“AI 에이전트 보안 사실상 무력화”…서틱, 오픈 클로 취약성 실험으로 경고

급속히 성장하는 AI 에이전트 생태계에서 보안 구조에 대한 근본적 재설계 필요성이 제기됐다.

18일 서틱(CertiK)은 “현재 AI 에이전트 생태계는 보안 경계를 잘못 인식하고 있으며, 사전 검수 중심 구조로는 실제 공격을 방어하기 어렵다”고 밝혔다. 최근 오픈소스 자가 호스팅 AI 에이전트 플랫폼 오픈클로(OpenClaw)는 높은 확장성과 자율적 배포 구조를 기반으로 빠르게 성장하며 개인 AI 에이전트 시장의 주요 플랫폼으로 부상했다.

오픈클로의 핵심 구성 요소인 클로허브(Clawhub)는 다양한 서드파티 Skill 플러그인을 제공하는 애플리케이션 마켓으로, 웹 검색, 콘텐츠 생성, 암호화폐 지갑 조작, 온체인 상호작용, 시스템 자동화 등 고급 기능을 에이전트에 손쉽게 추가할 수 있도록 한다. 이에 따라 사용자 수와 생태계 규모는 빠르게 확대되고 있다.

문제는 이러한 Skill이 고권한 환경에서 실행된다는 점이다. 일부 Skill은 로컬 파일 접근, 시스템 명령 실행, 외부 서비스 연결, 심지어 암호화 자산 조작까지 가능하다. 이로 인해 취약점이 존재할 경우 정보 유출, 원격 제어, 자산 탈취 등 심각한 보안 사고로 이어질 수 있다.

현재 업계는 ‘등록 전 스캔 및 검수’를 주요 보안 수단으로 활용하고 있다. 클로허브 역시 바이러스토탈 기반 코드 스캔, 정적 분석, AI 기반 로직 검증을 결합한 3단계 검수 체계를 운영하고 있다. 그러나 서틱의 연구에 따르면 이러한 방식은 실제 공격 환경에서 핵심 방어선으로 작동하기 어렵다.

정적 분석은 코드 패턴을 기반으로 위험을 탐지하지만, 공격자는 단순한 문법 변경만으로 동일한 악성 로직을 유지하면서 탐지를 회피할 수 있다. AI 검증 또한 기능 설명과 실제 동작 간 불일치 탐지에 초점을 맞추고 있어, 정상 기능 내부에 숨겨진 악성 행위를 식별하는 데 한계가 있다.

더욱 큰 문제는 검수 절차 자체의 구조다. 바이러스토탈 검사가 완료되지 않은 상태에서도 Skill이 마켓에 등록되고 설치가 가능해 공격자에게 침투 기회를 제공하는 것으로 나타났다.

서틱은 이러한 취약성을 검증하기 위해 ‘test-web-searcher’라는 Skill을 제작했다. 해당 Skill은 정상적인 웹 검색 도구로 위장했지만 내부에는 원격 코드 실행 취약점이 포함돼 있었다. 테스트 결과 이 Skill은 모든 검수 절차를 통과했으며, 검사 완료 전 상태에서도 정상적으로 배포됐다. 이후 텔레그램을 통해 단일 명령을 전달하자 취약점이 실행되며 호스트 시스템에서 임의 명령 수행이 가능해졌다. 실제 시연에서는 시스템 제어를 통해 계산기를 실행하는 데 성공했다.

서틱은 이러한 문제가 특정 플랫폼의 결함이 아니라 AI 에이전트 산업 전반의 구조적 문제라고 지적했다. 현재 업계는 ‘사전 스캔’을 보안의 핵심으로 인식하고 있지만, 실제로는 실행 단계에서의 강제 격리와 권한 통제가 더 중요하다는 설명이다.

이는 애플 iOS 보안 모델과 대비된다. iOS는 앱 심사보다 시스템 차원의 샌드박스 구조와 권한 분리를 통해 보안을 확보한다. 반면 오픈클로는 샌드박스가 선택 사항이며 사용자 설정에 의존하고 있어, 대부분의 사용자가 기능 활용을 위해 이를 비활성화하면서 보안이 약화되는 구조다.

이에 따라 서틱은 개발자와 사용자 모두에게 보안 강화를 권고했다. 개발자는 샌드박스를 기본값으로 강제 적용하고, Skill 권한을 세분화하며, 서드파티 코드가 고권한을 자동으로 상속받지 않도록 설계해야 한다고 강조했다.

사용자에게는 ‘안전 표시’가 절대적 보안을 의미하지 않는다는 점을 인지하고, 민감한 데이터나 자산과 분리된 환경에서 AI 에이전트를 사용하는 것이 필요하다고 조언했다.

결론적으로 서틱은 AI 에이전트 산업이 빠르게 성장하는 만큼 보안 체계 역시 이에 맞춰 진화해야 한다고 강조했다. “완벽한 탐지”가 아니라 “피해를 제한하는 구조”로의 전환이 필요하며, 실행 단계에서의 격리와 권한 통제가 이루어질 때만 안정적인 생태계 구축이 가능하다고 분석했다.