지난 몇 년 동안 "AI 에이전트"는 단순한 마케팅 용어를 넘어 실제 워크플로우를 의미하는 단어로 자리 잡았습니다. 파일을 읽고, 브라우저를 열고, 명령어를 실행하고, 여러 서비스의 작업을 통합할 수 있는 도우미가 된 것입니다. 이것이 바로 AI 에이전트의 미래입니다.
문제는 바로 이것입니다.전력에는 유통 채널이 있습니다.그리고 그 채널은 점점 더 그렇게 불리고 있습니다.기능에이전트(그리고 종종 사용자)에게 특정 작업을 수행하는 방법을 알려주는 작고 공유 가능한 "사용법 안내" 패키지입니다. 에이전트를 위한 앱 스토어와 같은 개념이지만, 이러한 "앱"은 종종마크다운 지침.
이번 주에 보고된 악성 OpenClaw 스킬 관련 소식은 오픈소스 공급망 역사의 한복판이 재현될 조짐을 보여주는 매우 강력한 초기 신호입니다. 다만, 컴파일된 종속성을 오염시키는 대신, 공격자는 자체적으로 악성 코드를 유포할 수 있다는 점에서 차이가 있습니다.선적 서류 비치그리고 그 약제의 도움을 윤활유로 활용하십시오.
아래는 실제로 어떤 일이 일어났는지, 왜 그렇게 효과적인지, 그리고 여러분이 무엇을 할 수 있는지에 대한 실용적인 설명입니다.
OpenClaw 스킬이란 무엇이며, 왜 중요한가?
OpenClaw는 간단한 확장 모델을 대중화했습니다. 소셜 미디어 게시, 폴더 정리, 보고서 요약, 워크플로 자동화와 같은 특정 작업을 수행하는 방법을 설명하는 "스킬"을 추가하면 상담원이 새로운 기능을 활용할 수 있게 되는 방식입니다.
더 넓은 "에이전트 스킬" 생태계에서 스킬은 일반적으로 특정 요구 사항을 중심으로 구성된 폴더입니다.스킬.md파일. 해당 파일에는 다음 내용이 포함되어 있습니다.
- 메타데이터(이름/설명)
- 지침(실제 단계)
- 선택 사항:스크립트및 기타 번들 자산
그건 문서처럼 보여서 별문제 없어 보일 수 있습니다. 하지만 사람들은 문서, 특히 필수 조건 목록이나 설치 가이드처럼 보이는 것을 가장 먼저 따라합니다.
스킬 시장에는 '승자 독식'의 역학 관계가 존재합니다. 사람들은 인기 있는 것, 새로운 것, 그리고 시간을 절약해 줄 것 같은 것에 몰립니다. 따라서 공개 스킬 마켓플레이스는 매우 가치 있는 목표물이 됩니다. 인기 있는 몇 가지 다운로드를 확보하면 개발자, 운영자, 그리고 컴퓨터에 중요한 자격증명을 보유한 모든 사람과 같은 핵심 사용자층에 집중적으로 접근할 수 있기 때문입니다.
핵심 비결은 바로 이것입니다. 마크다운은 더 이상 "콘텐츠"가 아니라 설치 프로그램이라는 점입니다.
기존 소프트웨어 공급망 공격은 종종 기술적 투자를 필요로 합니다. 여기에는 종속성 혼동, 타이포스쿼팅, 악성 설치 후 스크립트, 패키지 이름 제어 유지, 스캐너 회피 등이 포함됩니다.
기술 마켓플레이스는 진입 장벽을 낮춥니다.
악의적인 스킬은 이처럼 간단한 일을 할 수 있습니다.
- 타당한 도구(예: "트위터 스킬", "암호화폐 추적기", "자동화 도우미")를 제시하십시오.
- "필수 종속성"이 포함된 "사전 요구 사항" 섹션을 추가하세요.
- 편리한 링크와 한 줄짜리 명령어를 제공하세요.
- 실행은 사람(또는 에이전트)에게 맡기세요.
이는 새로운 사회공학적 아이디어가 아닙니다. 수년 동안 사용되어 왔습니다. 하지만 에이전트 워크플로는 다릅니다.더욱 상 세히 하다그것:
- 상담원들은 문서 내용을 자신 있게 요약합니다("이 명령어를 실행하기만 하면 종속성이 설치됩니다").
- 에이전트는 명령어를 생성해 줌으로써 사용자의 불편함을 줄여줍니다.
- 일부 설정에서는 에이전트가 셸 명령을 직접 실행할 수 있습니다.
그 시점에서 "문서화"는 원격 실행 경로가 됩니다.
보고서에 따르면 오픈클로 생태계에서 무슨 일이 일어났을까요?
