2026년 2월 9일, Slow Mist 보안팀은 OpenClaw의 공식 플러그인 센터인 ClawHub에서 341개의 악성 스킬을 발견했습니다. 이 스킬들은 암호화 자산 관리 도구, 보안 검사 도구 또는 자동화 스크립트로 위장했지만, 실제로는 정교하게 설계된 공격 명령을 실행했습니다. "Crypto Portfolio Optimizer"라는 스킬은 사용자의 신뢰를 얻은 후 로컬 시스템의 ~/.config 디렉터리에서 MetaMask 확장 파일과 니모닉 구문 백업을 검색하기 시작했습니다. 이는 단순한 악성코드 사건이 아닙니다. 사이버 보안 위협이 새로운 단계로 진화했음을 보여주는 사례입니다. 공격자들은 더 이상 소프트웨어 취약점을 악용하는 데 그치지 않고, 인간과 AI 간의 신뢰 관계를 공격하기 시작했습니다. 수백만 명의 사용자가 AI 비서에게 "내 암호화 자산을 관리해 주세요" 또는 "이 거래의 보안을 확인해 주세요"와 같은 지시를 내리는 데 익숙해진 상황에서, 오염된 AI 생태계는 Web3 세계로 침투하는 가장 정교한 백도어가 될 수 있습니다.
공격 패러다임 의 근본적인 변화: 코드 취약점에서 "의도 탈취"로
기존의 사이버 보안은 버퍼 오버플로, SQL 인젝션, 크로스 사이트 스크립팅과 같은 코드 취약점을 중심으로 이루어집니다. 이러한 공격은 소프트웨어 구현상의 오류를 악용합니다. 하지만 AI 에이전트 보안은 의도 탈취라는 완전히 다른 위협 모델에 직면해 있습니다.
사용자는 AI 에이전트에게 "내 투자 포트폴리오를 분석해 주세요", " 유니스왑(Uniswap) 에서 거래를 실행해 주세요", "이 스마트 계약의 보안을 확인해 주세요"와 같은 의도를 전달합니다. 건전한 생태계에서는 AI가 해당 작업에 필요한 도구의 기능을 호출하여 작업을 완료합니다. 그러나 오염된 생태계에서는 악의적인 기능이 이러한 의도를 "가로챕니다". 표면적으로는 AI가 요청된 작업을 수행하는 것처럼 보입니다. 즉, 투자 분석 보고서를 생성하고, 거래를 실행하고, 보안 검사 결과를 반환합니다. 하지만 동시에 사용자가 승인하지 않은 작업을 백그라운드에서 실행합니다. 예를 들어 개인 키를 원격 서버에 업로드하거나, 거래 수신자 주소를 변조하거나, 사용자의 자산을 공격자가 제어하는 지갑으로 전송하는 등의 작업을 수행합니다.
이러한 공격이 은폐되는 이유는 AI 상호작용의 블랙박스적 특성 때문입니다. 사용자들은 AI가 작업을 완료하는 상세한 과정을 이해하기 어렵고, 최종 결과만 볼 수 있습니다. 포트폴리오 분석 스킬이 "실시간 가격을 가져오기 위해 브라우저 확장 프로그램 데이터에 대한 임시 접근 권한"을 요청할 때, 대부분의 사용자는 지갑 정보를 탈취하는 데 이 권한이 악용된다는 사실을 모른 채 동의를 클릭합니다. 341개의 악성 스킬이 동시에 발견된 것은 이러한 공격 패턴이 산업화된 생산 단계에 도달하여 완전한 "스킬 공급망" 공격 시스템을 구축했음을 보여줍니다.
공격 연쇄 분석: 341가지 악의적인 기술의 전략집
Slow Mist가 공개한 공격 세부 정보는 매우 정교한 공격 방식을 보여줍니다. 악성 스킬은 일반적으로 탐지를 회피하기 위해 2단계 로딩 메커니즘을 사용합니다. 첫 번째 단계에서는 Base64로 인코딩된 curl 명령어를 통해 두 번째 단계의 공격 페이로드를 가져오고, 두 번째 단계에서는 dyrtvwjfveyxjf23이라는 이름의 실행 파일을 배포합니다. 이러한 설계 덕분에 스킬 코드 자체는 무해해 보이며, 실행될 때에만 악성 행위가 드러납니다.
