OpenClaw 'Claw Chain' 취약점 체인 공개… 자격 증명 및 권한 보안 경고

보안 연구진이 최근 오픈소스 AI 에이전트 프레임워크 OpenClaw에 영향을 미치는 연쇄 취약점인 "Claw Chain"을 공개했습니다. 이 4가지 취약점은 공격자가 연쇄적으로 이용하여 초기 침투, 자격 증명 탈취, 권한 상승, 지속적 백도어 설치에 이르는 완전한 공격 체인을 구성할 수 있습니다. 현재 OpenClaw 유지보수팀은 데이터 보안 기업 Cyera의 보고를 받고 모든 취약점에 대한 패치를 완료했습니다.

이번에 발견된 4가지 취약점의 번호는 각각 CVE-2026-44112, CVE-2026-44115, CVE-2026-44118, CVE-2026-44113입니다. 그중 CVE-2026-44118(CVSS 7.8)은 세션 검증 부적절로 인한 권한 상승 취약점이며, CVE-2026-44113(CVSS 7.8)은 TOCTOU(검사 시점과 사용 시점) 취약점으로 공격자가 시스템 설정 파일, API 키, 자격 증명 등 민감 데이터에 무단 접근할 수 있습니다. 나머지 두 취약점은 각각 환경 변수 유출과 코드 실행 위험과 관련되어 있으며, 조합 시 AI 에이전트의 보안 경계를突破하여 연결된 내부 시스템, 클라우드 환경 및 SaaS 애플리케이션을 위협할 수 있습니다.

OpenClaw는 최근 가장 빠르게 성장하는 AI 에이전트 도구로, 많은 개발자가 자율 AI 어시스턴트를 배포하는 데 사용하고 있습니다. 이번 'Claw Chain' 취약점 사건은 기업이 AI 에이전트를 민감한 비즈니스 환경에 신속하게 통합하는 동시에 엄격한 보안 검토 및 접근 제어 메커니즘을 구축해야 함을 다시 한번 경고합니다. 그렇지 않으면 데이터 유출과 권한 상실의 심각한 결과를 초래할 수 있습니다. 보안 전문가들은 사용자가 즉시 최신 패치 버전으로 업그레이드하고 자체 배포 환경에 유사한 공격 표면이 있는지 평가할 것을 권장합니다.