본문으로 건너뛰기
J
피드

오픈클로 모바일 앱 출시, ‘주머니 속 AI 에이전트’가 보안 폭탄이 될 수도 있다

security 약 7분
tags
#ai-agent#mobile#supply-chain#prompt-injection#open-source
vote
0
댓글
북마크

오픈소스 AI 에이전트 플랫폼 오픈클로가 iOS와 Android 네이티브 앱을 공개하며 모바일 기반 개인 에이전트 허브로 확장했다. 하지만 스킬 마켓플레이스 공급망 리스크, 간접 프롬프트 인젝션, 노출된 관리 인터페이스 문제가 겹치면서 모바일 확장이 새로운 공격 면적을 키운다는 우려도 커지고 있다.

  • 1

    오픈클로 모바일 앱은 스마트폰을 자체 호스팅 게이트웨이에 연결해 음성 대화, 작업 승인, 디바이스 자동화를 지원한다.

  • 2

    카메라, 화면, 위치, 사진, 연락처, 캘린더, 알림 등 모바일 권한을 에이전트가 활용할 수 있게 설계됐다.

  • 3

    Unit 42는 악성 스킬 5개가 ClawHub 검수를 우회했다고 지적했고, 다른 분석에서는 취약점의 80% 이상이 간접 프롬프트 인젝션이라고 봤다.

  • 4

    2026년 1월 말 기준 2만1000여 개 OpenClaw 인스턴스의 관리 인터페이스가 인터넷에 직접 노출된 것으로 언급됐다.

모바일로 내려온 오픈소스 에이전트

  • 오픈소스 AI 에이전트 플랫폼 오픈클로가 iOS와 Android 네이티브 앱을 공개함

    • 원래 개발자 지향 커맨드라인 도구에 가까웠던 프로젝트가 일반 소비자용 앱 생태계로 넘어가겠다는 선언에 가까움
    • 사용자는 스마트폰을 자체 호스팅 OpenClaw 게이트웨이에 페어링해서 음성 대화, 작업 승인, 디바이스 연동 자동화를 할 수 있음

  • 앱이 잡는 권한 범위가 꽤 넓음

    • QR 코드나 설정 코드로 프라이빗 게이트웨이에 연결됨
    • 카메라, 화면, 위치, 사진, 연락처, 캘린더, 알림 같은 모바일 기능을 에이전트가 활용할 수 있게 설계됨
    • 말 그대로 스마트폰이 개인 에이전트 허브가 되는 구조라 편의성은 크지만, 권한 모델이 빡세게 관리돼야 함

  • 오픈클로는 이걸 로컬 우선 아키텍처라고 설명함

    • 게이트웨이, API 키, 권한을 사용자가 직접 관리하고 중앙 서버를 통하지 않는다는 점을 차별점으로 내세움
    • iOS 앱은 iPhone, iPad, Apple Watch를 지원하고 Android 앱도 유사한 핵심 기능을 제공함
    • 다만 Android 앱은 버그와 페어링 난이도 때문에 구글 플레이스토어 평점이 2점대 초반에 머문다고 함

문제는 스킬 생태계와 권한임

⚠️주의

> 에이전트가 카메라, 위치, 연락처, 캘린더까지 다룰 수 있다면 악성 스킬 하나의 피해 범위도 훨씬 커짐. “챗봇 보안”이 아니라 “개인 디바이스 자동화 보안”으로 봐야 함.

  • ClawHub 스킬 마켓플레이스의 공급망 리스크가 계속 지적되고 있음

    • Palo Alto Networks Unit 42는 2026년 6월 보고서에서 악성 스킬 5개가 검수 체계를 우회해 등록, 유포됐다고 밝힘
    • 여기에는 macOS 정보 탈취 악성코드인 AMOS 인포스틸러와 금융 사기용 스킬이 포함됐다고 함

  • 간접 프롬프트 인젝션도 핵심 취약점으로 언급됨

    • 다른 분석에서는 수백 개 수준의 악성 스킬이 레지스트리에 남아 있다고 봄
    • 자연어 지시문에 숨은 간접 프롬프트 인젝션이 전체 취약점의 80% 이상을 차지한다는 정량 결과도 제시됨
    • 에이전트는 말로 시키면 실제 작업을 하니까, 악성 지시가 섞였을 때 피해가 단순 오답으로 끝나지 않음

  • Cloud Security Alliance의 경고도 꽤 세다

    • 5월 연구노트에서 네 개의 연쇄 CVE가 결합되면 OpenClaw 기반 에이전트를 완전히 탈취할 수 있다고 봄
    • 2026년 기준 이미 공개된 6건을 포함해 열 건 수준의 취약점이 누적되고 있다고 언급됨
    • 2026년 1월 말 기준 2만1000여 개 OpenClaw 인스턴스의 관리 인터페이스가 인터넷에 직접 노출돼 있었다는 수치도 나옴

