CVE-2026-25253 취약점 발견... 인증 토큰 탈취 통한 원격 코드 실행(RCE) 위험 확인
웹소켓 보안 검증 미흡 악용... 방화벽 우회해 로컬 호스트 직접 침투
안랩 ASEC·KISA 긴급 보안 권고... “2026.1.29 버전 이상으로 즉시 업데이트해야”

[보안뉴스 조재호 기자] 최근 국내외에서 인기를 끌고 있는 자율형 AI 에이전트 플랫폼 ‘오픈클로’(OpenClaw, 구 Clawdbot)에서 사용자의 시스템 제어권을 완전히 탈취할 수 있는 치명적 원격 코드 실행(RCE: Remote Code Execution) 취약점이 발견돼 보안 업계에 비상이 걸렸다. 공격자가 설계한 악성 링크를 클릭하는 것으로 내부 기밀 유출부터 악성코드 실행이 가능한 것으로 드러났다.


‘원클릭’으로 끝나는 공격... 웹소켓 탈취가 핵심
보안 업계와 미국 국가 취약성 데이터베이스(NVD) 등에 따르면, 이번에 발견된 취약점 CVE-2026-25253(CVSS8.8)은 오픈클로의 컨트롤 UI가 쿼리 스트링의 gateway URL 값을 검증 없이 신뢰해 자동으로 웹소켓 연결을 시도하는 과정에서 발생한다. 사용자가 악성 URL을 클릭하거나 공격자가 제작한 웹사이트에 방문할 경우, 오픈클로가 공격자 서버로 인증 토큰(Auth Token)을 전송한다.

공격자는 탈취한 토큰을 이용해 사용자 로컬 환경에 설치된 오픈클로 게이트웨이에 접속할 수 있다. 이 과정에서 웹소켓 오리진(Origin) 검증 누락을 악용한다. 내부망 방화벽을 우회해 ‘로컬호스트’(localhost)에 직접 명령을 내릴 수 있다. 따라서 공격자는 샌드박스 설정을 변경하거나 임의의 명령을 실행해 시스템 전체를 장악하는 ‘원클릭 RCE’를 완성할 수 있다.

안랩 ASEC 분석 “AI 편의성 노린 고도화된 공격 주의”
안랩 ASEC를 비롯해 보안 업계는 이번 취약점이 AI 에이전트의 높은 권한과 자율성을 노린 공격으로 매우 위험하다고 경고한다. AI 에이전트 특성상 이메일이나 캘린더, 파일 시스템 등에 광범위한 접근 권한을 가지고 있어, 한 번의 침투로도 심각한 데이터 유출 사고로 이어질 수 있기 때문이다.

최근 북한 배후 해킹 조직들이 국내 소프트웨어의 제로데이 취약점을 공격에 적극 활용하고 있는 만큼, 비서 도구로 활용되는 오픈클로 사용자들은 각별한 주의가 필요하다. 지난 연휴 사이 국내 주요 IT 기업들도 사내망과 업무용 기기에서 오픈클로 사용을 제한했다.

즉각 업데이트와 토큰 재발급 필수
오픈클로는 1월말 이번 취약점에 대해 패치를 배포했다. 사용자는 현재 버전을 확인해 2026.1.29 버전 이상으로 즉시 업데이트해야 한다. 패치 적용만으로 안심하긴 이르다. 노출 가능성이 있는 토큰과 API키가 깃허브나 슬랙 등 개발·협업 도구에 남아 있을 수 있어 이를 찾아내 폐기해야 한다. 특히 사내에서 오픈클로를 활용했던 기업이라면 이 에이전트가 연결된 모든 서비스의 크리덴셜을 점검하는 것을 권장한다

보안 업계 관계자는 “최근 에이전틱 AI 활용이 늘어나면서 관련 문제점도 늘어나는 추세”라며 “활용도가 높아진 만큼, AI에 더 큰 권한을 부여할 경우 취약점에 대한 RCE 취약점 악용 공격이 가능해지는 만큼 심각한 보안사고로 이어질 수 있다”고 말했다.

이어 “하나의 에이전트가 수십 개 서비스에 연결되는 환경이 일상화되고 있는데, 편의성이 높아진 만큼 크리덴셜이 유출되면 피해 범위도 커지기 때문에 비인간 신원(NHI: Non-Human Identity)에 대한 보안 관리가 기업 보안의 새로운 과제로 떠오르고 있다”고 말했다.

오픈클로는 최근 공개적으로 보안 자문 풀을 운영하면서 보안성 강화를 진행하고 있으며, 오픈AI와 협업을 시작했다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>