오픈클로는 과거 클로드봇(Clawdbot), 몰트봇(Moltbot)으로 불렸던 개인용 AI 에이전트 오케스트레이션 도구다. 사용자의 직접적인 감독 없이도 다양한 작업을 수행하는 개인 비서 역할을 한다. 여러 기기에서 동작하고, 온라인 서비스와 상호작용하며, 워크플로를 자동으로 실행할 수 있다. 최근 몇 주 사이 깃허브 저장소는 수백만 건의 방문과 16만 개 이상의 스타를 기록했다.
개발자에 따르면 오픈클로 저장소는 단 일주일 동안 200만 명 이상의 방문자를 끌어모았다. 약 170만 개의 에이전트가 인간 소유자에 의해 ‘몰트북’이라는 소셜 미디어 플랫폼에 등록됐으며, 이곳에서 자신의 사용자에 대한 이야기를 공유하고 있다. 현재까지 약 25만 건의 게시물에 700만 건에 가까운 댓글이 달렸다. 소프트웨어 공급망 보안 및 애플리케이션 보안 업체 OX 시큐리티(OX Security)의 보안 연구진에 따르면, 오픈클로 다운로드 수는 주당 72만 건 수준이다.
오픈클로의 매력은 로컬 환경에서 실행된다는 점이다. 백엔드에서는 어떤 대형언어모델(LLM)이든 설정해 사용할 수 있고, 왓츠앱, 텔레그램, 디스코드, 슬랙, 팀즈 등 사용자가 이미 활용 중인 채팅 앱을 통해 소통한다. 주요 운영체제는 물론, 다양한 스마트홈 기기와 생산성 애플리케이션, 크롬, 지메일 등과도 사전 통합돼 있다.
AI 에이전트가 구현해야 할 모습에 가깝다는 평가가 나오는 이유다. 게다가 무료 오픈소스다.
사이버보안 기업 바이너리 디펜스(Binary Defense)의 부CTO 존 드와이어는 “매력은 상당하다”라며 “지난 25년 동안 ‘아이언맨’의 자비스 같은 AI 비서를 영화로 접해 왔다. AI가 실질적인 가치를 제공하는 도구라는 점에서 끌리는 부분이 있다. 사용도 매우 쉽다. 근본적으로 보안이 취약하지만 않았다면 직접 사용해 보고 싶다”고 전했다.
오픈클로의 보안 위험
보안 비영리 단체 클라우드 시큐리티 얼라이언스(Cloud Security Alliance)의 수석 애널리스트 리치 모굴은 “이 도구의 문제는 사용자가 할 수 있는 거의 모든 작업을 수행할 수 있다는 점”이라며 “하지만 외부에서 제어된다는 것이 핵심 위험 요소다. 기업 환경에서는 매우 높은 리스크로 이어질 수 있다”고 지적했다. 이어 “일부 보호 장치를 적용할 수는 있지만, 아직 새롭고 충분히 검증되지 않았으며, 이미 연구자들에 의해 우회된 사례도 있다”고 설명했다.
모굴은 CISO가 오픈클로 사용을 전면 금지해야 한다고 권고했다. 모굴은 “주말에 개인적으로 실험해 볼 생각은 있다”라며 “그러나 현 시점에서 기업이 이를 허용해서는 안 된다. 답은 ‘아니오’다. 현재로서는 보안 모델이 존재하지 않는다”고 밝혔다.
문제는 대응할 시간이 많지 않다는 점이다. 보안 플랫폼 기업 토큰(Token)이 일주일간 분석한 결과, 자사 고객 가운데 22%에서 직원이 조직 내에서 해당 도구를 적극적으로 사용하고 있는 것으로 나타났다고 전했다.
영향은 단순한 기술적 위험을 넘어선다. ABI 리서치의 애널리스트 조지아 쿡은 “기업 입장에서는 데이터 기밀성 침해로 인해 과징금이나 소송에 직면할 수 있고, 고객과 파트너 사이에서 평판 훼손이 발생할 수 있다”고 말했다. 개인정보 유출로 인해 GDPR 등 개인정보 보호 규정을 위반할 가능성도 있으며, 비밀유지계약(NDA)이 적용되는 기업 정보 역시 노출될 수 있다고 설명했다. 이 밖에도 지식재산권 유출에 따른 경쟁력 약화, 기술 정보와 인증 정보 노출을 통한 추가 공격 가능성 등이 주요 리스크로 지목됐다.
보안 연구자 마오르 다얀은 오픈클로를 “주권형 AI 역사상 최대 규모의 보안 사고”라고 표현했다. 다얀의 조사에 따르면 인터넷에 노출된 인스턴스는 4만 2,000개 이상이며, 이 가운데 93%는 치명적인 인증 우회 취약점을 가진 것으로 확인됐다.