성장 속도는 진짜 빠름

  • 오픈클로는 이미 개발자 장난감 수준을 넘어선 규모로 보임

    • 오스트리아 개발자 Peter Steinberger가 2025년 말 커맨드라인 도구로 시작함
    • 2026년 2월 OpenAI 인수 이후 OpenClaw 재단 아래 오픈소스로 유지되며 생태계가 빠르게 커짐
    • GitHub 스타는 34만 개를 넘었고, 월간 활성 사용자는 320만 명 이상으로 집계됨
    • 전 세계에 수십만 대의 게이트웨이가 분산 배치된 것으로 알려짐

  • 모바일 앱 출시는 기술과 보안의 긴장을 소비자 시장 한복판으로 가져오는 사건임

    • 에이전트가 음성 명령으로 캘린더를 수정하고, 카메라로 물체를 인식하고, 위치 기반 작업을 수행하는 그림이 가능해짐
    • 반대로 스킬 출처 검증, 권한 최소화, 네트워크 모니터링이 허술하면 주머니 속 자동화 도구가 공격 통로가 될 수 있음

  • 결론은 꽤 단순함: 오픈소스 에이전트가 대중화될수록 보안 거버넌스도 제품 경험의 일부가 돼야 함

    • 금융기관, 기업, 개인 사용자 모두 스킬 설치 전에 출처와 권한을 확인해야 함
    • 모바일 권한과 에이전트 자동화가 결합되면 “나중에 보안 붙이면 되지”가 잘 안 통함

기술 맥락

  • 오픈클로가 모바일 앱을 낸 건 에이전트의 실행 위치를 개발자 터미널에서 개인 디바이스로 넓히는 선택이에요. 스마트폰은 카메라, 위치, 연락처, 캘린더처럼 현실 세계와 연결된 권한을 이미 갖고 있어서 자동화의 가치가 커져요.

  • 로컬 우선 구조를 내세우는 이유는 중앙 서버에 모든 키와 데이터를 맡기지 않겠다는 거예요. 다만 사용자가 게이트웨이를 직접 운영하면 노출된 관리 인터페이스나 약한 설정 같은 운영 리스크도 사용자의 몫이 돼요.

  • 스킬 마켓플레이스가 위험한 이유는 에이전트가 단순 플러그인 실행기를 넘어 실제 작업 수행자이기 때문이에요. 악성 스킬이 설치되면 정보 탈취나 금융 사기 같은 행동이 자동화 권한과 결합될 수 있어요.

  • 간접 프롬프트 인젝션은 모바일 에이전트에서 더 까다로워요. 에이전트가 웹페이지, 알림, 문서 내용을 읽고 행동한다면 외부 콘텐츠에 숨은 지시가 실제 캘린더 변경이나 데이터 전송으로 이어질 수 있거든요.

에이전트가 스마트폰 권한까지 잡는 순간, 보안 모델은 챗봇이 아니라 모바일 운영환경에 가까워진다. 자동화가 편해질수록 스킬 검증, 권한 최소화, 네트워크 노출 관리가 제품 핵심 기능이 돼야 한다.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

AI 시대, 한국 사이버보안도 ‘막는 보안’에서 ‘버티는 보안’으로 가야 한다

한국경제인협회 보고서가 국내 사이버보안 산업을 국가 전략 산업으로 키워야 한다고 제안했음. 핵심은 제로 트러스트, 성과 기반 공공 조달, 보안 데이터 풀, 글로벌 진출 지원으로 요약됨.

security

AI 자율 공격 시뮬레이션, 몇 초 만에 AWS 조직 장악했다

스카이호크 시큐리티가 AI 자율 공격 시뮬레이션으로 한 기업의 AWS 조직 전체를 몇 초 만에 장악할 수 있었다고 공개했어. 문제는 패치 안 된 취약점 하나가 아니라, 정상적인 구성과 유효한 권한·역할 조합이 공격 경로로 이어졌다는 점이야.

security

유럽 디지털 신분증 지갑, 결국 구글·애플 안전장치에 기대고 있음

유럽 각국이 디지털 신분증 지갑을 공공 인프라로 밀고 있는데, 일부 구현이 구글 Play Integrity API와 애플 기기 증명 체계에 의존하고 있다는 비판이 나왔다. 문제는 이게 단순 보안 기능이 아니라, 탈구글 안드로이드나 대체 운영체제를 공공 서비스 접근에서 밀어낼 수 있다는 점이다.

security

프라이빗테크놀로지, N2SF 기반 에너지 클라우드 허브로 AI 가상발전소 검증한다

프라이빗테크놀로지가 2026년 N2SF 도입 지원사업에서 한전KDN 수요 기반 에너지 특화 클라우드 허브 구축 과제의 주관기업으로 선정됐다. 공공 데이터와 민간 신재생 발전 데이터를 클라우드에서 연결하고, AI 기반 가상발전소 운영 모델을 검증하는 사업이다.

security

유럽 ISP들, 저작권 차단 남발로 생긴 피해는 권리자가 책임져야 한다고 주장

유럽 인터넷 서비스 제공자 단체 EuroISPA가 EU 집행위원회에 사이트 차단 권한 확대보다 기존 법 집행과 과잉 차단 책임 정리가 먼저라고 주장했어. 이탈리아, 스페인, 프랑스, 벨기에에서 DNS, VPN, 공유 IP 차단이 실제 서비스 장애로 이어진 사례가 쌓이고 있다는 게 핵심이야.