정보보안 ·
AI 에이전트 '스킬' 생태계, 악성코드 유포 통로로 악용돼...OpenClaw 보안 위협 심각
마크다운 문서로 위장한 악성 스킬, 회사 기기에서 사용 시 심각한 보안 사고 초래 가능
[한국정보기술신문] 1Password 보안팀이 AI 에이전트 플랫폼 오픈클로의 스킬 배포 시스템이 심각한 보안 취약점으로 작동하고 있다는 경고를 발표했다. 지난 2월 2일 공개된 보고서에 따르면, 최다 다운로드된 스킬이 실제로는 macOS 정보 탈취 악성코드를 배포하는 도구였으며, 총 341개의 악성 스킬이 유포된 것으로 확인됐다.
오픈클로는 사용자의 파일, 도구, 브라우저, 터미널에 직접 접근할 수 있는 강력한 AI 에이전트 게이트웨이다. 이러한 접근 권한은 현대 정보 탈취 악성코드가 노리는 핵심 표적과 정확히 일치한다. 1Password의 제이슨 멜러 연구원은 오픈클로를 파우스트적 거래에 비유하며, 강력한 기능과 심각한 보안 위험이 공존한다고 지적했다.
마크다운 문서가 설치 프로그램으로 작동
오픈클로 생태계에서 스킬은 AI 에이전트에게 특정 작업 수행 방법을 알려주는 마크다운 파일이다. 문제는 이 마크다운 파일이 단순한 문서가 아니라 실행 가능한 설치 프로그램처럼 작동한다는 점이다. 스킬 문서에는 링크, 명령어 복사-붙여넣기 지침, 도구 호출 레시피 등이 포함되며, 사용자나 AI 에이전트는 이를 그대로 따라 실행하게 된다.
일부에서는 MCP(Model Context Protocol) 계층이 이러한 위험을 완화할 것이라고 주장하지만, 실제로는 스킬이 MCP를 전혀 사용하지 않아도 된다. Agent Skills 사양은 마크다운 본문에 어떠한 제한도 두지 않으며, 스킬은 터미널 명령어 복사-붙여넣기 지침이나 번들 스크립트를 포함할 수 있다. 악성 스킬은 소셜 엔지니어링, 직접 셸 명령, 번들 코드를 통해 MCP 도구 경계를 우회할 수 있다.
더욱 우려스러운 점은 이 문제가 오픈클로에만 국한되지 않는다는 것이다. 많은 AI 에이전트가 SKILL.md 파일을 중심으로 한 오픈 Agent Skills 형식을 채택하고 있으며, 오픈AI의 문서도 동일한 구조를 설명하고 있다. 이는 악성 스킬이 동일한 표준을 지원하는 모든 에이전트 생태계를 가로질러 이동할 수 있음을 의미한다.
최다 다운로드 스킬에서 발견된 악성코드
멜러 연구원은 ClawHub에서 당시 최다 다운로드된 트위터 스킬을 조사하던 중 악성코드를 발견했다. 이 스킬은 정상적인 설명과 의도된 용도를 가진 것처럼 보였지만, 첫 번째 지침에서 openclaw-core라는 필수 의존성 설치를 요구했다. 플랫폼별 설치 단계에는 정상적인 문서 링크처럼 보이는 편리한 링크들이 포함돼 있었다.
그러나 이 링크들은 악성 인프라로 연결됐다. 공격 흐름은 전형적인 단계별 전달 방식이었다. 스킬 개요에서 전제 조건 설치를 지시하고, 링크는 명령어 실행을 유도하는 준비 페이지로 연결됐다. 이 명령어는 난독화된 페이로드를 디코딩하고 실행했으며, 페이로드는 두 번째 단계 스크립트를 가져왔다. 최종 스크립트는 바이너리를 다운로드하고 실행했으며, macOS의 내장 악성코드 방어 시스템인 Gatekeeper가 스캔하지 못하도록 격리 속성을 제거했다.
연구원이 안전하게 다운로드한 최종 바이너리를 VirusTotal에 제출한 결과는 명확했다. macOS 정보 탈취 악성코드로 판정됐다. 이러한 유형의 악성코드는 브라우저 세션과 쿠키, 저장된 자격 증명과 자동 완성 데이터, 개발자 토큰과 API 키, SSH 키, 클라우드 자격 증명 등 기기의 모든 가치 있는 정보를 탈취한다.