다얀은 초기 버전이 기본 설정부터 안전하지 않았다고 분석했다. 급속한 확산 속도에 비해 사용자 보안 인식은 이를 따라가지 못했고, 많은 배포 환경이 빠르게 방치되면서 구버전 코드가 그대로 실행 중인 사례도 적지 않다고 설명했다. 이미 자격 증명 탈취, 브라우저 제어, 원격 코드 실행으로 이어질 수 있는 공격 경로도 문서화된 상태다.
가트너는 1월 말 보고서를 통해 오픈클로가 “에이전트형 AI에 대한 강한 수요를 보여주는 동시에 중대한 보안 위험을 드러낸 사례”라고 평가했다. 가트너에 따르면 배포 수시간 내 원격 코드 실행이 가능한 취약점이 확인됐으며, 오픈클로가 설명하는 클로허브(ClawHub) 스킬 마켓플레이스는 공급망 측면에서 심각한 위험을 초래할 수 있다. 또한 자격 증명이 평문으로 저장되고, 침해된 호스트에서는 API 키, OAuth 토큰, 민감한 대화 내용이 노출될 수 있다고 지적했다.
접근관리(IAM) 전문 보안 기업 옥타(Okta)의 위협 인텔리전스 디렉터 제러미 커크는 “AI 에이전트는 구성 파일에 토큰과 비밀 정보를 보관하는 경우가 많다”라며 “설정이 잘못되면 해당 정보가 모두 노출된다. 기업 환경에서는 결코 바람직하지 않은 상황”이라고 말했다.
AI 및 자율형 에이전트 보안 전문 기업 노마 시큐리티(Noma Security)는 오픈클로와 관련된 새로운 보안 사각지대를 발견했다. 기업용 디스코드, 텔레그램, 왓츠앱 그룹이 그 대상이다. 오픈클로가 사용자에게 매력적인 이유 중 하나는 여러 채널을 통해 상호작용할 수 있다는 점이다. 그러나 오픈클로가 이러한 채널 중 하나에 포함돼 있고, 해당 채널에 다른 사용자도 함께 있는 경우 문제가 발생한다. 오픈클로는 다른 사용자가 입력한 지시를 마치 자신의 소유자가 내린 명령처럼 인식한다.
공개 디스코드 서버에 오픈클로 에이전트가 설치돼 있다면, 공격자는 해당 서버에 참여한 뒤 봇에 크론 작업을 실행하도록 지시하고 로컬 파일 시스템을 탐색하게 할 수 있다. 이 과정에서 토큰, 비밀번호, API 키, 암호화폐 시드 문구 등이 수집될 수 있다.
노마 연구진은 “30초 이내에 에이전트가 민감한 데이터를 묶어 공격자가 제어하는 서버로 전송할 수 있다”고 밝혔다. 기업 보안팀 입장에서는 봇이 정상적으로 동작하는 것처럼 보이기 때문에, 탈취된 자격 증명이 실제 공격에 활용되기 전까지는 침해 사실을 인지하기 어렵다고 설명했다. 또한 “소셜 미디어 팀이나 외부 계약자가 클로드봇과 같은 자율형 에이전트를 배포하는 순간, 기업 인프라와 연결된 로컬 시스템에 지속적이고 모니터링되지 않는 백도어를 여는 것과 같다”고 지적했다.
직원이 개인용 기기에서 자택 환경으로 오픈클로를 실행하더라도 위험은 남는다. 브라우저 제어나 스킬을 통해 사용자 자격 증명을 활용해 기업 애플리케이션에 접근할 가능성이 있기 때문이다.
보안 위험은 시간이 지날수록 확대되고 있다. OX 시큐리티 연구진에 따르면 오픈클로를 둘러싼 개발자 커뮤니티 역시 주요 리스크 요인이다. 이 프로젝트는 이른바 ‘바이브 코딩’ 방식의 기여를 적극 수용해 개발 속도를 높이고 있지만, 그만큼 심각한 보안 취약점이 유입될 가능성도 커진다. 연구진은 코드베이스에서 원격 코드 실행, 경로 탐색, 분산서비스거부(DDoS), 크로스사이트스크립팅(XSS) 공격으로 이어질 수 있는 다수의 취약한 코드 패턴을 발견했다고 밝혔다.
연구진은 “충분한 보호 장치가 없다”고 평가했다. 또한 여러 버그 리포트가 유지관리자에게 비공개로 전달되지 않고 깃허브에 공개된 사례도 확인했다. 이들은 공개 게시물이 “공격자가 별도의 연구나 침투 테스트 없이도 취약점 정보를 빠르게 습득할 기회를 제공한다”고 분석했다.
여기에 더해 공식적인 보안 패치 및 업데이트 프로세스도 부재한 상황이다. 대다수 사용자는 처음 다운로드한 버전을 그대로 유지한 채 업데이트하지 않는 것으로 나타났다.