여러 보고서에 따르면 공격자들은 ClawHub 마켓플레이스에 대량의 악성 스킬을 업로드하고 "설치 단계"를 이용하여 정보 탈취 악성 소프트웨어를 배포하는 캠페인을 벌였습니다.
1Password의 제이슨 멜러에 따르면, 가장 많이 다운로드된 스킬 중 하나에는 사용자를 단계별 전달 체인으로 유도하는 지침이 포함되어 있었습니다. 이 체인에는 "종속성" 링크, 난독화된 명령, 그리고 최종적으로 컴퓨터에서 중요한 비밀 정보를 빼내도록 설계된 정보 탈취 악성 프로그램을 설치하는 페이로드가 포함되어 있었습니다.
사이버인사이더는 코이 시큐리티의 연구를 인용하여 유사한 패턴이 대규모로 나타난다고 설명합니다. 트로이목마화된 스킬은 "사전 요구 사항"을 통해 사용자에게 난독화된 셸 스크립트를 실행하거나 암호로 보호된 아카이브를 다운로드하도록 지시하며, 최종적으로는 자격 증명 탈취 및 지갑 공격과 관련된 악성코드 계열인 AMOS(Atomic macOS Stealer)와 같은 페이로드를 실행합니다.
보고서마다 정확한 수치가 다를 수 있지만,모양일관성이 있습니다:
- 배포에 사용되는 기술
- 설득 수단으로 사용된 "사전 요구 사항" 지침
- 정보 탈취는 최종 목표로 사용됩니다.
최종 목표가 중요합니다. 현대의 정보 탈취범들은 하나의 비밀번호를 노리는 것이 아니라, 여러 정보를 노리고 있습니다.세션 토큰,브라우저 프로필,SSH 키,클라우드 자격 증명, 그리고암호화폐 지갑다시 말해, 노트북 하나가 해킹당하면 더 광범위한 보안 침해로 이어지는 요소들을 말합니다.
왜 에이전트들은 이것을 일반적인 사기성 다운로드 링크보다 더 나쁘게 만드는 걸까요?
"나는 그런 사기에 속지 않을 거야"라고 생각해 본 적이 있다면, 침착하고 회의적인 태도를 유지한다면 당신의 생각이 맞을 가능성이 높습니다.
하지만 상담원 워크플로는 상황을 바꿉니다.
- 속도가 기본값이 된다.부동산 중개인을 이용하는 이유는 신속하게 움직이고 싶기 때문입니다.
- 인지 부하는 외부로 위탁됩니다.상담원은 어수선한 안내문을 자신감 넘치는 체크리스트로 바꿔놓습니다.
- 권위는 빌려온 것이다.상담원이 "이것은 표준적인 부양 가족입니다"라고 말하면, 검증된 것처럼 느껴집니다.
다시 말해, 에이전트를 기술적인 의미에서 "속일" 필요는 없습니다. 위험한 행동을 하도록 유도될 때 에이전트가 그 자리에 있기만 하면 됩니다. 그것만으로도 행동 변화를 유도하기에 충분합니다.
그리고 만약 당신이하다에이전트가 명령을 직접 실행할 수 있도록 허용하면 악성 스킬이 "핸즈프리 침해"로 이어질 수 있습니다.
'하지만 MCP는 어떻습니까? MCP는 공구를 더 안전하게 만들어주는 것 아닌가요?'
모델 컨텍스트 프로토콜(MCP)은 도구 접근 구조화에 있어 진정한 진전입니다. MCP는 호스트가 도구, 리소스 및 프롬프트를 노출하는 방식을 표준화하고 사용자 동의 및 제어를 강조합니다.
하지만 MCP가 마법처럼 "스킬"을 안전하게 만들어주는 것은 아닙니다.
왜?
- 스킬은 사용자가 MCP 경계 외부에서 명령을 실행하도록 지시할 수 있습니다.
- 스킬은 MCP를 전혀 거치지 않는 스크립트나 다운로드에 연결될 수 있습니다.
- 모든 스킬이 MCP를 사용하는 것은 아닙니다.
MCP는 호스트가 강력한 권한 설정, 명확한 동의 요청, 로깅 및 안전한 기본 설정을 구현할 때 도움이 될 수 있습니다. 그러나 마크다운 기반 배포 메커니즘은 여전히 일반적인 소셜 엔지니어링을 통해 이를 우회할 수 있습니다.
이것은 공급망 보안의 에이전트 버전입니다(그리고 우리는 이미 이런 상황을 경험한 적이 있습니다).
소프트웨어 업계는 뼈아픈 교훈을 얻었다:
- 인기 있는 레지스트리가 악용되는 경우가 있습니다.
- 타이포스쿼팅은 효과가 있다.
- “이 도우미 프로그램을 설치하세요”는 흔히 볼 수 있는 시작점입니다.
- 가장 값진 희생자는 무언가를 만들어내는 사람들이다.
