오픈클로 소프트웨어서 권한 상승 보안 취약점 발견...CVE-2026-33579, CVSS 8.6점 고위험...즉시 패치 적용 권고

[한국정보기술신문] 미국 국가취약점데이터베이스(NVD)는 3일 오픈클로(OpenClaw) 소프트웨어에서 권한 상승 공격이 가능한 심각한 보안 취약점을 공개했다고 4일 확인됐다. 해당 취약점은 CVE-2026-33579로 분류되며, CVSS 4.0 기준 8.6점의 고위험 등급을 받았다.

이번에 발견된 취약점은 CWE-863(잘못된 인증) 유형의 권한 상승 버그다. 공격자가 기기 페어링 권한만 보유하고 있어도 관리자 권한이 필요한 작업을 수행할 수 있는 심각한 설계 결함이 확인됐다.

취약점의 핵심은 '/pair approve' 명령 경로에서 호출자의 승인 검사 범위가 제대로 검증되지 않는다는 점이다. 이로 인해 일반 페어링 권한을 가진 사용자가 관리자 접근 권한을 포함한 광범위한 권한을 요구하는 대기 중인 기기 요청을 승인할 수 있다.

이 취약점은 네트워크를 통한 원격 공격이 가능하며, 복잡도가 낮아 쉽게 악용될 수 있다. CVSS 3.1 기준으로도 8.1점의 고위험 등급을 받았으며, 공격 벡터가 네트워크(AV:N)이고 공격 복잡도가 낮음(AC:L)으로 평가됐다.

취약점이 발견된 코드 파일은 'extensions/device-pair/index.ts'와 'src/infra/device-pairing.ts'로 확인됐다. 두 파일 모두 기기 페어링 과정에서의 권한 검증 로직에 문제가 있는 것으로 분석됐다.

이번 취약점은 2026년 3월 28일 이전에 릴리스된 모든 오픈클로 버전에 영향을 미친다. 개발팀은 해당 날짜에 보안 패치를 포함한 새 버전을 배포했으며, 사용자들에게 즉시 업데이트할 것을 권고하고 있다.

패치 내용은 깃허브 커밋(e403decb6e20091b5402780a7ccd2085f98aa3cd)을 통해 공개됐으며, 권한 검증 로직이 강화된 것으로 확인됐다. 보안 전문가들은 해당 소프트웨어를 사용하는 조직들이 신속하게 패치를 적용하고 시스템 로그를 점검할 것을 당부했다.

이번 취약점은 3월 31일 오전 11시 16분에 CVE로 접수된 후 같은 날 오후 2시 16분 VulnCheck에 의해 CVSS 점수가 수정됐고, 4월 1일 오후 3시 7분 NIST의 초기 분석이 완료되는 등 비교적 신속하게 처리됐다.

오픈클로 개발팀의 빠른 패치 배포와 보안 커뮤니티의 협조로 대규모 보안 사고는 방지된 것으로 평가되고 있다. 하지만 여전히 구버전을 사용하는 시스템들이 공격 대상이 될 수 있어 지속적인 주의가 필요한 상황이다.