보안 기업들이 오픈소스 특성상 기본 보안이 취약하다고 지적해온 오픈클로(OpenClaw)가 바이러스토털(VirusTotal)의 악성코드 스캔 기능을 클로허브(ClawHub) 스킬 마켓플레이스에 도입했다. 최근 몇 주 동안 보안 위협 요소가 포함된 확장 기능과 기업 내에서 IT 승인 없이 사용된 사례가 잇따라 확인되자, 이에 대한 대응 차원에서 보안 강화를 위한 조치가 이뤄졌다. 바이러스토털은 파일과 코드, URL의 악성 여부를 분석하는 글로벌 위협 인텔리전스 서비스로, 구글이 운영하는 보안 플랫폼이다.
오픈클로 설립자 피터 스타인버거와 보안 자문 제이미슨 오라일리, 바이러스토털의 베르나르도 킨테로가 공동 발표한 내용에 따르면, 이번 통합으로 클로허브에 게시되는 모든 스킬은 다운로드 제공 전에 자동으로 스캔된다. ‘양성(benign)’ 판정을 받은 스킬은 자동 승인되며, 의심(suspicious)으로 분류된 경우 경고가 표시된다. 악성으로 판단된 스킬은 즉시 차단되고, 활성화된 모든 스킬은 매일 재검사를 받는다.
보도자료에서 두 기업은 “오픈클로 생태계가 성장할수록 공격 표면도 함께 확대되고 있다”라며 “AI 에이전트 플랫폼을 악용하려는 악성 행위자의 시도가 이미 문서로 확인됐다. 더 큰 문제가 되기를 기다리지 않겠다”라고 설명했다.
애플리케이션 보안 전문 기업 비글 시큐리티(Beagle Security)의 자문위원 수닐 바키는 이번 통합을 두고 “이미 알려진 악성코드를 걸러내는 합리적이고 환영할 만한 조치”라고 평가했다. 그는 “대부분의 공격은 비용이 많이 드는 제로데이 개발보다는 기존에 알려진 악성코드 재사용에 의존한다”며 “이미 검증된 악성 요소를 차단하는 것만으로도 공격 난도를 실질적으로 높이고 마켓플레이스의 보안 위생을 개선할 수 있다”라고 전했다.
스캔 작동 방식
이번 시스템은 구글의 제미나이를 기반으로 한 바이러스토털의 코드 인사이트(Code Insight)를 활용해 스킬 패키지 전체를 분석하고 악성 행위를 탐지한다.
오픈클로는 블로그에서 “이 기능은 스킬이 무엇을 한다고 주장하는지만 보는 것이 아니라, 보안 관점에서 코드가 실제로 어떤 동작을 수행하는지를 요약한다”라며 “외부 코드를 내려받아 실행하는지, 민감한 데이터에 접근하는지, 네트워크 작업을 수행하는지, 또는 에이전트를 위험한 행동으로 유도할 수 있는 지시를 포함하고 있는지를 분석한다”라고 설명했다.
개발자가 클로허브에 스킬을 게시하면, 플랫폼은 SHA-256 해시를 생성해 이를 바이러스토털 데이터베이스와 대조한다. 일치 항목이 없을 경우 전체 번들을 업로드해 코드 인사이트 분석을 진행한다. 발표에 따르면 이번 통합에는 바이러스토털이 허깅페이스의 AI 모델 저장소에 제공하는 것과 동일한 기술이 적용됐다.
대응에 나선 배경
이번 스캔 도입은 최근 2주간 여러 보안 기업이 기록한 일련의 보안 사고 이후 이뤄졌다. 보안 스타트업 코이 시큐리티(Koi Security)는 2월 1일 클로허브에 등록된 2,857개 스킬 전체를 감사한 결과, ‘클로하복(ClawHavoc)’으로 명명한 캠페인에서 341개의 악성 스킬을 발견했다.
암호화폐 도구와 유튜브 유틸리티로 위장한 이 스킬들은 가짜 사전 요구사항을 포함하고 있었으며, 이를 통해 키로거와 원자적 맥OS 스틸러(Atomic macOS Stealer) 악성코드를 설치했다. 해당 악성코드는 암호화폐 지갑, 브라우저 데이터, 시스템 자격 증명을 수집할 수 있는 것으로 파악됐다. 코넬대는 논문을 통해 전체 패키지의 26%에 취약점이 포함돼 있다고 분석하며, 보안 관점에서 오픈클로를 ‘절대적인 악몽”’이라고 평가했다. 보안 기업 토큰 시큐리티(Token Security)는 자사 기업 고객의 22%에서 직원들이 IT 승인 없이 이 에이전트를 실행하고 있다고 밝혔다.
가트너의 1월 30일 분석에 따르면, 보안 벤더 노마(Noma)는 단 한 주말 동안 자사 기업 고객의 53%가 오픈클로에 특권 접근 권한을 부여했다고 보고했다. 가트너는 오픈클로를 “기업 생산성을 위한 자율형 AI의 강력한 시연이지만, 용납할 수 없는 사이버보안 책임”이라고 규정했다. 이어 기업에 “오픈클로 다운로드와 트래픽을 즉시 차단하라”고 권고하며, 섀도 배포가 “침해된 호스트가 API 키, OAuth 토큰, 민감한 대화를 공격자에게 노출시키는 단일 장애 지점”을 만든다고 설명했다.
오픈클로는 1월 말 깃허브 스타 15만 개를 넘기며 소셜미디어를 중심으로 빠르게 확산됐다. 2025년 11월 출시된 이 플랫폼은 상표권 분쟁으로 두 차례 리브랜딩을 거쳤으며, 커뮤니티가 개발한 ‘스킬’이 에이전트의 도구와 데이터에 전체 접근 권한을 갖고 실행되는 구조를 제공한다. 이 같은 아키텍처가 바로 클로하복 공격에 악용됐다.
dl-ciokorea@foundryco.com
Read More from This Article: “안전하지 않다”는 경고에 응답···오픈클로, 클로허브에 악성코드 스캔 도입
Source: News