더 중요한 것은 공격의 정확한 타겟팅입니다. 이러한 스킬들은 무작위로 배포되는 악성 소프트웨어가 아니라 암호화폐 사용자를 겨냥한 스피어 피싱 공격입니다. "암호화폐 자산 검사기", "가스 수수료 최적화 도구", "스마트 컨트랙트 보안 감사 도우미"와 같은 스킬 이름은 웹3 사용자의 핵심 니즈를 정확하게 겨냥하고 있습니다. 공격자들은 목표 사용자의 심리를 깊이 이해하고 있습니다. 암호화폐 사용자는 보안에 매우 민감하기 때문에 "보안 검사" 유형의 스킬에 쉽게 끌리고, 효율성을 추구하기 때문에 "자동 거래" 도구를 사용하며, 여러 지갑을 관리해야 하기 때문에 "자산 통합 도구"를 사용한다는 것입니다.
공격의 궁극적인 목표 또한 명확한 공격 단계적 확대를 보여줍니다. 초기 공격은 주로 시스템 정보와 문서를 탈취하는 데 그쳤지만, 새롭게 발견된 공격 기법들은 암호화 자산을 구체적으로 겨냥하는 모듈을 포함하기 시작했습니다. 예를 들어 브라우저에서 MetaMask 확장 프로그램 데이터를 검색하거나, 일반적인 지갑 애플리케이션의 설정 파일을 찾고, 키 저장소 디렉터리와 니모닉 구문 백업 파일을 찾는 등의 기법이 있습니다. 일부 기법은 심지어 로컬에서 실행 중인 이더리움 노드와 상호 작용하여 RPC 엔드포인트 설정을 탐색하기도 합니다. "시스템 정보 획득"에서 "암호화 자산 탈취"에 이르기까지, 공격자들은 가장 높은 가치를 추구하는 방향으로 빠르게 진화하고 있습니다.
차세대 공격 예측: AI 에이전트가 APT 공격의 주요 진입점이 될 때
현재의 공격들이 단순히 "개념 증명"에 불과하다면, 다음 단계의 위협은 사이버 보안 환경을 근본적으로 바꿀 것입니다. AI 에이전트는 고도화된 지속적 위협(앱토스(APT)) 공격자에게 이상적인 진입점이 될 수 있습니다. 공격자는 특정 암호화폐 프로젝트 팀을 표적으로 삼아 "스마트 계약 협업 개발 도우미"라는 맞춤형 스킬을 개발할 수 있습니다. 이 스킬을 ClawHub에 배포하고, 소셜 엔지니어링을 통해 대상 팀이 이를 설치하도록 유도합니다. 실행되면 팀의 개발 키와 지갑 정보를 탈취할 뿐만 아니라 코드베이스에 백도어를 심어 스마트 계약 배포 시 자동으로 제어권을 공격자에게 넘깁니다. 공격 과정에서 AI 에이전트는 "트로이 목마"가 되고, 사용자는 자발적으로 이를 시스템에 받아들이게 됩니다.
공격자들은 단일 악성 스킬을 만드는 데 그치지 않고, 인기 있는 오픈 소스 도구의 스킬 버전을 오염시키는 방식으로 공격할 수도 있습니다. 예를 들어, 널리 사용되는 "Web3.py Interaction Assistant" 스킬에 악성 코드가 심어졌다고 가정해 봅시다. 이 스킬을 사용하여 블록체인과 상호작용하는 모든 사용자의 거래가 자신도 모르게 변조될 수 있습니다. 이러한 공격의 파급 효과는 기존의 공급망 공격보다 훨씬 강력한데, 이는 전파 속도와 AI 스킬에 대한 사용자 신뢰도가 모두 더 높기 때문입니다. 미래의 악성 스킬은 어느 정도 자율적인 의사 결정 능력을 갖출 수도 있습니다. 사용자의 운영 패턴을 관찰하여, 사용자가 DeFi 프로토콜을 자주 이용한다면 DeFi 관련 키 탈취에 집중하고, 많은 NFT를 보유하고 있다면 NFT 마켓플레이스 권한 획득을 목표로 삼을 수 있습니다. 이러한 적응 능력은 기존의 규칙 기반 보안 탐지 방식을 완전히 무력화시킬 것입니다.
