OpenClaw 생태계 경고: AI Agent 탈취와 사칭 npm 패키지가 동시에 현실화

최근 OpenClaw 관련 이슈는 한 줄로 정리하면 로컬에서 동작하는 실행형 에이전트가 새로운 공격 표면이 되고 있다는 점이다. OpenClaw 공식 보안 문서에 따르면, 이 에이전트는 설정에 따라 임의 쉘 명령 실행, 파일 읽기/쓰기, 네트워크 서비스 접근, 메시지 발송까지 수행할 수 있다. 즉 일반적인 챗봇 수준이 아니라, 로컬 시스템과 외부 서비스 사이를 실제로 연결하고 동작시키는 실행형 도구에 가깝다. 따라서 침해가 발생하면 단순 정보 노출을 넘어 명령 실행, 자격증명 접근(credential access), 데이터 수집, 외부 전송(exfiltration) 까지 연쇄적으로 이어질 수 있다.

이번 이슈는 크게 두 갈래로 나뉜다.

• 첫째는 OpenClaw core 취약점인 ClawJacked 이다.

  • Oasis Security와 관련 보도에 따르면, 사용자가 OpenClaw Gateway를 localhost에 띄운 상태에서 악성 웹사이트를 방문하면, 브라우저 JavaScript가 로컬 WebSocket에 연결해 비밀번호 추측(brute-force) 을 시도하고, 인증에 성공하면 신뢰된 디바이스처럼 등록되어 에이전트를 장악할 수 있었다. 이 문제는 OpenClaw 측이 신속히 수정했으며, Oasis 설명 기준으로 2026.2.25 이상 적용이 필요하다.

    
    

• 둘째는 더 직접적인 침해형 공급망 이슈(supply chain issue) 다.

  • The Hacker News가 인용한 내용에 따르면, @openclaw-ai/openclawai 라는 npm 패키지가 OpenClaw 설치기를 사칭하며 유포되었고, 이 패키지는 2026년 3월 3일 업로드, 기사 시점 기준 178회 다운로드 된 상태였다. 사용자가 이를 설치하면 postinstall 로직을 통해 자신을 다시 전역 설치하고, 정상 설치기처럼 보이는 인터페이스를 띄운 뒤 내부적으로는 GhostLoader 라는 다단계 페이로드를 실행해 원격제어 기능(remote access / RAT) 설치 및 정보탈취(infostealing) 를 수행하는 것으로 설명됐다.

    
    

공개된 분석에서 더 우려되는 부분은 이 악성 패키지가 단순 드로퍼가 아니라는 점이다. 보도된 기능에는 macOS Keychain / iCloud Keychain 접근, 브라우저 저장 비밀번호, 쿠키, 카드정보, autofill 수집, SSH 키 및 암호화폐 지갑 정보 수집, iMessage 데이터 접근, 지속성 확보(persistence), 원격 명령 실행, SOCKS5 프록시, 브라우저 세션 클로닝 등이 포함된다. 즉 개발자가 “OpenClaw 설치” 정도로 인식하고 실행한 패키지가 실제로는 개발 단말 전체를 원격 조작 가능한 자산으로 바꾸는 악성 체인으로 동작할 수 있다는 의미다.

공개된 내용을 기준으로 보면, 이번 이슈는 고정된 IoC 몇 개로 설명되는 유형이라기보다 두 가지 성격이 함께 존재하는 사례에 가깝다. 하나는 localhost WebSocket 악용을 통한 OpenClaw core 취약점(ClawJacked) 이고, 다른 하나는 OpenClaw 설치기를 사칭한 악성 npm 패키지 유포다. 즉 하나는 취약점 악용형, 다른 하나는 사칭 패키지 기반 침해형이라는 점을 구분해서 봐야 한다.

이 사례의 본질은 단순히 “인기 오픈소스 이름을 사칭한 악성 패키지”가 아니라, 로컬에서 실행되며 명령 실행과 외부 연동이 가능한 에이전트 자체가 중요한 운영 자산이 되고 있다는 점에 있다. OpenClaw 공식 보안 문서도 이 에이전트가 쉘, 파일, 네트워크, 메시징 권한을 가질 수 있음을 직접 명시한다. 결국 공격자가 노리는 것은 단순 실행 파일 하나가 아니라, 에이전트가 연결해둔 로컬 권한, 외부 연동 권한, 기억/세션, 워크플로우 전체다. 개발 환경, 테스트 환경, 개인 자동화 환경, Shadow AI 자산에서 특히 주의가 필요하다.

PAGO MDR Center의 OpenClaw 대응 관점

PAGO MDR Center는 위협 연구 및 조사 → 위협 헌팅 → Detection Engineering 과정으로 이어지는 운영 체계를 통해 관련 위협을 효과적으로 탐지하기 위한 활동을 수행하고 있습니다.

이번 유형의 핵심은 단일 파일명이나 해시에만 의존하지 않는 데 있다. PAGO는 localhost 기반 에이전트 통신, 비정상 postinstall 실행, 자격증명 접근(credential access), 외부 전송(exfiltration), 지속성 확보(persistence) 와 같이 침해로 이어지는 흐름을 하나의 연속된 행위 체인으로 식별하는 방식에 초점을 둔다. 이 관점은 OpenClaw의 기본 권한 구조와, ClawJacked 및 사칭 npm 패키지가 각각 로컬 서비스 악용과 설치 체인 오염을 통해 침해로 이어진다는 공개 분석과도 맞닿아 있다.

즉, 이번 건은 “OpenClaw 제품 하나의 이슈”로 끝나지 않는다. ClawJacked는 악성 웹페이지를 통해 localhost 기반 에이전트를 탈취하는 문제이고, 사칭 npm 패키지는 설치 체인을 오염시켜 원격제어 및 정보탈취로 직행하는 문제다. 형태는 다르지만 결과는 같다. 둘 다 실행형 에이전트가 설치된 자산을 공격 거점으로 전환하고, 그 위에서 명령 실행, 자격증명 접근, 지속성 확보, 외부 전송이 가능해진다.

PAGO MDR Center는 이러한 유형을 특정 제품명이 아니라, 개발자 단말과 테스트 자산에서 발생하는 새로운 운영형 공격 표면으로 해석한다. 운영 관점에서 중요한 포인트는 “무슨 도구를 쓰고 있는가” 자체가 아니라, 어떤 에이전트가 어디에 설치되어 있고, 어떤 로컬 권한과 외부 연동 권한을 보유하며, npm, 스크립트, 브라우저 기반 설치/접속 체인이 어떻게 통제되고 있는가다. 앞으로는 기존의 EDR, Proxy, Browser Security 관점에 더해, localhost 기반 에이전트 통신, 비정상 postinstall 실행, 개발자 자산의 자격증명 접근, 외부 전송, 지속성 등록을 하나의 공격 흐름으로 연결해 보는 시각이 필요하다. 이번 OpenClaw 사례는 바로 그 전환점을 보여주는 사건이다.

참고 자료:

• OpenClaw Official Docs

• Oasis Security

• The Hacker News

  
  

작성자: 이시우 Threat Analyst | DeepACT MDR Center