박스 구조와 세분화된 권한 관리에 기반한다. 이를 통해 각 앱은 독립된 환경에서만 실행되며, 시스템 권한에 임의로 접근할 수 없다. 반면 오픈클로의 샌드박스는 선택 사항에 불과하고, 사용자 수동 설정에 크게 의존한다. 대부분의 사용자는 기능 활용을 위해 이를 비활성화하게 되며, 그 결과 에이전트는 사실상 무방비 상태로 노출된다. 이처럼 취약하거나 악성 코드가 포함된 Skill이 설치될 경우, 심각한 보안 사고로 이어질 수 있다. 이번 연구를 바탕으로 CertiK은 다음과 같은 보안 권고를 제시했다. AI 에이전트 개발자는 샌드박스 격리를 기본값으로 강제 적용하고, Skill 권한을 세분화된 구조로 관리해야 하며, 서드파티 코드가 기본적으로 고권한을 상속받지 않도록 해야 한다. 일반 사용자에게는 Skill 마켓에서 ‘안전’ 표시가 있는 경우에도 이는 단지 위험이 발견되지 않았음을 의미할 뿐, 절대적인 안전을 보장하지 않는다는 점을 인지할 필요가 있다. 또한 오픈클로는 중요 데이터나 고가치 자산과 분리된 환경(유휴 장치 또는 가상 머신)에서 사용하는 것이 권장된다. 현재 AI 에이전트 산업은 급속한 성장 단계에 진입하고 있다. 그러나 생태계 확장 속도가 보안 수준을 앞질러서는 안 된다. 사전 검수는 초기 단계의 공격만 차단할 수 있을 뿐, 고권한 환경에서의 근본적인 보안 경계가 될 수 없다. CertiK은 “완벽한 탐지”가 아니라 “피해를 제한하는 구조”로의 전환이 필요하다고 강조한다. 실행 단계에서 강제적인 격리와 권한 통제가 이루어질 때에만, AI 에이전트 생태계의 보안 기반을 안정적으로 구축할 수 있다는 설명이다. ◈국내 최대 사이버위협 인텔리전스 컨퍼런스 K-CTI 2026 개최(4월 7일)-참가기업 모집(사전등록 접수중) ▲행사명: 제13회 대한민국 사이버위협·침해사고대응 인텔리전스 컨퍼런스(K-CTI 2026) ▲주최: 데일리시큐 ▲후원: 한국인터넷진흥원 / 한국정보보호산업협회 ▲대상: 전국 정부∙공공∙지자체∙교육기관∙금융기관∙의료기관∙일반기업 정보보안 책임자·실무자 (#정보보안과 관련 없는 자는 참석 불가) ▲일시: 2026년 4월 7일(화) ▲장소: 코엑스 3층 컨퍼런스룸E ▲인원: 정보보호 실무자 800여 명(현업 보안책임자/실무자만 참석 가능) ▲참가비: 무료 ▲점심/주차권: 제공하지 않습니다. ▲발표자료: 4월 6일 오후 2시 이후부터 다운로드 가능(프로그램란) ▲교육이수: 공무원 및 일반기업 보안교육 7시간/CPPG, CISSP 등 교육이수 7시간 인정 ▲참석확인증: 행사 종료후 설문지를 제출해 주신 참관객에게 메일로 일괄 발송 ▲사전등록마감: 2026년 4월 5일 오후 6시까지 ▲참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석 불가 ▲참관문의: 데일리시큐 길민권 기자 / [email protected] ▲사전등록: 클릭 ◈보안기업 모집중: 강연 및 전시 참가 국내외 보안기업 모집중 (문의: 데일리시큐 길민권 기자 / [email protected]