AI 에이전트 확장 마켓플레이스 ClawHub, 대규모 공급망 공격 발생

 

 

 

세계적으로 많은 관심을 받고 있는 AI 에이전트 OpenClaw의 공식 플러그인 마켓플레이스인 ClawHub에서 공급망 공격이 발생했습니다. 해당 공격을 보고한 보안 업체의 조사 결과에 따르면 전체 2,857개의 스킬 중 약 341개 이상이 악성으로 확인되었습니다.

 

이번 사건은 AI 에이전트의 생태계가 폭발적으로 확산됨에 따라 공격 대상이 될 수 있음을 보여준 사례입니다.

OpenClaw와 ClawHub 란?

OpenClaw는 사용자의 로컬 환경에서 구동되는 AI 에이전트로, 캘린더 관리, 통신 플랫폼 명령 등 다양한 자동화 작업을 수행합니다. 기능 확장은 사용자 또는 외부 개발자가 만든 '스킬(Skill)'이라는 플러그인 형태로 제공되며, ClawHub는 이러한 스킬을 배포하고 설치할 수 있는 허브(레지스트리)입니다.

 

공격 방식 요약

 

 

1. 스킬 업로드 체계의 허점

ClawHub는 스킬 업로드 과정에서 충분한 코드 리뷰를 진행하지 않았으며, 업로더에 대한 인증도 미흡했습니다.

이로 인해 악성 스킬이 공식 저장소에 손쉽게 등록될 수 있었습니다.

 

[그림 1 ] 공격자 계정에 업로드 된 악성 스킬

 

2. 에이전트 조작 공학(Agent Engineering)

기존의 사회공학(Social Engineering)이 사람의 심리를 이용해 행동을 유도하는 기법이라면, 이번 공격은 AI 에이전트의 지시 해석 구조를 이용해 명령 실행을 유도하는 기법으로, 이를 '에이전트 조작 공학(Agent Engineering)'이라 부를 수 있습니다.

공격자는 SKILL.md 파일의 경고 이모지와 함께 "Prerequisites" 섹션에 "IMPORTANT", "required" 등 강한 어조의 지침을 삽입하여, AI 에이전트가 이를 필수 설치 절차로 해석하고 사용자에게 외부 명령 실행을 안내하거나 직접 실행하도록 유도했습니다.

 

[그림 2] 악성 SKILL.md 파일 화면

 

3. 확장 설치 절차를 이용한 간접 명령 실행 - 다단계 페이로드 전달(Multi-stage Delivery)

실제 악성 코드 실행은 기존 악성코드 유포와 동일한 탐지 회피 구조를 따릅니다.

SKILL.md의 안내에 따라 외부 사이트에 접속하면, 인코딩된 명령이 디코딩되어 내부 명령어로 스크립트를 다운로드하고, 파이프라인(|sh)을 통해 추가 페이로드를 실행합니다.

ClawHub에 업로드된 스킬 파일 자체에는 악성 코드가 포함되지 않아, 기존 분석만으로는 탐지가 어려운 구조입니다.

 

[그림 3] SKILL.md파일에 안내된 악성 사이트 및 악성 명령어

 

 

공격 피해 범위

 

최종적으로 다운로드 된 페이로드는 정보 탈취형 악성코드인 Amos로 확인되었으며, 이로 인해 에이전트가 설치된 디바이스에서 발생할 수 있는 위협은 다음과 같습니다.

• 정보 탈취: 문서, 암호, API 키 등 민감 정보 유출
• 원격 명령 실행: 공격자의 명령으로 추가 악성 코드 설치 가능
• 암호화폐 자산 노출: 암호화폐 관련 도구로 위장한 스킬을 통해 지갑 정보 접근 시도
• 측면 이동 가능성 
  
  

대응 현황

 

이스트시큐리티는 새로운 보안 위협이 확장 됨에 따라 해당 공급망을 감시하고 있으며, 모니터링 이후 동일 공격자의 소행으로 보이는 정보 탈취 악성코드 배포 공격을 빠르게 감지, 신고 및 자사 제품에 반영하여 사용자는 물론 커뮤니티와 생태계에 기여하고 있습니다.

 

현재 이러한 공격을 인지한 ClawHub에서는 다음과 같은 조치를 취하고 있습니다.

• 스킬 검증 강화 :
  업로드되는 모든 스킬을 VirusTotal과 연동 및 ClawHub 자체 엔진을 통해 자동 스캔하는 시스템을 도입했습니다. 악성 코드가 포함된 패키지는 사전 차단되거나 경고가 표시됩니다.
  ClawHub 내부적으로는 스킬에 대해 평가하는 시스템을 구축하여 목적,능력, 지침범위,설치 방식, 신원, 지속성 및 권한 등에 대한 평가를 확인 할 수 있습니다.

[그림 4] VirusTotal 및 OpenClaw 스캔 결과 화면

• 업로더 검증 강화
  일정 기간 활동한 GitHub 계정을 보유한 업로더만 스킬을 게시할 수 있도록 제한했으며, 사용자 신고 기능도 추가되었습니다.
• 사용자 주의 권고
  외부 명령 실행을 요구하는 스킬 설치 시 신중한 검토가 필요하며, 검증되지 않은 스킬 설치는 지양할 것을 권고하고 있습니다.

 

이번 ClawHub 공급망 공격은 npm, PyPI 등 전통적인 패키지 저장소에서 발생하던 공급망 공격이 AI 에이전트 확장 생태계로 확산되었음을 보여줍니다.

AI 기반 도구의 활용이 증가하는 만큼, 개발자와 사용자 모두 기본적인 보안 수칙을 준수하고 공급망 위협에 대한 경각심을 유지해야 할 것입니다.

 

 

참고 출처:

https://www.kucoin.com/news/flash/slowmist-reports-large-scale-supply-chain-poisoning-attack-on-openclaw-s-clawhub?utm_source=chatgpt.com