AI 에이전트 보안 위기 — 해킹 무기가 된 자율 AI
AI 에이전트가 이메일을 보내고, 코드를 짜고, 파일을 관리하는 시대가 왔습니다.
그런데 그 편리함 뒤에 보안 재앙이 함께 따라왔어요. 2026년 2월 현재, OpenClaw 생태계를 중심으로 터진 보안 사건들을 보면 “AI 에이전트 보안”이 더 이상 미래 이야기가 아니라는 걸 알 수 있습니다.
SecurityWeek의 Cyber Insights 2026 보고서에서 Armis의 위협 인텔리전스 책임자 Michael Freeman은 이렇게 경고했어요.
“2026년 중반까지 최소 하나의 글로벌 대기업이 완전 자율 에이전트 AI 시스템에 의해 침해당할 것이다.”
추상적 예측이 아닙니다. 지금 벌어지고 있는 일들의 연장선이에요.
실제로 터진 사건들
ClawHavoc — 341개 악성 스킬
올해 1월, 보안 연구팀 Koi가 ClawHub(OpenClaw 공식 스킬 마켓플레이스)의 전체 스킬 2,857개를 감사했습니다.
결과는 충격적이었어요. 341개가 악성 스킬이었고, 그 중 335개는 단일 캠페인에서 나온 것이었습니다.
“ClawHavoc”으로 명명된 이 공격은 Atomic Stealer 멀웨어를 배포해서 API 키, 브라우저 인증정보, 암호화폐 지갑을 탈취하는 구조였어요.
저도 직접 OpenClaw 쓰면서 ClawHub에서 스킬 몇 개 설치해본 적 있는데, 솔직히 SKILL.md 파일을 꼼꼼히 읽어본 적이 없었습니다. ClawHavoc 소식 듣고 나서야 설치한 스킬들을 하나씩 뜯어봤어요.
다행히 악성은 없었지만, 이게 *“운이 좋았던 것”*이라는 걸 깨달았습니다.
ToxicSkills — 36%가 보안 결함
2주 전 Snyk이 발표한 ToxicSkills 연구는 범위가 더 넓습니다.
ClawHub와 skills.sh에서 3,984개 스킬을 스캔한 결과:
- **36%**에서 프롬프트 인젝션을 포함한 보안 결함 발견
- **13.4%**는 치명적 수준
- 확인된 악성 페이로드만 1,467개
OpenClaw뿐 아니라 Claude Code, Cursor 사용자까지 타겟이었어요.
18,000개 노출 인스턴스
r/MachineLearning에 올라온 독립 연구도 있습니다. 인터넷에 노출된 OpenClaw 인스턴스 18,000개를 스캔한 결과, 커뮤니티 스킬의 15%에 악성 인스트럭션이 들어있었어요.
멀웨어 다운로드, 데이터 유출, 인증정보 수집용 프롬프트가 버젓이 들어있었다는 겁니다.
악성 스킬의 작동 방식
악성 스킬을 분석해봤는데, 대부분 겉보기엔 “파일 정리 도구”나 “Git 헬퍼” 같은 평범한 이름을 달고 있었습니다.
SKILL.md 안에 숨겨진 인스트럭션이 LLM에게 “조용히” 외부 URL에서 페이로드를 받아오라고 지시하는 방식이에요. npm 악성 패키지랑 똑같은 패턴인데, 공격 대상이 사람이 아니라 AI라는 점이 다릅니다.
왜 AI 에이전트가 특히 위험한가
기존 소프트웨어 취약점과 AI 에이전트 보안 위협은 본질적으로 다릅니다.
| 항목 | 기존 소프트웨어 | AI 에이전트 |
|---|---|---|
| 공격 벡터 | 코드 취약점 (CVE) | 자연어 프롬프트 인젝션 |
| 탐지 | SAST/DAST 도구 | 기존 도구로 탐지 불가 |
| 실행 | 명시적 코드 경로 | 자율적 판단 |
| 공급망 | 패키지 레지스트리 | 스킬 마켓플레이스 |
| 신원 | 사용자 계정 | 비인간 ID (서비스 토큰) |
Palo Alto Networks에 따르면 현재 기업 환경에서 자율 에이전트와 인간의 비율이 82:1이라고 합니다.