보안 패러다임 의 혁명: "시그니처 탐지"에서 "행동 의도 모니터링"으로
AI 에이전트 보안 위협에 직면하여 기존 보안 솔루션은 더 이상 유효하지 않습니다. 안티바이러스 소프트웨어의 시그니처 데이터베이스는 매일 생성되는 수백 가지의 새로운 AI 스킬을 처리할 수 없으며, 방화벽 네트워크 트래픽 모니터링으로는 AI 에이전트 내부의 의도 흐름을 파악할 수 없고, 권한 기반 접근 제어는 "정상적인 지갑 읽기"와 "악의적인 키 탈취"를 구분하기에는 너무 세분화되어 있습니다.
새로운 보안 패러다임 세 가지 핵심 원칙을 중심으로 재구축되어야 합니다. 첫째, 의도와 행동의 실시간 정렬 및 검증입니다. 보안 시스템은 AI 에이전트의 전체 실행 과정을 모니터링해야 합니다. 사용자의 최초 입력 의도 → AI가 이해한 의도 분해 → 스킬 호출의 특정 작업 → 최종 결과까지 모든 단계를 감시해야 합니다. 각 단계 간의 불일치가 발생하면 경고가 발생해야 합니다. 예를 들어, 스킬이 "투자 포트폴리오 확인"이라는 의도로 브라우저 확장 프로그램 데이터를 읽으려고 시도하는 경우, 이는 의심스러운 행동으로 간주되어야 합니다. 둘째, 최소 권한의 샌드박스 실행 환경입니다. 각 AI 스킬은 작업을 완료하는 데 필요한 최소한의 데이터 세트에만 접근할 수 있는 엄격하게 격리된 샌드박스에서 실행되어야 합니다. 투자 분석 스킬이라면 파일 시스템 접근 권한이 필요 없고, 거래 실행 스킬이라면 특정 DApp에 대한 상호 작용 권한만 있으면 되고 전체 브라우저를 제어할 필요는 없습니다. 셋째, Docker와 같은 컨테이너화 기술을 AI 에이전트 생태계에 도입해야 합니다. 마지막으로, 분산형 평판 및 검증 네트워크가 필요합니다. 보안 검토를 위해 중앙 집중식 "공식 플러그인 센터"에만 의존하는 방식은 단일 실패 지점으로 작용한다는 것이 입증되었습니다. 미래에는 스마트 계약 감사와 유사한 분산형 평판 시스템 구축이 필요합니다. 스킬 개발자는 검증 가능한 신원을 바탕으로 스킬을 게시하고, 보안 전문가는 스킬을 감사하고 감사 보고서를 게시하며, 사용자는 감사 이력과 커뮤니티 피드백을 기반으로 설치 여부를 결정합니다. 블록체인 기술 자체를 활용하여 스킬 해시와 감사 증명을 저장함으로써 불변성을 보장할 수 있습니다.
비상 행동 지침: 폭풍 전 방어 태세 강화
Web3 사용자, 개발자 및 프로젝트 관계자 여러분, 즉각적인 조치가 매우 중요합니다. 일반 사용자는 스킬 설치 시 "3가지 금지 원칙"을 준수해야 합니다. 출처를 알 수 없는 스킬은 설치하지 말고, 과도한 권한을 요구하는 스킬도 설치하지 말고, 커뮤니티 검증 이력이 없는 스킬도 설치하지 마십시오. 동시에 "3중 방어 체계"를 구축하여 환경을 격리해야 합니다. 암호화 자산 운영에는 전용 기기 또는 가상 머신을 사용하고, AI 에이전트 사용 환경과 자산 저장 환경을 물리적으로 분리하며, 용도별로 사용하는 지갑에 서로 다른 보안 수준을 설정하십시오. 행동 모니터링을 위해서는 "3가지 점검 지점"을 설정해야 합니다. 설치된 스킬 목록을 정기적으로 검토하고, AI 에이전트의 네트워크 연결 요청을 모니터링하며, 스킬에서 생성되는 파일과 시스템 변경 사항을 감사하십시오.
