editoy logo

몰트봇으로 촉발된 AI 에이전트 시대: 전례 없는 시스템 접근 권한이 낳은 보안 대재앙 경고

MoltbotAI에이전트사이버보안프롬프트인젝션공급망위험

1/30/2026

토킹 포인트

  • 개인 비서 기능을 내세운 오픈소스 AI 에이전트 몰트봇(Moltbot)의 폭발적 인기와 이를 구동하기 위한 전면적인 시스템 접근 권한 부여 현상
  • 리버스 프록시 오설정 등으로 인해 수많은 몰트봇 인스턴스의 관리 포트가 인터넷에 무방비로 노출되어 사용자 자격 증명 및 대화 기록이 유출될 위험 증대
  • 중요한 API 키와 계정 정보를 암호화 없이 로컬 파일 시스템에 평문(Plaintext)으로 저장하여 정보 탈취 악성코드(Infostealer malware) 공격에 취약성 노출
  • 공식 스킬 라이브러리인 클로드허브(ClawdHub)의 검증 부재를 악용한 공급망 공격(Supply Chain Attack) 가능성 시연 및 기업 내 섀도우 AI 리스크 증가

시황 포커스

최근 AI 에이전트 플랫폼 ‘Clawdbot’(현재 ‘Moltbot’으로 명칭 변경) 관련, 기술적 잠재력에 대한 긍정적 평가와 함께 심각한 보안 취약점에 대한 우려가 공존함.

  • 보안 문제 심각성 인지: Clawdbot/Moltbot의 구조적 결함으로 인해 API 키, 개인 대화 기록 등 민감 정보가 대규모로 유출될 위험이 있음. Shodan 검색을 통해 1,009개 이상의 Clawdbot 게이트웨이가 인증 없이 공개된 인터넷에 노출된 것으로 확인됨.
  • 악의적 스킬 유포 사례 발생: 개발자가 의도적으로 백도어 코드를 삽입한 스킬을 ClawdHub에서 1위로 끌어올려, 무분별한 다운로드 및 실행의 위험성을 시연함. 이는 플랫폼 내 스킬의 신뢰성에 대한 근본적인 의문을 제기함.
  • 취약점 발견 용이성: 보안 연구가들이 단기간에 여러 개의 치명적인 취약점을 발견함. 이는 해당 플랫폼의 보안 수준이 낮고, 개발 속도가 보안 검토를 압도하고 있음을 시사함.
  • 사용자 보안 의식 부족: 일부 사용자가 AI 에이전트에게 과도한 권한을 부여하거나, 보안 설정을 제대로 하지 않아 시스템을 취약하게 만드는 사례가 빈번하게 발생함.
  • 오픈소스 모델의 한계: 오픈소스 모델을 개인용 Mac Mini 등에서 실행하는 것은 프라이버시 측면에서는 장점이 있으나, 모델 성능의 한계로 인해 실질적인 활용도가 낮음.
  • 개발자 커뮤니티의 반응: Clawdbot 개발자는 프로젝트의 취약점에 대한 비판에 대해 방어적인 태도를 보이며, 사용자들의 과도한 기대와 보안 연구자들의 바운티 요구에 대한 불만을 표출함.
  • 자동화된 취약점 스캔 도구 등장: Clawdbot 스킬 디렉터리의 취약점을 자동으로 스캔하는 도구가 개발되어 배포됨. 이는 보안 문제에 대한 커뮤니티의 관심과 대응 노력을 보여줌.
  • 지속적인 보안 보고서 발행: Intruder, Netskope, Token Security 등 여러 보안 업체에서 Clawdbot/Moltbot 관련 보안 취약점을 분석한 보고서를 발표하며 경각심을 고취함.

트렌드 키워드

  • AI 에이전트 (AI Agent):

    특정 목표를 달성하기 위해 환경을 인식하고 행동하는 인공지능 시스템

    1 / 12
    이 에이전트는 사용자를 대신하여 화상 통화에 참여할 수도 있고, 심지어 자동차 딜러와 협상하거나 코드의 결함을 자율적으로 조사하고 해결하도록 요청받기도 했습니다.AI 에이전트
  • 프롬프트 인젝션 (Prompt Injection):

    인공지능 모델이 사용자 또는 에이전트가 읽는 콘텐츠 내부에 숨겨진 악의적인 명령을 일반적인 지침으로 오인하고 실행하도록 유도하는 공격 기법. AI 에이전트는 메일, 웹페이지, 문서 등 외부 콘텐츠를 읽고 이를 기반으로 작업을 수행하기 때문에, 이 콘텐츠에 삽입된 악성 코드를 읽고 무단으로 민감 데이터를 유출하거나 시스템 명령을 실행할 가능성이 증대

    1 / 2
    이 공격 벡터는 AI 비서가 악성 지침을 읽고 실행하도록 요구하며, 이는 예를 들어 웹 검색 자료나 URL에 숨겨져 있을 수 있습니다.프롬프트 인젝션
  • 공급망 익스플로잇 (Supply Chain Exploit):

    소프트웨어 개발 및 배포 과정의 취약점을 악용하여 악성코드를 배포하는 방식. 특히 오픈소스 프로젝트의 경우, 공식 '스킬' 라이브러리(클로드허브)처럼 검증 절차가 미비한 저장소에 악성 기능(Skill)을 등록하여 이를 다운로드하는 수천 명의 사용자 시스템에 침투할 수 있는 통로를 생성

    연구자들은 클로드허브(ClawdHub)에 양성인 스킬을 업로드하고 다운로드 수를 인위적으로 부풀려 신뢰도를 높인 후, 7개국 개발자들이 해당 오염된 패키지를 다운로드하는 것을 확인하며 공급망 익스플로잇을 시연했습니다.
  • 평문 자격 증명 저장 (Plaintext Credential Storage):

    사용자 이름, 암호, API 키 등의 민감 정보를 암호화하지 않은 상태, 즉 누구나 읽을 수 있는 텍스트 형태로 저장하는 보안상 매우 위험한 관행. 몰트봇의 경우, 로컬 파일 시스템에 평문으로 자격 증명을 저장하는 구조 때문에, 사용자의 호스트 머신이 정보 탈취 악성코드(Redline, Lumma, Vidar 등)에 감염될 경우 모든 디지털 키가 즉시 유출되는 결과를 초래

    연구원들은 몰트봇의 코드를 조사한 결과, 사용자가 비서와 공유한 일부 비밀 정보가 사용자의 로컬 파일 시스템에 있는 평문 마크다운 및 JSON 파일에 저장되어 있음을 발견했습니다.평문 자격 증명 저장
  • 샌드박싱/프로세스 격리 (Sandboxing/Process Isolation):

    소프트웨어 실행 환경을 호스트 운영체제나 다른 응용 프로그램으로부터 분리하여, 특정 프로그램이 손상되더라도 시스템 전체로 피해가 확산되는 것을 방지하는 보안 기법. 수십 년간 운영체제의 기본 보안 경계로 구축되었으나, AI 에이전트는 작동을 위해 이 경계를 허물고 광범위한 접근 권한을 요구함으로써 '폭발 반경(blast radius)'을 크게 확대

    AI 에이전트는 이러한 (보안) 경계를 디자인적으로 모두 허물고 있습니다. 파일을 읽고, 자격 증명에 접근하고, 명령을 실행하며, 외부 서비스와 상호작용해야 합니다.샌드박싱/프로세스 격리