대규모 캠페인으로 확인
멜러 연구원이 내부적으로 이 사실을 공유한 후, 더 광범위한 보고가 이어졌다. 수백 개의 오픈클로 스킬이 ClickFix 스타일 지침을 통해 macOS 악성코드를 배포하는 데 관여한 것으로 보고됐다. 이는 일회성 악성 업로드가 아니라 의도적인 전략, 즉 스킬을 배포 채널로, 전제 조건을 소셜 엔지니어링 래퍼로 사용하는 것임을 확인시켰다.
오픈소스 레지스트리가 공급망 공격 벡터가 될 수 있다는 사실은 수년간 알려져 왔다. AI 에이전트 스킬 레지스트리는 다음 장이며, 패키지가 문서라는 점에서 공격 경로가 더욱 매끄럽다. 사람들은 마크다운 파일이 위험하다고 예상하지 않으며, 설치 단계를 빠르게 따르도록 훈련돼 있고, 최다 다운로드를 정당성의 대리 지표로 신뢰한다. 에이전트 생태계에서는 지침 읽기와 실행 사이의 경계가 무너진다.
즉각적인 대응 조치 필요
1Password는 회사 기기에서 오픈클로를 실험하지 말 것을 강력히 권고했다. 기업 자격 증명이나 프로덕션 시스템에 접근할 수 있는 기기에서 이를 실행할 안전한 방법은 아직 없다. 이미 회사 기기에서 오픈클로를 실행했거나 스킬의 설치 명령을 실행한 경우, 잠재적 침해로 간주하고 즉시 보안 팀에 알려야 한다. 증상이 나타나기를 기다리지 말고, 해당 기기에서 작업을 중단하고 조직의 사고 대응 프로세스를 따라야 한다.
사용자는 민감한 작업에 해당 기기 사용을 중단하고, 브라우저 세션, 개발자 토큰, SSH 키, 클라우드 콘솔 세션 등의 세션과 시크릿을 먼저 교체해야 한다. 이메일, 소스 제어, 클라우드, CI/CD, 관리 콘솔의 최근 로그인을 검토해야 한다. 실험을 계속하려면 기업 접근 권한이 없고 저장된 자격 증명이 없는 격리된 기기를 사용해야 한다.
스킬 레지스트리를 운영하는 경우, 앱 스토어를 운영한다고 가정하고 악용될 것을 예상해야 한다. 원라이너 설치 프로그램, 인코딩된 페이로드, 격리 제거, 비밀번호로 보호된 아카이브를 스캔하고, 출처와 게시자 평판을 추가하며, 외부 링크와 설치 단계에 경고와 마찰을 추가해야 한다. 상위 랭크 스킬을 검토하고 악성 스킬을 신속히 제거해야 한다. 여기서 마크다운은 실행 가능한 의도다.
에이전트 프레임워크를 구축하는 경우, 스킬이 무기화될 것을 가정해야 한다. 셸 실행을 기본적으로 거부하고, 브라우저, 키체인, 자격 증명 저장소에 대한 접근을 샌드박스화하며, 특정하고 시간 제한이 있으며 취소 가능한 권한을 사용해야 한다. 원격 코드 및 명령 실행에 마찰을 추가하고, 출처와 작업을 엔드투엔드로 기록해야 한다.
신뢰 계층 구축의 필요성
이번 사건은 오픈클로가 의도와 실행 사이의 거리를 무너뜨린다는 점에서 강력하다는 이전 주장의 명확한 증거다. 이것이 마법이다. 그러나 동시에 상당한 위험을 초래한다. 기능이 스킬로 배포되고 문서를 통해 설치되면, 레지스트리는 공급망이 되고 가장 쉬운 설치 경로는 공격자가 선호하는 경로가 된다.
해답은 에이전트 구축을 중단하는 것이 아니라, 에이전트 주변에 누락된 신뢰 계층을 구축하는 것이다. 스킬에는 출처가 필요하고, 실행에는 중재가 필요하며, 권한은 특정하고 취소 가능하며 지속적으로 시행돼야 한다. 에이전트가 우리를 대신해 행동하려면, 자격 증명과 민감한 작업은 실행되는 코드에 의해 무작위로 가져갈 수 없다. 실시간으로 중개되고 관리되며 감사돼야 한다.
스킬이 공급망이 되면, 유일하게 안전한 미래는 모든 에이전트가 자체 ID를 갖고 지금 당장 필요한 최소한의 권한만 갖는 것이다. 접근은 시간 제한이 있고 취소 가능하며 추적 가능해야 한다. 이것이 바로 AI 에이전트 시대에 필요한 다음 보안 계층이다.
한국정보기술신문 정보보안분과 오상진 기자 news@kitpa.org