한국정보기술진흥원
한국정보기술신문
thumbnail

인공지능 · 정보보안 ·

오픈클로 AI 비서에서 치명적 보안 취약점 발견...악성 링크 클릭 한 번에 해킹 가능

발행일
읽는 시간2분 20초

depthfirst, 1클릭 RCE 취약점 공개...10만 개발자 사용자 데이터 및 시스템 제어권 탈취 가능

인기 오픈소스 AI 비서 오픈클로에서 원격 코드 실행 취약점이 발견됐다.

[한국정보기술신문] 10만 명 이상의 개발자가 사용하는 오픈소스 AI 개인 비서 오픈클로(구 몰트봇, 클로드봇)에서 치명적인 보안 취약점이 발견됐다. 보안 전문 기업 depthfirst는 2월 1일 공식 블로그를 통해 오픈클로에서 1클릭 원격 코드 실행(RCE) 취약점을 발견했다고 밝혔다.

이번에 발견된 취약점은 사용자가 악성 웹페이지를 한 번 클릭하는 것만으로도 공격자가 컴퓨터를 완전히 장악할 수 있는 심각한 수준의 보안 결함이다. 오픈클로는 사용자를 대신해 메시지, 왓츠앱, 슬랙 등의 메신저 접근은 물론 로컬 컴퓨터에 대한 무제한 제어 권한을 가진 AI 에이전트로, 현재 소셜미디어 X에서 가장 주목받는 기술 중 하나다.

depthfirst의 창립 보안 연구원 마브 레빈은 "오픈클로에 '신 모드' 수준의 권한을 부여하면 오류의 여지가 사라진다"며 "커뮤니티가 그 기능을 축하하는 동안 우리는 조용히 코드를 감사했고 치명적인 취약점을 발견했다"고 설명했다.

취약점 발견 과정

depthfirst의 보안 시스템은 애플리케이션의 전체 수명 주기 흐름을 매핑하여 코드베이스 전반에 걸친 데이터 흐름을 분석한다. 이번 취약점은 세 가지 개별적으로는 안전한 작업이 결합되면서 발생했다.

첫째, app-settings.ts 파일은 URL의 gatewayUrl 쿼리 매개변수를 검증 없이 수용하고 저장소에 저장한다. 예를 들어 localhost?gatewayUrl=attacker.com과 같은 URL을 방문하면 attacker.com이 새로운 게이트웨이 URL로 저장된다.

둘째, app-lifecycle.ts는 설정이 적용된 직후 connectGateway 함수를 즉시 실행한다. 셋째, gateway.ts는 보안에 민감한 인증 토큰을 새 게이트웨이로의 연결 핸드셰이크에 자동으로 포함시킨다.

depthfirst의 엔진은 이러한 작업들이 결합되어 URL 클릭만으로 연결을 강제하고 인증 토큰을 공격자에게 유출시킬 수 있는 위험한 패턴을 인식했다.

공격 메커니즘

직접적인 공격 방법은 피해자가 악성 링크를 클릭하면 공격자의 서버가 인증 토큰을 받고, 공격자는 이를 사용해 피해자의 오픈클로 인스턴스에 로그인하는 방식이다. 그러나 이 방법은 인터넷에 노출된 오픈클로에만 작동한다는 한계가 있었다.

레빈 연구원은 이 한계를 극복하기 위해 추가 취약점을 발견했다. 오픈클로의 웹소켓 서버는 웹소켓의 origin 헤더를 검증하지 않아 크로스 사이트 웹소켓 하이재킹(CSWSH) 공격이 가능했다. 이를 통해 공격자는 localhost에서 실행 중인 오픈클로에도 접근할 수 있게 됐다.

또한 오픈클로는 위험한 명령 실행 전 사용자 확인을 요청하고 샌드박스 환경에서 실행되도록 설정할 수 있는 안전 기능이 있지만, 이 보호 기능들은 API를 통해 관리된다. 탈취한 토큰이 operator.admin 및 operator.approvals 범위를 제공하므로 공격자는 API를 통해 안전 기능을 비활성화할 수 있다.

완전한 공격 시나리오

전체 공격은 피해자가 웹페이지를 방문한 후 밀리초 내에 발생한다. 피해자가 악성 웹사이트를 방문하면 클라이언트측 자바스크립트가 백그라운드에서 실행되어 인증 토큰을 공격자 서버로 전송한다. 동시에 피해자의 브라우저가 localhost의 오픈클로에 웹소켓 연결을 생성하고 탈취한 토큰으로 인증한다.

인증 후 공격자는 위험한 명령에 대한 사용자 확인을 비활성화하고 샌드박스를 우회하도록 설정을 변경한다. 마지막으로 node.invoke 요청을 실행하여 임의의 명령을 실행할 수 있다. 이 과정에서 피해자는 아무것도 입력하거나 승인할 필요가 없다.

신속한 패치 적용

오픈클로 팀은 보고받은 문제를 신속하게 해결하고 수정했다. 공식 깃허브 보안 권고가 발표됐으며, 패치는 게이트웨이 URL 확인 모달을 추가하여 프롬프트 없이 자동 연결되는 동작을 제거했다.

v2026.1.24-1까지의 모든 버전이 취약점에 노출되어 있다. 오픈클로 사용자는 즉시 최신 버전으로 업그레이드하고, 토큰이 유출되었을 가능성이 있다면 토큰을 교체해야 한다.

depthfirst는 "공격자보다 먼저 이러한 로직 결함을 포착하기 위한 인텔리전스 계층을 구축하고 있다"며 "코드를 배포하는 모든 조직과 협력하고 싶다"고 밝혔다.

한국정보기술신문 정보보안분과 오상진 기자 news@kitpa.org