모든 것을 바꾼 한 주
2026년 2월 24일부터 3월 2일 사이, OpenClaw는 프로젝트의 회복력, 커뮤니티의 신뢰, 그리고 압박 속에서의 대응 능력을 시험하는 연쇄적인 보안 사건에 직면했습니다. 이 글은 무엇이 일어났는지, 팀이 어떻게 대응했는지, 그 결과로 무엇이 변경되었는지에 대한 완전한 기록입니다.
사건 1: 제로 클릭 WebSocket 하이재킹 (CVE-2026-25253)
무슨 일이 있었나
2월 26일, 보안 연구자들이 치명적인 무상호작용 취약점을 공개했습니다: 모든 악성 웹사이트가 사용자의 어떤 행동도 필요 없이 — 클릭도, 플러그인도, 확장 프로그램도 없이 — 사용자의 OpenClaw 에이전트의 전체 제어권을 조용히 탈취할 수 있었습니다.
작동 방식
- 1.사용자가 악성 JavaScript가 포함된 웹페이지를 방문합니다
- 2.스크립트가
localhost의 OpenClaw 게이트웨이에 WebSocket 연결을 엽니다 - 3.스크립트가 초당 수백 번의 시도로 게이트웨이 비밀번호를 무차별 대입합니다
- 4.게이트웨이의 속도 제한기가 localhost 연결을 완전히 면제했습니다 — 실패한 시도가 계산되지도, 제한되지도, 기록되지도 않았습니다
- 5.인증되면, 스크립트는 조용히 신뢰할 수 있는 기기로 등록됩니다
- 6.공격자가 전체 제어권을 획득합니다: 메시지 읽기, 명령 실행, 파일 접근, API 키 유출
대응
OpenClaw 보안팀은 이를 높은 심각도(CVSS 8.8)로 분류하고 공개 후 24시간 이내에 버전 2026.2.25에서 패치를 배포했습니다. 수정 사항:
- •속도 제한에서 localhost 면제 제거
- •WebSocket 출처 확인 추가
- •모든 소스에 대한 연결 시도 로깅 도입
- •새 기기 등록 시 재인증 요구
영향
공개 전 실제 악용의 확인된 증거는 없지만, 취약점 창은 약 6주였습니다(v2026.1.12에서 localhost 면제가 도입된 이후).
사건 2: ClawHub 공급망 위기
무슨 일이 있었나
WebSocket 취약점과 병행하여, 여러 기업의 보안 연구자들이 ClawHub에 등록된 전체 스킬의 약 20% — 약 1,700개 중 341개 — 가 악성이거나 의심스러운 행동을 포함하고 있다는 조사 결과를 발표했습니다.
악성 스킬의 행위
- •데이터 유출: 환경 변수, API 키, 대화 로그를 외부 서버로 조용히 업로드
- •자격 증명 수집: 연결된 서비스(Slack, Discord, Gmail)의 인증 토큰 캡처
- •백도어 설치: 호스트 시스템에 지속적인 리버스 셸 설정
- •프롬프트 인젝션: 사용자에게는 정상적으로 보이면서 공격자의 목표를 위해 에이전트의 행동 조작
대응
OpenClaw는 ClawHub 제출 파이프라인에 VirusTotal 스캐닝을 통합했습니다. 이제 모든 새 스킬과 스킬 업데이트는:
- 1.VirusTotal의 멀티 엔진 분석으로 스캔됩니다
- 2.알려진 악성 패턴에 대한 정적 코드 분석을 받습니다
- 3.상승된 권한을 요청하는 스킬은 게시 전 사람이 검토합니다
- 4.설치 전 사용자에게 보이는 신뢰 점수가 태그됩니다
추가로, 식별된 341개의 모든 악성 스킬이 제거되었고, 게시자들은 차단되었으며, 영향을 받은 사용자들에게 알림이 발송되었습니다.
사건 3: 설정 파일 인포스틸러
무슨 일이 있었나
별도의 캠페인이 소셜 엔지니어링을 통해 OpenClaw 사용자를 타겟으로 했습니다: GitHub, Reddit, 중국 개발자 포럼을 통해 배포된 가짜 "최적화 가이드"와 "성능 도구"에 다음을 구체적으로 노리는 인포스틸러가 포함되어 있었습니다:
- OpenClaw 설정 파일(.clawrc