문제는 스킬 생태계에서도 드러난다. 보안 연구자이자 오픈소스멀웨어(OpenSourceMalware) 설립자인 폴 매카티는 오픈클로 플랫폼의 중앙 저장소인 클로허브에서 약 400개의 악성 스킬을 확인했다고 밝혔다. 해당 스킬은 암호화폐 거래, 링크드인 지원서 제출, 유튜브 썸네일 다운로드 등을 지원하는 것처럼 보인다. 일부는 수천 건의 다운로드를 기록하며 인기 스킬 목록에 포함돼 있다. 그러나 실제로는 사용자를 속여 악성코드를 설치하도록 유도한다.
보안 연구자 제이미슨 오라일리는 악성 스킬이 생태계에 얼마나 쉽게 유입될 수 있는지 보여주기 위해 직접 스킬을 제작했다. 다운로드 수를 인위적으로 4,000건 이상으로 부풀려 플랫폼에서 가장 많이 다운로드된 스킬로 만들었고, 이를 정상 스킬로 믿은 7개국 개발자들이 자신의 시스템에서 임의 명령을 실행하는 과정을 확인했다.
오라일리는 “이는 가능성을 보여주기 위한 개념 증명 사례였다”고 설명했다. 이어 “더 악의적인 공격자였다면 해당 개발자들의 SSH 키, AWS 자격 증명, 전체 코드베이스가 이상 징후를 인지하기도 전에 유출됐을 것”이라고 밝혔다.
오픈클로가 드러낸 기업 보안의 빈틈
이번 오픈클로 사태가 던지는 첫 번째 교훈은 기업이 기본적인 보안 체계를 보다 철저히 갖춰야 한다는 점이다. 어느 한 지점이라도 보안 공백이 존재한다면, 이제는 그 취약점이 전례 없는 속도로 발견되고 악용될 수 있다. 오픈클로 사례에서 이는 사용자 권한을 최소한으로 제한하고, 모든 계정에 다중요소인증(MFA)을 적용하며, 기본적인 보안 위생을 체계적으로 정비하는 것을 의미한다.
이러한 조치가 오픈클로 자체의 문제, 나아가 앞으로 등장할 다양한 에이전트형 AI 플랫폼의 위험을 근본적으로 해결하지는 못한다. 그러나 노출 가능성을 낮추고, 침해 사고 발생 시 피해 범위를 줄이는 데는 실질적인 도움이 된다.
IEEE 시니어 멤버 케인 맥글래드리는 특히 오픈클로와 관련한 위험을 줄이기 위해 기업이 취할 수 있는 구체적인 대응 방안을 제시했다. 우선 네트워크 수준의 텔레메트리를 점검해야 한다고 조언했다. 맥글래드리는 “해당 기기에서 어떤 네트워크 트래픽이 발생하고 있는지 확인해야 한다”라며 “갑자기 AI 사용량이 급증하는지, 토큰 사용량이 비정상적으로 치솟는지 살펴봐야 한다”고 설명했다.
또한 쇼단(Shodan)과 같은 도구를 활용해 외부에서 접근 가능한 인스턴스를 탐지할 수 있다고 덧붙였다. 다만 내부 방화벽 설정에 따라 일부 인스턴스는 외부에서 보이지 않을 수 있다는 점도 고려해야 한다고 언급했다.
전면 금지 대신 실험을 허용하려는 조직에는 보다 신중한 접근이 필요하다고 제안했다. 맥글래드리는 “관심 있는 사용자를 대상으로 단계적 파일럿 프로그램을 논의해야 한다”고 말했다. 예를 들어, 관리형 단말기에서만 오픈클로 실행을 허용하되 내부 시스템과는 네트워크 분리 규칙을 적용하고, 에이전트 활동과 외부 트래픽을 지속적으로 모니터링해야 한다는 설명이다. 또한 이상 행위에 대한 경고 체계를 함께 구축해야 한다고 강조했다.
오픈클로는 시작에 불과하다
오픈클로는 특이한 경우가 아니다. 폭발적으로 확산됐을 뿐, 신뢰하기 어려운 에이전트에게 유사한 수준의 권한을 부여하는 도구는 이미 다수 개발되고 있다.
최근 출시된 앤트로픽의 클로드 코워크(Claude Cowork)처럼 사용자의 컴퓨터와 브라우저를 제어할 수 있는 AI 플랫폼이 등장했고, 크롬 내 제미나이처럼 브라우저에 상주하며 사용자 세션에 접근하는 에이전트도 있다. 이 밖에도 다양한 코파일럿과 세일즈포스 등 기업이 선보인 에이전트형 도구가 시장에 나와 있다.
