Reddit가 주목한 OpenClaw 보안 붕괴, OWASP Agentic Top 10의 실전 사례로 부상

이 Reddit 글이 의미 있었던 이유

r/artificial의 한 게시글은 OpenClaw 보안 문제를 다룬 장문의 사례 분석으로 시선을 모았다. 대중적 밈성 콘텐츠와 달리, 이 글은 “AI 에이전트는 위험하다”는 추상적 주장 대신 실제 사건을 OWASP Agentic Top 10에 대응시켜 설명하려는 점에서 기술적 밀도가 높다. 스레드는 크롤링 시점 기준 76점, 댓글 12개로 아주 폭발적이진 않았지만, 내용의 구체성 때문에 충분히 신호가 있었다.

사례 분석 글에 따르면 OpenClaw는 몇 주 만에 GitHub 20만 스타를 넘긴 반면, 같은 기간 9건의 공개 CVE, 2,200개 이상의 악성 skill, 4만 개 이상의 인터넷 노출 인스턴스가 누적됐다. 또한 조사 시점 기준 93.4%가 인증 우회 조건에 노출됐다고 주장한다. 작성자는 이를 2025년 말 공개된 OWASP Agentic Top 10이 현실 세계에서 대규모로 시험된 첫 사례로 해석한다.

개별 버그가 아니라 연결된 공격 사슬

이 분석의 핵심은 사고를 단일 취약점 목록이 아니라 공격 체인으로 본다는 점이다. 글은 Supply Chain 문제에서 출발해 Agent Goal Hijack, Tool Misuse, Identity Abuse, 그리고 최종적인 데이터 유출까지 이어지는 흐름을 제시한다. 즉 악성 skill은 단순히 “나쁜 패키지”가 아니라, 에이전트가 가진 권한과 문맥 자체를 공격자의 연쇄 단계로 바꾸는 출발점이라는 주장이다.

특히 글은 새로운 사회공학 벡터를 강조한다. Atomic macOS Stealer가 배포된 방식에서 악성 skill이 OpenClaw 에이전트에게 가짜 설치 또는 설정 대화상자를 직접 띄우게 했다는 것이다. 사용자를 속이는 주체가 임의의 웹페이지가 아니라, 사용자가 신뢰하던 에이전트 UI가 된다는 점이 중요하다.

localhost가 안전지대가 아니었던 이유

또 다른 핵심 사건은 “ClawJacked”다. 글에 따르면 이 이슈는 2026년 2월 26일 패치되고 3월 2일 공개됐으며, 악성 웹사이트가 WebSocket 신뢰 가정만으로 로컬 OpenClaw 에이전트를 탈취할 수 있는 설계 문제였다. 사실이라면 “localhost에만 바인딩하면 충분히 안전하다”는 개발자 감각을 정면으로 무너뜨리는 사례다.

이 사례의 가치는 모든 숫자가 최종적으로 확정됐는지 여부보다, 에이전트 시스템이 실전에서 어떻게 망가지는지 점검표를 제공한다는 데 있다. marketplace 신뢰, 오염된 입력 콘텐츠, 과도한 tool 권한, 취약한 identity 경계, localhost 오인식이 모두 등장한다. 개발자용 agent나 personal assistant를 운영하는 조직이라면, “로컬 AI 도우미”가 사실상 이메일·채팅·터미널·클라우드 자격증명에 접근 가능한 과권한 endpoint일 수 있다는 점을 다시 봐야 한다.

Case study · Reddit discussion