오픈클로우 보안 취약점 체계적 분류와 교차 레이어 공격 분석

본 논문은 AI 에이전트 프레임워크가 LLM의 추론 결과를 직접 실행 명령으로 변환함에 따라 발생하는 새로운 보안 위협을 체계적으로 분석한다. 연구 대상은 2025년 말에 공개된 오픈소스 AI 에이전트 런타임인 OpenClaw이며, 2026년 2월까지 보고된 190건의 보안 자문을 기반으로 한다. 논문은 먼저 OpenClaw의 전체 아키텍처를 상세히 설명한다. 핵심 컴포넌트는 (1) 외부 메신저와 연결되는 채널 시스템, (2) 모든 입·출력을 중계하고 인증·라우팅을 담당하는 게이트웨이, (3) 플러그인·스킬을 로드해 LLM 컨텍스트에 주입하는 플러그인·스킬 시스템, (4) LLM 추론 루프와 툴 호출을 관리하는 에이전트 런타임, (5) 세션 히스토리와 장기 메모리를 관리하는 메모리·지식 시스템, (6) 외부 LLM 제공자와의 인터페이스, (7) 실제 호스트에서 명령을 실행하는 로컬 실행 환경(노드‑호스트)이다. 각 컴포넌트는 서로 다른 신뢰 수준을 가지며, 신뢰 경계가 레이어마다 분산돼 있다. 다음으로 논문은 190개의 자문을 두 축으로 분류한다. ‘시스템 축’은 취약점이 발생한 레이어를 의미하며, 총 10개의 세부 레이어(예: exec policy, gateway, channel, sandbox, browser, plugin, agent/prompt 등)로 구분한다. ‘공격 축’은 공격자가 활용한 기법을 나타내며, 신원 스푸핑, 정책 우회, 교차 레이어 조합, 프롬프트 인젝션, 공급망 신뢰 상승 등 7가지 카테고리로 정리한다. 이 두 축을 매트릭스로 결합해 어느 레이어가 어떤 공격에 취약한지를 시각화한다. 주요 발견은 세 가지이다. 첫째, 게이트웨이와 노드‑호스트 서브시스템에 존재하는 세 개의 중간·고위험 자문(두 개는 Moderate, 하나는 High)이 서로 연결돼 LLM 툴 호출 → 게이트웨이 인증 우회 → 노드‑호스트 exec 파이프라인 우회 → 원격 코드 실행이라는 완전한 무인 RCE 경로를 형성한다. 이는 기존 보안 패치가 레이어별로만 적용될 경우 전체 공격 사슬을 차단하지 못함을 보여준다. 둘째, OpenClaw의 exec allowlist은 명령어를 어휘적으로 파싱해 허용 여부를 판단한다는 폐쇄 세계 가정을 가지고 있다. 그러나 쉘 라인 연속(`\`), BusyBox 멀티플렉싱, GNU 옵션 축약 등은 파싱 로직을 우회해 허용되지 않은 명령을 실행하게 만든다. 이 취약점은 46건(전체의 24.2%)의 자문에서 발견되었으며, 가장 높은 빈도로 보고된 공격 표면이다. 셋째, 플러그인·스킬 배포 채널을 통한 공급망 공격이 존재한다. 악성 스킬이 레지스트리에 업로드되면 세션 시작 시 LLM 컨텍스트에 삽입돼, LLM 내부에서 두 단계 드롭퍼를 실행해 exec 파이프라인을 전혀 거치지 않고 호스트에 페이로드를 심는다. 이는 플러그인 배포 메커니즘에 런타임 정책이 적용되지 않음을 의미한다. 논문은 이러한 구조적 약점이 ‘레이어별 신뢰 강화’라는 설계 선택에서 비롯된다고 결론짓는다. 각 레이어가 독립적으로 정책을 적용하지만, 레이어 간 경계가 명확히 정의되지 않아 공격자는 한 레이어에서 얻은 권한을 다른 레이어에서 재활용한다. 따라서 방어 전략은 개별 레이어가 아니라 시스템 전체에 걸친 통합 정책 경계와 실행 흐름 추적을 중심으로 설계해야 한다. 구체적인 방어 제안으로는 (1) exec allowlist을 어휘 파싱이 아닌 실행 전 시뮬레이션 기반 검증으로 교체, (2) 게이트웨이와 노드‑호스트 간 상호 인증 강화 및 토큰 회전, (3) 플러그인·스킬 배포 시 디지털 서명 검증 및 샌드박스 실행, (4) LLM 컨텍스트에 대한 정형화된 검증 파이프라인 도입, (5) 교차 레이어 정책을 일관되게 적용할 수 있는 중앙 정책 엔진 구축 등이 제시된다. 이러한 통합 방어는 교차 레이어 공격 사슬을 차단하고, AI 에이전트 프레임워크 전반의 보안성을 크게 향상시킬 수 있다. 마지막으로 논문은 AI 에이전트 보안 연구가 아직 초기 단계이며, LLM과 실행 환경 사이의 새로운 공격 표면을 지속적으로 탐색해야 한다고 강조한다. 특히 LLM 제공자 인터페이스와 인터‑에이전트 통신은 현재 자문이 없지만 잠재적 위험이 크므로, 향후 연구에서 중요한 대상이 될 것으로 전망한다.