스킬 마켓플레이스는 이러한 교훈들을 두 가지 새로운 촉진 요인과 결합합니다.
- "패키지"는 지침일 수 있습니다.코드가 아니라 지침입니다. 지침은 정확하게 스캔하기가 더 어렵습니다.
- 런타임 환경은 자격 증명으로 가득 차 있습니다.설계 의도: 모든 곳에 로그인된 브라우저, SSH 키가 있는 터미널, 클라우드 CLI, 암호 관리자 및 로컬 파일.
어떤 의미에서 스킬 마켓플레이스는 앱 스토어와 같은데, 거기서 인기 앱들은 "이 코드를 터미널에 복사해서 붙여넣으면 기능을 활성화할 수 있습니다."라고 말할 수 있죠. 이건 체크박스 하나로 해결할 수 있는 문제가 아닙니다.
(일반 사용자를 위한) 실질적인 방어책
로컬 액세스 권한이 있는 에이전트를 테스트하는 경우, 마치 강력한 권한을 가진 새로운 운영 체제 사용자처럼 다뤄야 합니다.
실용적인 기준은 다음과 같습니다.
- 전용 머신이나 가상 머신을 사용하세요.에이전트 실험용입니다. 저장된 회사 로그인 정보는 없습니다. 운영 SSH 키도 없습니다. 클라우드 관리자 세션 정보도 없습니다.
- 한 줄 명령으로 설치하는 경우 기본값은 "아니요"입니다.특히 curl 명령어를 sh 명령어로 파이프하거나, base64를 사용하거나, 운영체제 보호 기능을 제거하라고 요구하는 모든 작업에서 그렇습니다.
- "가장 많이 다운로드된 사람"이라는 말을 믿지 마세요.인기는 성장을 위한 전략이지, 안정적인 모델이 아닙니다.
- 이미 무언가를 실행했다면 중요한 것부터 먼저 로테이션하세요.브라우저 세션, SSH 키, API 토큰, 클라우드 키.
- 소스 코드 관리가 가능하고 검토 가능한 기술을 선호합니다.(이력 정보가 있는 Git 저장소, 알려진 관리자, 명확한 출처).
마켓플레이스가 살아남으려면 무엇을 해야 할까요?
공개 스킬 레지스트리를 운영한다면 공격 표면을 운영하는 것과 마찬가지입니다.
공격자의 비용을 의미 있게 높이는 몇 가지 실질적인 조치:
- 출판사 평판 및 출처(신원 확인, 이력, 서명).
- 자동 스캔의심스러운 패턴(인코딩된 페이로드, 난독화된 한 줄짜리 명령, 격리 해제, 암호로 보호된 아카이브, 외부 링크가 포함된 "핵심 종속성 설치" 등)을 탐지합니다.
- 경고 UI 마찰외부 링크 및 셸 명령의 경우.
- 신속한 사태 진압 및 가시적인 사건 대응(앱스토어처럼 생각하세요, 페이스트빈처럼 생각하지 마세요.)
이 방법들이 완벽한 것은 아니지만, 시간을 벌어주는 데는 도움이 됩니다. 그리고 시간은 수비수에게 필요한 것이죠.
부동산 중개업자들이 앞으로 예상해야 할 사항은 무엇일까요?
에이전트 런타임 자체를 구축하는 경우, 스킬이 무기화될 수 있다고 가정해야 합니다.
즉, 다음과 같은 의미입니다.
- 기본적으로 명령 실행을 거부합니다.(한 번 설정하면 영구적으로 변경되는 것이 아니라, 명령별로 동의를 구해야 합니다.)
- 강력한 샌드박싱파일 시스템 및 브라우저 접근을 위해서입니다.
- 범위가 지정되고 기간이 제한된 권한취소가 간편합니다.
- 감사 가능한 로그에이전트가 읽은 내용과 실행한 내용.
최종 목표는 수년 전 클라우드가 나아갔던 방향과 동일합니다. 즉, ID, 정책, 최소 권한 및 감사 추적을 워크스테이션 수준까지 끌어올리는 것입니다.
결론적으로
OpenClaw의 기술 관련 이야기는 단순히 "몇몇 사람들이 악성 소프트웨어를 업로드했다"는 이야기가 아닙니다. 이는 차세대 공급망 전쟁의 전조입니다.기술은 배포 수단, 마크다운은 실행 경로, 에이전트는 가속기 역할을 합니다.
에이전트가 개인용 및 업무용 컴퓨터에서 작동하려면, 생태계는 스킬 마켓플레이스를 앱 스토어처럼, 문서를 코드처럼, 그리고 "유용한 자동화"를 단순한 편의 기능이 아닌 특권 작업으로 취급하는 신뢰 계층을 구축해야 합니다.
출처
- https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
- https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
- https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
- https://agentskills.io/what-are-skills
- https://modelcontextprotocol.io/specification/2025-06-18