Cline CLI 2.3.0 공급망 공격, 개발자 시스템에 OpenClaw 비밀 설치
서론
소프트웨어 공급망 공격이 이번에는 AI 기반 코드 편집기 생태계에 영향을 미쳤습니다. 인기 있는 오픈소스 AI 코딩 도우미인 Cline CLI가 업데이트되어 개발자 시스템에 비밀스럽게 OpenClaw를 설치하는 사건이 발생했습니다. OpenClaw는 최근 몇 달 동안 인기를 끌고 있는 자체 호스팅 자율 AI 에이전트입니다.
사건 개요
2026년 2월 17일 오전 3시 26분(태평양 표준시), 인증받지 않은 공격자가 npm 게시 토큰을 탈취하여 NPM 레지스트리에 Cline CLI 버전 2.3.0을 배포했습니다. Cline 패키지 유지관리자들이 발표한 권고문에 따르면, 해당 패키지는 수정된 package.json을 포함하고 있으며 추가된 설치 후 스크립트가 포함되어 있었습니다: "postinstall": "npm install -g openclaw@latest"
이 공격으로 인해 Cline 버전 2.3.0을 설치하는 개발자의 시스템에 OpenClaw가 자동으로 설치됩니다. Cline측은 추가적인 악의적인 수정은 도입되지 않았으며 악성 행동이 관찰되지 않았다고 밝혔지만, OpenClaw의 설치는 승인되지 않았고 의도하지 않은 것임을 인정했습니다. 그러나 이 사건만으로도 개발자 커뮤니티에 상당한 불안감을 야기했습니다.
영향 범위 및 시간대
공급망 공격은 2026년 2월 17일 오전 3시 26분부터 오전 11시 30분까지 약 8시간 동안 npm에 게시된 Cline CLI 패키지, 특히 버전 2.3.0을 설치한 모든 사용자에게 영향을 미쳤습니다. 이 시간대는 소프트웨어 업데이트가 가장 활발히 이루어지는 시간대였기 때문에 많은 개발자가 영향을 받을 수 있었습니다.
다만, 이 사건은 Cline의 비주얼 스튜디오 코드 확장 프로그램과 젯브레인즈 플러그인에는 영향을 주지 않았습니다. 이는 데스크톱 확장 프로그램을 통해 설치하는 사용자들은 이 공격의 직접적인 영향을 받지 않았음을 의미합니다.
마이크로소프트 위협 인텔리전스 팀은 X(구 트위터)에 게시물을 통해 2026년 2월 17일 Cline CLI 패키지의 공급망 침해로 인해 OpenClaw 설치가 “약간이지만 주목할 만한 증가”를 보였다고 확인했습니다. 보안 기업 스텝시큐리티에 따르면, 침해된 Cline 패키지는 약 8시간 동안 약 4,000번 다운로드되었습니다. 이 숫자는 많은 개발자들이 이 버전의 패키지를 설치했음을 보여줍니다.
대응 조치
승인되지 않은 게시물을 완화하기 위해 Cline 유지관리자들은 버전 2.4.0을 긴급 출시했습니다. 버전 2.3.0은 더 이상 사용되지 않으며 침해된 토큰은 즉시 취소되었습니다. 또한 npm 게시 메커니즘이 깃허브 액션을 통한 개방형 아이덴티티 연결(OIDC)을 지원하도록 업데이트되어 향후 유사한 공격을 방지할 수 있는 보안 강화가 이루어졌습니다.
사용자에게는 최신 버전으로 업데이트하고, 예상치 못한 OpenClaw 설치 여부를 환경에서 확인한 후 필요하지 않은 경우 제거할 것을 권장합니다. 특히 개발 환경에서 의도하지 않은 도구가 설치된 것은 보안상 주의가 필요합니다.
엔도르랩스 연구원 헨리크 플레이트는 “전반적인 영향은 높다는 다운로드 수에도 불구하고 낮게 평가된다. OpenClaw 자체는 악성이 아니며, 설치에는 게이트웨이 데몬의 설치나 시작이 포함되지 않는다”고 밝혔습니다. 그는 또 “이 사건은 패키지 유지관리자들이 신뢰할 수 있는 게시를 활성화하는 것뿐만 아니라 전통적인 토큰을 통한 게시를 비활성화해야 하며, 패키지 사용자들은 해당 증빙서류의 존재와 갑작스러운 부재에 주의해야 한다”고 촉구했습니다.
