OpenClaw ClawJacked: 단 하루 만에 패치된 치명적 AI 게이트웨이 취약점

1. 취약점의 개요와 핵심 공격 시나리오

2026년 2월, 보안 기업 Oasis Security는 OpenClaw의 핵심 게이트웨이 시스템에서 심각한 취약점을 발견했다. 이 취약점은 발견 즉시 ‘ClawJacked’로 명명되었으며, 국제 CVE 등급으로 분류될 만큼 치명적인 것으로 평가받았다.

공격의 메커니즘

공격의 핵심은 OpenClaw가 기본으로 제공하는 로컬 WebSocket 서버에 있다. 일반적으로 웹 애플리케이션은 브라우저의 동일 출처 정책으로 악의적인 타 도메인의 요청을 차단하지만, WebSocket 연결은 이 규칙의 적용을 받지 않는다. 공격자는 사용자가 악성 웹사이트를 방문하기만 하면 브라우저 내 JavaScript를 통해 사용자의 로컬 OpenClaw 게이트웨이와 WebSocket 연결을 시도할 수 있다.

더 큰 문제는 게이트웨이에 패스워드 무차별 대입(브루트포스) 공격을 막기 위한 속도 제한(rate-limiting) 기능이 없었다는 점이다. 이 때문에 자동화된 스크립트로 다양한 비밀번호 조합을 지속해서 시도해 약한 비밀번호를 사용하는 사용자는 순식간에 인증 체계가 뚫릴 수 있었다.

완전한 권한 탈취의 결과

인증이 성공하면 공격자는 새로운 디바이스 등록 요청을 보내게 된다. 로컬 연결은 추가 확인 없이 자동 승인이 이뤄졌고, 사용자는 알림도 받지 못한 채 악성 스크립트에 완전한 권한이 넘어갔다. 이후 공격자는 AI 에이전트의 전체 제어, 설정 정보 유출, 연결된 노드 열람, 로그 탈취 등 다양한 악의적 행위를 자유롭게 할 수 있었다.

2. 브라우저·로컬호스트 신뢰의 위험과 실제 피해 가능성

많은 개발자와 사용자는 ‘localhost’나 ‘127.0.0.1’ 환경이 외부 공격으로부터 안전하다고 믿는다. 하지만 ClawJacked 취약점은 이 신뢰가 잘못되었음을 명확히 보여준다.

브라우저는 HTTP 요청에 대해서는 동일 출처 정책을 강제하지만 WebSocket 연결에는 예외가 있다. 웹사이트에서 실행되는 JavaScript가 사용자의 브라우저를 통해 로컬 호스트 WebSocket 서버에 자유롭게 연결할 수 있어, 설계적인 보안 허점이 발생한다.

현실적인 위협 시나리오

이 취약점의 현실적 위험은 사용자가 단 한 번이라도 악성 웹사이트를 방문할 경우 곧바로 공격이 개시된다는 점이다. 사용자가 브라우저를 열어둔 채 다른 작업을 해도 공격은 진행된다. 특히 비밀번호가 강하더라도 시간이 충분하다면 언젠가 뚫릴 수 있으며, 속도 제한이 없던 초기 버전에서는 무한 반복 공격이 가능했다.

만약 기업용 AI 개발 서버가 이 취약점에 노출된다면 내부 시스템 전체가 침해당하고 개인 개발자의 AI 에이전트 또한 탈취될 수 있어, 데이터 유출, 업무 방해 등 심각한 피해로 이어질 수 있다.

3. 패치 내역과 업계 반응, 개발자 주의사항

24시간 만의 긴급 패치

Oasis Security의 긴급 제보 직후, OpenClaw 개발팀은 단 24시간 만에 취약점 패치를 신속하게 배포했다. 2026년 2월 26일 배포된 버전 2026.2.25에는 다음 보안 개선 사항이 포함됐다.

• 인증 시도에 대한 속도 제한(rate-limiting) 적용
• 새 디바이스 등록 시 사용자 확인 알림 추가
• WebSocket 연결에 대한 추가 검증 강화

OpenClaw 개발팀은 전체 사용자에게 즉시 업데이트를 권고했다. 로컬에서 AI 에이전트를 운영하는 개발자는 반드시 최신 버전을 유지해야 한다.

설계적 한계의 본질적 문제

그러나 전문가들은 이번 패치가 근본적인 구조적 한계를 완전히 해결하지는 못했다고 지적한다. 브라우저에서 로컬 서버로의 WebSocket 연결 허용이라는 설계 자체가 보안 허점으로 남아 있기 때문이다. 비밀번호 속도 제한, 알림 강화는 임시방편에 지나지 않으며, 지속적으로 진화하는 공격에 대비한 근본적 대책이 필요하다.

보안 전문가들은 로컬 AI 서버의 외부 접근 차단, 네트워크 수준의 방화벽 적용, 더 강력한 사용자 인증 등을 추가할 것을 권고한다.