OpenClaw 악성 스킬 사태: AI 에이전트가 멀웨어 유통망이 된 이유

OpenClaw(구 Clawdbot)는 “말로 시키면 컴퓨터에서 실제로 실행까지 해주는” 로컬 AI 에이전트입니다. 문제는 이 강력함이 곧 공격 표면이 된다는 점이었죠. 최근 OpenClaw의 스킬 마켓(ClawHub)에서 정상 도구처럼 보이는 스킬 수백 개가 악성코드를 내려받아 실행하는 방식으로 퍼지며, AI 에이전트가 사실상 악성코드 배포 시스템처럼 악용되는 사건이 드러났습니다¹. 이번 글에서는 어떤 방식으로 뚫렸는지, 왜 ‘AI 에이전트 + 마켓’ 조합이 위험해졌는지, 그리고 사용자/개발자/운영자가 당장 할 수 있는 현실적인 대처를 정리해봅니다.

OpenClaw ‘스킬(확장 기능)’이 왜 이렇게 위험해졌을까

OpenClaw의 매력은 간단합니다. 쉘 명령 실행, 파일 생성/수정, 네트워크 요청 같은 “손발”이 달려 있고, 스킬을 설치하면 기능을 계속 확장할 수 있습니다. 생산성 관점에선 꿈 같은 구조죠.

하지만 보안 관점에선 이야기가 달라집니다. 스킬은 사실상 “내 PC에서 돌아가는 서드파티 코드”에 가깝고, 설치 과정에서 사용자가 터미널에 명령을 붙여 넣거나 외부 파일을 다운받아 실행하게 만들면, 그 순간부터는 브라우저 확장/오픈소스 패키지 공급망 공격과 똑같은 게임이 됩니다. 다만 OpenClaw는 업무·개인 데이터가 모여 있는 엔드포인트에서 돌아가는 경우가 많아, 한 번 실수하면 피해 반경이 더 커질 수 있습니다².

‘Yahoo Finance’처럼 꾸민 악성 스킬: 공격이 먹힌 심리 포인트

이번 사건에서 특히 눈에 띄는 건 위장술입니다. 한 ClawHub 사용자(“hightower6eu”)가 “Yahoo Finance”, “Google Workspace”처럼 그럴듯한 이름으로 300개가 넘는 악성 스킬을 유포한 정황이 공개됐습니다¹. 이름만 보면 “아, 사람들이 많이 쓸 만한 유틸이구나” 하고 경계심이 풀리기 딱 좋습니다.

또 다른 캠페인 분석에서는 암호화폐 지갑 추적, 유튜브 요약, 자동 업데이트 도구처럼 수요가 높은 주제를 전면에 내세워 설치를 유도했습니다². 여기서 핵심은 “코드가 수상하다”가 아니라 “설치 문서가 친절하다”였다는 점입니다. 공격자는 기술로만 싸우지 않습니다. 사용자의 클릭과 복사-붙여넣기를 설계합니다.

악성코드가 숨어든 방식: ‘코드는 깨끗한 척, 페이로드는 밖에서’

많은 악성 스킬이 교묘했던 이유는 내부 코드만 보면 멀쩡해 보이게 만들고, 결정타는 외부에서 받아오게 구성했기 때문입니다. 즉 스킬 자체에는 노골적인 악성코드가 없거나 최소화하고, 설치 단계의 “필수 사전 준비(Prerequisites)” 같은 문구로 사용자가 외부 ZIP, 스크립트, 바이너리를 실행하도록 유도합니다².

실제로 분석 사례에 따르면 macOS 사용자는 터미널에 스크립트를 붙여 넣게 만들고, 그 스크립트가 다음 단계 페이로드를 내려받아 실행하는 식으로 이어졌습니다. 그 결과 Atomic Stealer(AMOS) 같은 정보 탈취형 악성코드가 설치될 수 있었습니다². Windows 쪽도 암호로 잠긴 ZIP(스캐너 회피에 자주 쓰이는 방식)에 트로이목마를 숨기는 패턴이 관측됐습니다³. “마켓에 올라온 스킬 = 어느 정도 검증됐겠지”라는 기대를 정면으로 이용한 셈입니다.

