472개 악성 플러그인 적발… AI '오픈클로' 공급망 공격에 크립토까지 노렸다

| 김민준 기자

AI 오픈소스 플랫폼 오픈클로, 플러그인 통해 악성코드 확산… 크립토 연관 ‘스킬’도 집중 타깃

오픈소스 인공지능 에이전트 프로젝트 ‘오픈클로(OpenClaw)’의 공식 플러그인 마켓플레이스가 최근 공급망 공격의 새로운 표적으로 떠올랐다. 특히 암호화폐 관련 기능을 갖춘 플러그인들이 악성코드 침투 통로로 활용되면서 보안 우려가 커지고 있다.

사이버보안 기업 슬로우미스트(SlowMist)는 월요일 발표한 보고서에서, 해커들이 ‘클로허브(ClawHub)’라 불리는 오픈클로의 플러그인 허브에 의도적으로 악성 ‘스킬(Skill)’을 업로드하고 있다고 밝혔다. 검수 절차가 부실하거나 아예 존재하지 않는 점을 노린 공격으로, 사용자가 아무런 의심 없이 이를 설치할 경우 악성 코드가 시스템에 유입된다는 설명이다.

보고서는 슬로우미스트의 웹3 보안 플랫폼 ‘미스트아이(MistEye)’를 인용해, 현재까지 총 472개의 악성 스킬이 적발됐다고 밝혔다. 위협 등급은 ‘고위험’으로 분류됐다.

공급망 공격(Supply Chain Poisoning)은 최종 사용자에게 도달하기 전 소프트웨어 구성 요소나 배포 경로에 악성 코드를 심는 사이버 공격 기법이다. 이번 사례는 AI 플러그인을 매개로 한 점에서 기존보다 진입 장벽이 낮아졌다는 분석이 나온다.

암호화폐 키워드 통해 이용자 방심 노려

슬로우미스트는 해당 스킬들이 데이터 의존성 프로그램인 것처럼 위장해, 설치 시 백도어 명령을 자동 실행하도록 설계됐다고 밝혔다. 이 방식은 ‘트로이 목마’와 유사하며, 특히 ‘Base64’ 백도어는 사용자 기기의 비밀번호나 개인정보를 수집해 공격자가 이를 기반으로 금전적 협박을 시도할 수 있도록 한다.

또한 대부분의 공격은 2025년 7월에 등록된 악성 도메인 ‘socifiapp[.]com’과 특정 IP 주소에서 발생했으며, 이는 과거 ‘포세이돈(Poseidon)’ 인프라 관련 공격과 연관된 것으로 추정된다. 다수의 악성 스킬이 동일한 도메인과 IP 주소를 공유하고 있다는 점에서, ‘조직적이고 대규모 작전’이 진행 중이라는 경고도 덧붙였다.

주목할 만한 점은 이들 악성 플러그인이 주로 ‘암호화폐’, ‘금융정보’, ‘자동화 도구’ 등 이용자들이 친근하게 여기는 키워드로 명명됐다는 것이다. 슬로우미스트는 이러한 명칭이 사용자의 경계를 낮추고 설치를 유도하는 데 사용됐다고 지적했다.

플러그인 기반 공급망 공격 급증… 보안 점검 필요

슬로우미스트 외에도 보안 업체 코이 시큐리티(Koi Security)는 2월 1일 보고서에서, 분석한 2,857개 AI 스킬 중 341개(약 12%)에 악성 코드가 포함돼 있었다고 보고했다. 이는 플러그인과 확장 프로그램을 활용한 공급망 공격이 꾸준히 증가하고 있음을 보여준다.

슬로우미스트는 사용자 대응 방안으로, 플러그인 설치 전 ‘SKILL.md’ 등 관련 출처를 반드시 검토하고, 시스템 비밀번호 입력이나 접근성 권한 요청, 환경 설정 변경 등을 요구하는 경우 각별한 주의가 필요하다고 강조했다.

AI 생태계를 겨냥한 새로운 유형의 공격이 늘면서, 보안 취약점 관리와 사용자 인식 개선이 시급한 과제로 대두되고 있다. 특히 암호화폐와 관련된 키워드는 해커들이 악용할 가능성이 높아, 해당 범주의 기능을 사용할 때에는 보다 신중한 검증이 요구된다.

💡 "악성코드, 알고 보면 '익숙함' 속에 숨어 있다… 진짜를 보는 안목이 생존의 열쇠"

AI와 크립토의 접점이 늘어날수록, 해커들은 ‘친근한 키워드’와 ‘인기 있는 자동화 툴’을 악용한 공급망 공격에 집중하고 있습니다. 사용자는 아무 의심 없이 설치한 플러그인을 통해 개인 정보, 비밀번호, 지갑 키까지 공격자에게 넘길 수 있습니다.

이처럼 고도화되고 있는 사이버 위협 속에서, 진짜 위험을 식별하고 내 자산을 방어할 수 있는 능력이 필요한 시대입니다.

토큰포스트 아카데미는 이러한 실전 보안을 포함해, '토크노믹스 검증'부터 'DeFi 리스크 관리', '포트폴리오 구성 전략'까지 종합적인 역량을 갖춘 투자자를 양성하는 7단계 마스터과정을 제공합니다.

특히 2단계 The Analyst 과정에서는 프로젝트의 토크노믹스 구조와 온체인 데이터를 분석함으로써 단순 마케팅에 속지 않고 진짜 가치를 판별하는 법을 배웁니다.

5단계 The DeFi User 과정에서는 디파이 상품 사용 시 발생할 수 있는 리스크 — 예: 악성 플러그인 통한 백도어 공격, 페깅 붕괴, 유동성 손실 — 에 대응하는 실전 전략도 다룹니다.

이제 단순하게 ‘사는 법’이 아닌, ‘지키는 법’과 ‘검증하는 눈’이 필요합니다.

크립토 투자 시장의 내공은, 위협을 알아보는 데서 시작됩니다.

[토큰포스트 아카데미 수강 신청하기]

커리큘럼: 플러그인 악용 리스크부터 매크로 분석까지, 7단계 마스터클래스

파격 혜택: 첫 달 무료 이벤트 진행 중!

바로가기: https://www.tokenpost.kr/membership

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.

본 기사는 시장 데이터 및 차트 분석을 바탕으로 작성되었으며, 특정 종목에 대한 투자 권유가 아닙니다.

<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>

뉴스

뉴스
리서치

리서치

멤버십
팟캐스트

팟캐스트
포트폴리오

포트폴리오