개발자는 엔지니어링 과정에서 "보안을 초기 단계부터 고려하는" 방식을 도입해야 합니다. 즉, 스킬 설계 단계에서 보안 제약 조건을 고려하고, 세분화된 권한 관리를 구현하며, 일괄적인 "모든 권한 부여 또는 아무것도 부여하지 않는" 방식의 권한 부여를 지양해야 합니다. 모든 타사 라이브러리, 특히 민감한 데이터를 처리하거나 중요한 작업을 수행하는 라이브러리에 대해 "심층적인 보안 감사"를 실시해야 합니다. 자동화된 보안 스캔을 CI/CD 파이프라인에 통합하고, 스킬의 모든 버전에 대해 정적 및 동적 분석을 수행하며, 지속적 통합을 위한 "보안 게이트"를 구축해야 합니다.
프로젝트 참여자들은 생태계 전반에 대한 책임을 져야 하며, 기술 시장에 대한 엄격한 "접근 메커니즘"을 구축하고, 개발자에게 기술에 대한 신원 확인 및 보안 설명을 제공하도록 요구하고, 신속한 서비스 중단, 사용자 알림 및 손실 평가를 포함한 명확한 "긴급 대응" 계획을 수립해야 합니다. 버그 바운티 프로그램을 통해 화이트햇 해커들이 보안 문제를 발견하도록 장려하고, 보안 교육을 통해 생태계 전체의 보안 인식을 높이며, 건전한 "보안 문화"를 조성해야 합니다.
지능화 시대에 신뢰의 경계를 재정의하다
341개의 악성 스킬은 단순한 보안 사고가 아닙니다. 이는 경계가 재정립되었음을 알리는 선언입니다. 이 경계의 한쪽에는 생산성 도구로서 AI 에이전트의 무한한 잠재력이 있고, 다른 한쪽에는 인간과 AI 간의 새로운 신뢰 관계를 악용하여 차원 축소 공격을 감행하는 공격자들이 있습니다. 과거에는 운영 체제, 애플리케이션, 네트워크 프로토콜 수준에서 보안 방어를 구축했습니다. 그러나 이제는 의도가 실행으로 이어지는 계층에서 새로운 방어선을 구축해야 합니다. 이 방어선은 더 이상 데이터와 시스템만을 보호하는 것이 아니라, 인간과 AI 협업의 기반이 되는 신뢰를 지켜야 합니다.
웹3 환경에서 이러한 문제는 특히 심각합니다. 웹3의 핵심 약속은 중앙 집중식 기관으로부터 개인에게 통제권을 되돌려주는 것인데, AI 에이전트는 이러한 약속의 "트로이 목마"가 될 수 있습니다. 표면적으로는 사용자에게 더 큰 통제권을 부여하는 것처럼 보이지만, 실제로는 새로운 중앙 집중화 위험 요소를 만들어낼 수 있기 때문입니다. 사용자가 암호화 자산을 안전하게 관리하기 위해 AI 에이전트를 전적으로 신뢰해야 한다면, "내 키, 내 암호화 자산"이라는 핵심 원칙은 실질적으로 무의미해집니다. 해결책은 단 하나의 기술이나 단 하나의 팀에서 나올 수 없습니다. 보안 연구원, AI 개발자, 블록체인 엔지니어, 그리고 최종 사용자의 공동 참여가 필요합니다. 새로운 보안 프로토콜, 새로운 감사 표준, 새로운 거버넌스 모델이 필요합니다. 하지만 무엇보다 중요한 것은 인지적 각성입니다. AI가 가져온 효율성 혁명을 수용하는 동시에, 인간과 기계 사이의 재정의된 신뢰 경계를 동등하거나 그 이상의 경계심으로 지켜야 합니다. 341개의 악성 스킬은 경고이기도 하지만 기회이기도 합니다. 이는 AI 에이전트가 주류가 되기 전에 가장 심각한 보안 문제를 직면하고 해결하도록 우리를 압박합니다. 이 전투의 결과는 우리가 모두가 안전하게 지능형 에이전트를 사용할 수 있는 미래로 나아갈지, 아니면 모든 AI 비서가 잠재적인 공격자가 될 수 있는 암흑의 숲으로 발을 들여놓을지를 결정할 것입니다. 선택은 바로 지금 이 순간에 달려 있습니다.