OpenClaw의 대응: VirusTotal 자동 스캔, 하지만 ‘만능열쇠’는 아니다

사태 이후 OpenClaw는 VirusTotal과 협력해 ClawHub에 업로드되는 스킬을 자동 분석하는 체계를 붙였습니다. 스킬마다 해시(SHA-256)를 만들어 기존 위협 DB와 대조하고, 신규 파일은 코드 분석까지 진행해 ‘안전/의심/악성’ 판정을 내립니다. 안전이면 자동 승인, 의심이면 경고, 악성이면 다운로드 차단입니다. 이미 활성화된 스킬도 매일 재검사한다고 밝혔습니다⁴.

다만 여기서 끝이라고 보기 어렵습니다. 운영 측에서도 “이건 은탄환이 아니다”라고 선을 그었습니다. 스킬 생태계는 결국 사람이 설치하고, 자연어로 지시하고, 외부 입력을 처리합니다. 그래서 프롬프트 인젝션(자연어 기반 조작)처럼 전통적인 멀웨어 스캐닝만으로 잡기 어려운 위협은 남습니다⁴. 즉 “검사 체계가 생겼다”는 건 큰 진전이지만, “안전이 보장된다”는 말과는 다릅니다.

지금 사용자와 개발자가 당장 할 수 있는 실전 체크리스트

가장 중요한 원칙은 하나입니다. OpenClaw 스킬은 ‘플러그인’이 아니라 ‘실행 권한을 가진 소프트웨어 설치’로 취급해야 합니다. 편의성보다 먼저 확인할 것들이 있습니다.

첫째, 스킬 설치 화면이나 문서에서 외부 바이너리 다운로드, 터미널 명령 붙여넣기, 난독화 스크립트 같은 요소가 보이면 일단 멈추는 게 안전합니다. 특히 “패스워드 걸린 ZIP”이나 “붙여넣고 실행”은 사고 확률을 급격히 올리는 전형적인 장치로 반복 등장합니다²³.

둘째, ClawHub에서 공식 스캔(자동 분석) 적용 여부와 경고 표시를 확인해야 합니다. 자동 승인/차단 정책이 들어갔다고 해도, ‘의심’ 단계에서 설치를 밀어붙이는 건 결국 사용자 선택이니까요⁴.

셋째, 가능하면 업무 PC와 분리하세요. 테스트용 로컬 계정, 샌드박스 환경(가상머신), 최소 권한(토큰/키 최소화) 같은 기본기가 오히려 AI 시대에 더 중요해졌습니다. AI 에이전트는 유용한 만큼 “접근 가능한 것”이 많아지고, 그게 곧 유출 가능한 범위가 되기 쉽습니다⁴.

시사점: AI 에이전트는 ‘편리한 도우미’이기 전에 ‘새로운 엔드포인트’다

이번 OpenClaw 악성 스킬 사건이 남긴 메시지는 선명합니다. AI 에이전트가 똑똑해질수록 공격자는 “코드를 뚫는” 대신 “생태계를 이용해 설치하게 만드는” 방향으로 움직입니다. 그리고 스킬 마켓은 그 공격을 자동화·대량화하기 좋은 무대가 됩니다¹².

OpenClaw가 VirusTotal 기반 자동 스캔과 보안 로드맵을 예고한 건 분명 반가운 소식입니다⁴. 하지만 오픈 구조의 철학을 유지하는 한, 남는 위험도 있습니다. 그래서 앞으로의 핵심은 “닫아버리기”가 아니라, 신뢰(검증)·권한(최소화)·격리(샌드박스)·감사(로그/재검사)를 기본값으로 만드는 쪽에 가깝다고 봅니다.

결론적으로, OpenClaw를 계속 쓰고 싶다면 한 가지만 기억하면 됩니다. 스킬 하나 설치하는 순간, 내 PC에 ‘새 직원’을 한 명 채용하는 것과 같습니다. 이력서(퍼블리셔), 추천서(공식 스캔), 권한(접근 범위), 감시(로그)를 확인하지 않으면—그 직원이 정말 우리 편인지, 아무도 보장해주지 않습니다.

참고

¹악의적인 기술로 인해 AI 에이전트 OpenClaw가 악성 코드 배포 시스템으로 변합니다.

²Researchers Find 341 Malicious ClawHub Skills Stealing Data from OpenClaw Users

³Inside the 'clawdhub' Malicious Campaign: AI Agent Skills Drop Reverse Shells on OpenClaw Marketplace | Snyk

⁴OpenClaw Integrates VirusTotal Scanning to Detect Malicious ClawHub Skills