OpenClaw ClawJacked 취약점 분석: 악성 웹사이트가 나의 AI 에이전트에 침투할 수 있었던 이유와 대응법

1. 로컬 AI 에이전트, 왜 해킹 표적이 됐나?

AI 개발 환경에서 OpenClaw와 같은 로컬 AI 에이전트는 높은 권한을 가지고 사용자의 시스템에 밀접하게 연결된다. 과거에는 인터넷을 직접적으로 통하지 않는다는 점에서 상대적으로 안전하다고 여겨졌으나, 점차 다양한 플러그인, API, 내부 네트워크 연결 등으로 공격 표면이 넓어지고 있다. 특히 개발자·파워 유저 대상 AI 도구는 시스템 제어, 자동화, 내부 데이터 접근 권한까지 요청하는 경우가 많아 보안상 허점이 존재하면 그 위험도가 매우 커진다. 이처럼 로컬에서 구동되는 AI 플랫폼이 악성 웹사이트 방문만으로 해킹될 수 있다는 사실은, 더 이상 로컬 애플리케이션이 절대적으로 안전하지 않다는 점을 시사한다.

2. ClawJacked 취약점 기술 상세 및 공격 시나리오

ClawJacked 취약점은 OpenClaw의 핵심 게이트웨이 시스템에서 발견되었다. 악성 사이트에 접속한 사용자의 브라우저에서 JavaScript가 실행되면, 로컬호스트(127.0.0.1)에 열려있는 OpenClaw의 WebSocket 포트로 직접 연결을 시도한다. 이 과정에서 OpenClaw 게이트웨이가 브라우저 내 연결 요청을 신뢰 기반으로 우회·허용하는 탓에, 공격자는 원격에서 게이트웨이 비밀번호를 무차별 대입(brute force) 방법으로 알아낼 수 있었다. 비밀번호 탈취에 성공한 후에는 새로운 외부 디바이스를 등록하고, 이를 통해 OpenClaw 에이전트의 모든 제어권(명령 실행, 파일 접근, 개인정보 수집 등)을 획득할 수 있다. 실제론 개발자 또는 사용자가 악성 사이트에 방문하도록 유도한 후, 브라우저 기반 WebSocket 공격을 통해 이 일련의 공격이 순식간에 이루어졌다.

복합적 공격 방식의 위험

이 취약점은 취약한 신뢰 모델뿐만 아니라, 사회공학적 공격(개발자 사이트 방문 유도)과 기술적 WebSocket 공격이 결합되어, 단순한 네트워크 보안만으로는 막기 어렵다는 점이 특징이다. 실제 보호를 위해서는 소프트웨어 설계상 보안 강화와 함께 사용자 교육, 접근 제한이 병행돼야 한다.

3. 패치 이후 달라진 점과 안전하게 사용하는 방법

2026년 2월 25일, OpenClaw 측이 긴급 보안 패치를 배포하여 이 문제를 근본적으로 해결했다. 최신 버전(2026.2.25)은 로컬 게이트웨이 접근 시 더욱 강력한 인증 및 세션 관리 절차를 도입했다. 또, 디바이스 등록·관리 과정 전반에 걸쳐 추가적인 사용자 확인 단계를 추가하여 brute force 공격 및 타사 접근 시도를 사실상 차단했다. 공식적으로는 즉각적인 소프트웨어 업데이트가 적극 권고되고 있으며, 패치 미적용 시 여전히 유사 공격에 노출될 수 있음을 명확히 경고하고 있다. 사용자는 반드시 최신 버전의 OpenClaw를 설치하고, 불필요한 WebSocket 포트 노출을 피하고, 알 수 없는 웹사이트 방문을 자제하는 등 추가적인 보안 조치를 병행해야 한다.

4. WebSocket 신뢰 모델의 한계와 AI 보안의 향방

이번 사건은 로컬호스트 기반 WebSocket 신뢰 모델이 얼마나 취약할 수 있는지, 그 구조적 한계를 드러냈다. 브라우저는 로컬 연결임을 이유로 보안 검사나 인증 절차를 우회할 수 있으나, 이는 애플리케이션 레벨의 취약점으로 연결된다. OpenClaw 사례처럼 점점 더 많은 AI·자동화 도구들이 로컬 게이트웨이 및 API를 노출하는 환경에서는, 단순 접근제어만으로 방어가 어렵다. 업계 전반적으로 인증 강화, Origin/Referer 검증, 세션 기반 권한 관리 등의 다중 방어 기법 도입이 절실하다. AI 에이전트와 유사 도구를 사용하는 조직·개인은 모두 이런 변화에 능동적으로 대응할 필요가 있다.