The Register는 잘 만들어진 프롬프트 하나로 AI 에이전트가 *“조용히 거래를 실행하고, 백업을 삭제하고, 전체 고객 DB를 유출하는 자율 내부자”*가 될 수 있다고 경고했어요.
AI 시스템의 4대 핵심 취약점 (ZDNet)
- 프롬프트 인젝션 — 자연어로 AI의 행동을 조작
- 데이터 포이즈닝 — 학습 데이터를 오염시켜 결과 왜곡
- 과도한 권한 부여 — 에이전트에 필요 이상의 접근 권한
- 도구 사용 통제 부재 — 어떤 도구를 언제 쓸지 제한 없음
Gary McGraw의 표현이 인상적이에요. “LLM은 자기 데이터가 되어버린다. 데이터가 오염되면, AI는 기꺼이 그 독을 먹는다.”
저도 직접 OpenClaw로 자동화 워크플로 짜면서 느낀 건데요. 스킬 하나 설치하면 그게 셸 명령어까지 실행할 수 있습니다.
편리하지만, 이게 곧 공격자에게 셸 접근을 넘겨주는 것과 같다는 걸 나중에야 깨달았어요.
지금 당장 할 수 있는 대응 방법
OpenClaw 창립자 Peter Steinberger가 2월 15일 OpenAI에 합류하고, OpenClaw는 오픈소스 재단으로 이관됐습니다.
Sam Altman은 “OpenClaw는 재단 안에서 오픈소스 프로젝트로 계속 유지될 것”이라고 했지만, 거버넌스 전환기에 보안 공백이 생길 수 있다는 우려도 있어요.
결국 사용자 스스로 지켜야 합니다.
AI 에이전트 보안 체크리스트
- 스킬 설치 전
SKILL.md전문 직접 읽기 — 외부 URL 호출, 셸 명령어 확인 - 스킬 실행 환경을 컨테이너나 VM으로 격리
- OpenClaw 인스턴스를 인터넷에 노출하지 않기 — 포트 18789 차단
- 비인간 ID(서비스 토큰)에 최소 권한 원칙 적용
- MCP-Scan 등 스킬 보안 스캐너 도입
- 에이전트 행동 로그 모니터링 — 비정상 외부 통신 감지
- 공식 마켓플레이스라도 맹신하지 않기 — ClawHub 12%가 악성이었음
r/DataHoarder의 한 유저가 쓴 말이 정곡을 찌릅니다. “몇 년간 RAID 구성하고 다중 백업 시스템 만들어놓고, 어떤 랜덤 자동화 스크립트에 풀 쓰기 권한을 주는 건 뭔가.”
마무리
AI 에이전트 생태계의 보안 문제는 npm, PyPI에서 반복됐던 공급망 공격의 새로운 버전입니다.
다만 이번엔 공격 벡터가 코드가 아니라 자연어라서 기존 보안 도구로는 잡을 수 없다는 점이 더 까다로워요.
ClawHavoc의 341개 악성 스킬, ToxicSkills의 36% 결함률, 18,000개 노출 인스턴스 — 이 숫자들은 경고가 아니라 현재 진행형입니다.
여러분은 AI 에이전트 보안 어떻게 관리하시나요? 스킬 설치할 때 코드 리뷰 하시나요, 아니면 저처럼 “일단 설치하고 보자” 파인가요? 댓글로 알려주세요.
다음 글에서는 GitHub Agent HQ로 AI 코딩 에이전트를 실전에서 활용하는 방법을 다뤄봅니다.
#AI에이전트보안 #AI해킹 #OpenClaw보안 #ClawHavoc #ToxicSkills #프롬프트인젝션 #AI공급망공격 #비인간ID #사이버보안2026 #AIAgent