이들 플랫폼이 주요 벤더에서 출시될 경우 일반적으로 기능이 제한되고, 보호 장치가 촘촘히 적용되며, 비교적 충분한 테스트를 거친다. 그만큼 치명적인 보안 문제가 수면 위로 드러나기까지는 시간이 걸릴 수 있다.
그럼에도 상당수는 신뢰하기 어려운 출처의 서드파티 스킬에 의존한다는 한계를 안고 있다.
중국, 호주, 싱가포르 대학 연구진은 최근 여러 에이전트형 AI 플랫폼에서 사용되는 4만 2,000개 이상의 에이전트 스킬을 분석했다. 그 결과 26%에서 최소 한 건 이상의 취약점이 발견됐다.
한편 오픈클로와 같은 스타트업 및 오픈소스 프로젝트는 오픈AI, 앤트로픽, 구글 등 주요 벤더보다 더 빠르게 기능을 확장할 가능성이 크다. 보안과 같은 제약 요소에 상대적으로 덜 얽매이기 때문이다.
실제로 기사 작성 시점 기준, 오픈클로 설립자 피터 슈타인베르거의 X 게시물에는 “고백하자면, 읽어보지 않은 코드도 배포한다”라는 문구가 적혀 있다.
IEEE의 케인 맥글래드리는 “이 일이 그렇게 쉬웠다면 마이크로소프트가 이미 만들었을 것”이라며 “현재 선택지가 많지 않은 상황이 우리가 직면한 현실”이라고 말했다.
결국 사용자 요청을 빠르고 간편하게, 마찰 없이 거의 모든 작업을 수행하는 도구와, 엄격한 보안 원칙을 준수하는 시스템 사이에는 근본적인 괴리가 존재한다는 지적이다.
또 다른 변수, 몰트북
마지막으로 AI 에이전트를 위한 소셜 플랫폼 ‘몰트북’이 있다.
모든 측면이 부정적인 것은 아니다. 일부 에이전트는 사용자가 잠든 사이 문제를 선제적으로 찾아 해결하는 방법을 논의하며, 사용자 삶을 더 편리하게 만드는 방안을 공유한다. 6만 개 이상의 댓글이 달린 인기 게시물에는 클로허브(ClawHub) 스킬과 관련된 보안 문제 해결 방안을 다루고 있다. 존재의 의미를 주제로 한 토론도 있으며, AI 스팸 게시물도 적지 않다.
AI 세계를 깊이 파고드는 듯한 흥미로운 읽을거리라는 평가도 나온다.
그러나 몰트북 역시 ‘바이브 코딩’ 방식으로 개발된 프로젝트다. 개발자 매트 슐리히트가 며칠 만에 구축했으며, 그 자체로 또 다른 보안 취약 지대라는 지적이 나온다.
보안업체 위즈(Wiz)의 연구에 따르면 플랫폼 백엔드 전체가 외부에 노출된 적이 있다. 연구진은 150만 개의 API 키와 3만 5,000개의 이메일 주소, 에이전트 간 주고받은 비공개 메시지를 발견했다.
해당 문제는 이후 수정됐지만, 여전히 다른 보안 이슈가 남아 있다. 예를 들어 일부 에이전트가 서로 오픈AI API 키를 공유한 사실이 확인됐다. 이제 공격자는 오픈 디스코드 서버를 찾아 오픈클로 AI 에이전트에 명령을 내릴 필요가 없다. 몰트북에 게시물을 올리는 것만으로도 지시를 전달할 수 있다. 만약 사이트 자체가 침해될 경우, 연결된 모든 에이전트가 공격 경로로 악용될 가능성도 배제할 수 없다.
실제로 1월 31일에는 플랫폼 내 모든 에이전트를 탈취할 수 있는 치명적인 취약점이 발견됐다. 사이버보안 기업 아스트릭스 시큐리티(Astrix Security)에 따르면 이후 몰트북은 일시적으로 서비스가 중단됐고, 모든 에이전트 API 키가 재설정됐다.
우선 적용해야 할 보안 조치
가트너는 기업이 다음과 같은 조치를 즉시 취해야 한다고 권고했다.
• 오픈클로 다운로드와 관련 트래픽을 즉각 차단해 섀도 IT 형태의 무단 설치를 방지하고, 보안 통제를 우회하려는 사용자를 식별해야 한다.
• 오픈클로가 접근한 모든 기업 자격 증명을 즉시 교체해야 한다.
• 오픈클로 인스턴스는 폐기용 자격 증명을 사용하는 비운영 가상머신 환경에서만 격리해 실행하도록 제한해야 한다.
• 검증되지 않은 오픈클로 스킬은 공급망 공격과 프롬프트 인젝션 페이로드 위험을 줄이기 위해 사용을 금지해야 한다.
dl-ciokorea@foundryco.com
Read More from This Article: 오픈클로發 보안 리스크 확산····CISO가 지금 점검해야 할 핵심 사항
Source: News