공격의 근본 원인: Clinejection
침해된 npm 패키지의 배후에 있는 공격자와 그들의 최종 목표는 아직 명확하지 않지만, 이 사건은 보안 연구자 아드난 칸이 발견한 중요한 취약점 이후에 발생했습니다. 칸은 공격자들이 Clinejection이라는 프롬프트 주입 공격을 통해 저장소의 인증 토큰을 도용할 수 있다는 것을 발견했습니다.
이 취약점은 Cline이 깃허브에 제출된 모든 이슈를 자동으로 분류하도록 구성되어 있다는 점에서 비롯됩니다. “새 이슈가 열리면 워크플로가 저장소에 접근 권한을 가진 클로드를 시작하여 이슈를 분석하고 응답하는 광범위한 도구 세트를 제공합니다”라는 설명처럼, 자동화된 최초 대응을 통해 유지관리자의 부담을 줄이려는 의도였습니다.
그러나 워크플로의 잘못된 구성으로 인해 클로드에게 기본 브랜치 내에서 임의의 코드 실행을 달성할 수 있는 과도한 권한이 주어졌습니다. 깃허브 이슈 제목에 포함된 프롬프트 주입과 결합되어, 깃허브 계정을 가진 공격자가 임의의 명령을 실행하도록 AI 에이전트를 속여 프로덕션 릴리스를 침해할 수 있었습니다.
이 취약점은 2025년 12월 21일에 이루어진 소스 코드 수정에서 도입되었습니다. 공격 단계는 정교하게 설계되어 있었습니다. 먼저 프롬프트를 통해 이슈 분류 워크플로에서 임의의 코드를 실행하고, 10GB 이상의 쓰레기 데이터로 캐시를 채워 깃허브의 가장 오랫동안 사용되지 않은 항목 캐시 제거 정책을 촉발합니다. 그 다음 야간 릴리스 워크플로의 캐시 키와 일치하는 오염된 캐시 항목을 설정하고, 협정 세계시로 오전 2시경 야간 게시가 실행되기를 기다렸다가 오염된 캐시 항목에서 트리거됩니다.
“이렇게 하면 공격자가 야간 워크플로에서 코드 실행을 얻어 게시 비밀을 도용할 수 있습니다”라는 설명처럼, 위협 행위자가 프로덕션 게시 토큰을 획득한다면 결과적으로 대량 공급망 공격이 발생합니다. 실제로 이것이 정확히 발생한 사건으로, 알려지지 않은 위협 행위자가 노드제이에스 레지스트리에 인증하고 Cline 버전 2.3.0을 게시하기 위해 활동하는 npm 게시 토큰을 활용했습니다.
업계의 경고와 향후 과제
제니티의 보안 전략 부사장 크리스 휴스는 “우리 업계가 오랫동안 이론적 관점에서 AI 공급망 보안에 대해 말해왔고, 이번 주 그것이 운영 현실이 되었다”라며 성명을 통해 밝혔습니다. “단일 이슈 제목이 자동화된 빌드 파이프라인에 영향을 주고 게시된 릴리스에 영향을 줄 수 있을 때, 더 이상 위험은 이론적이지 않습니다. 업계는 AI 에이전트를 관리가 필요한 특권 있는 행위자로 인정하기 시작해야 합니다.”
그는 또한 “악의적인 업데이트가 침해된 게시 자격 증명을 통해推送되면, 확장이 설치되어 자동으로 업데이트하도록 설정된 모든 개발자의 맥락에서 실행될 것입니다”라고 경고했습니다. 이는 자동 업데이트 기능이 있는 도구를 사용하는 개발자들에게 잠재적인 위험이 될 수 있음을 보여줍니다.
결론
이 사건은 개발자가 사용하는 도구의 공급망 보안이 얼마나 취약할 수 있는지 다시 한번 상기시킵니다. 패키지 게시 과정의 보안을 강화하기 위한 조치가 시급하며, 특히 AI 도구를 활용하는 개발자들에게는 이러한 보안 위협에 대한 인식이 필요합니다.
개발자 커뮤니티는 이 사건을 통해 신뢰할 수 있는 게시 메커니즘의 중요성을 다시 한번 인식하게 되었습니다. 전통적인 토큰 기반 게시 방식에서 더 안전한 개방형 아이덴티티 연결 기반의 게시 방식으로의 전환이加快되고 있으며, 이는 유사한 공급망 공격을 방지하는 데 중요한 단계가 될 것입니다.