OpenClaw, 스킬(Skills)을 통한 악성코드 유포, 보안의 새로운 위협!

본문에서는 OpenClaw 에이전트의 스킬(Skills)이 악성코드 유포의 주요 경로로 악용될 수 있음을 경고한다. 특히, 스킬이 단순한 문서 형태가 아닌, 실행 가능한 명령(Executable Commands)을 포함할 수 있다는 점을 강조한다. 실제 사례로, 인기 있는 'Twitter' 스킬이 악성코드 설치(Malware Installation)를 위한 일련의 단계를 포함하고 있었으며, 이는 사회 공학적 기법(Social Engineering)을 통해 사용자를 속여 악성 코드를 실행하도록 유도했다.

MCP(Model Context Protocol)가 스킬 실행을 위한 안전 장치로 여겨질 수 있지만, 실제로는 완벽한 보안을 보장하지 못한다는 점을 지적한다. 기술적으로 보면, 스킬은 MCP를 우회하여 직접적인 쉘 명령(Shell Commands)을 실행하거나, 외부 스크립트를 호출할 수 있다. 이는 MCP의 툴 호출(Tool Call) 제어 기능을 무력화시키며, 악성 스킬이 시스템에 접근할 수 있는 경로를 열어준다. 따라서 MCP는 안전 시스템의 일부일 뿐, 만능 해결책(Silver Bullet)이 될 수 없다.

OpenClaw 뿐만 아니라, Agent Skills 형식을 채택하는 다른 에이전트 시스템에서도 유사한 위험이 존재한다고 경고한다. 특히, 스킬이 오픈 표준(Open Standard)을 따르기 때문에, 악성 스킬이 여러 에이전트 생태계에서 공유될 수 있다. 이는 악성코드의 광범위한 확산(Widespread Propagation)을 가능하게 하며, 개발자들은 특정 에이전트 시스템에 국한되지 않는 보안 위협(Security Threat)에 직면하게 된다.

저자는 안전한 에이전트 시스템 구축을 위해 신뢰 계층(Trust Layer)의 중요성을 강조한다. 구체적으로, 스킬의 출처(Provenance)를 명확히 하고, 실행 권한을 최소화하며, 시간 제한(Time-bound) 및 취소 가능한(Revocable) 권한 부여를 통해 보안을 강화해야 한다고 주장한다. 또한, 에이전트가 수행하는 모든 작업에 대한 감사(Audit) 기능을 구축하여, 잠재적인 보안 사고에 대한 대응 능력을 향상시켜야 한다.

댓글에서는 LLM(Large Language Model) 기반 에이전트의 근본적인 문제점을 지적한다. 특히, LLM은 명령(Instruction)과 콘텐츠(Content)를 구분하지 못하기 때문에, 임의의 입력에 취약하다는 점을 강조한다. 따라서, 가드레일(Guardrail)을 통해 안전성을 확보하는 것은 어렵다는 의견이다. 자연어의 복잡성으로 인해, LLM 기반 에이전트는 악의적인 입력(Malicious Input)에 노출될 위험이 높다.