오픈클로(이전의 클로봇)가 AI 에이전트 보안에 경종을 울리는 이유

출시 두 달 만인 지난 1월, 클로봇이라는 오픈소스 AI 비서가 입소문을 타기 시작했습니다. 이 프로젝트는 1월 26일부터 2월 1일까지 단 며칠 만에 GitHub 스타가 9,000개에서 10만 개 이상으로 폭발적으로 증가하며 큰 인기를 끌었습니다.

개발자들은 매료되었습니다. "손"을 가진 개인용 AI라는 약속은 거부할 수 없는 것이었습니다. 이메일을 읽고, 웹을 탐색하고, 셸 명령을 실행하고, 새로운 기술을 즉석에서 개발할 수 있습니다.

그러나 유용하게 만드는 자율성이 바로 책임감으로 이어지기도 합니다.

보안 연구원들은 4,500개 이상의 인스턴스가 공개 인터넷에 노출되었고 수백 개의 악성 '기술'이 이미 프로젝트의 플러그인 저장소에 넘쳐났다는 사실을 재빨리 발견했습니다. 원격 코드 실행(RCE) 취약점은 모든 Clawdbot 설치를 새로운 공격자의 발판으로 만들었습니다.

이 프로젝트는 상표권 문제로 인해 며칠 사이에 두 번이나 브랜드를 변경해야 했습니다. 처음에는 Moltbot으로, 그다음에는 OpenClaw로 변경해야 했습니다. 이러한 불안정성은 소셜 계정을 탈취하고 가짜 플러그인을 게시하여 혼란을 악용하는 암호화폐 사기꾼과 해커에게 완벽한 기회를 제공했습니다.

OpenClaw는 현대의 교훈적인 이야기입니다. 이는 또한 차세대 엔터프라이즈 보안 과제의 예고편이기도 합니다. AI 상담원은 더 이상 채팅만 하는 것이 아니라 행동하기 때문입니다. 이들은 업무를 수행하기 위해 심층적인 액세스 권한이 필요하며, 이러한 액세스 권한은 최고의 내부자 위협이 됩니다.

새로운 내부자 위협인 AI 에이전트

이러한 변화는 대부분의 보안 팀이 생각하는 것보다 빠르게 진행되고 있습니다. 가트너는 2025년 5개 미만(% )이었던 엔터프라이즈 애플리케이션 중 40개(% )가 2026년 말까지 AI 에이전트를 포함할 것으로 예상합니다. PwC에 따르면 이미 79%(% )의 조직이 어느 정도 AI 에이전트를 도입한 것으로 나타났습니다. 현재 기업들은 기계 ID와 인간 ID의 비율이 82대 1에 달합니다.

이러한 에이전트는 단순한 챗봇이 아닙니다. 행동합니다. 데이터베이스에 연결하고, API를 호출하고, 파일 시스템에 액세스하고, 이메일을 보내고, 워크플로를 트리거합니다. 이들은 기업 인프라에 깊숙이 접근할 수 있는 자격 증명과 권한으로 작동합니다.

팔로알토 네트웍스의 최고 보안 인텔리전스 책임자 웬디 휘트모어에 따르면, AI 에이전트는 새로운 내부자 위협을 대표합니다. 기술 뉴스 사이트 더 레지스터와의 인터뷰에서 그녀는 오늘날 공격자가 환경을 침해할 때 더 이상 도메인 컨트롤러로 측면 이동하여 Active Directory 자격 증명을 덤프하는 기존의 플레이북만 따르지 않을 것이라고 말했습니다. 대신 내부 LLM으로 바로 이동하여 정찰 작업을 수행하기 위해 쿼리를 시작합니다.

"상황이 나아지기 전에 훨씬 더 악화될 것 같습니다."라고 그녀는 말했습니다.  

OWASP 재단은 2025년 말에 에이전트 애플리케이션 톱 10을 발표하면서 이러한 변화를 인식했습니다. 이 목록은 에이전트 목표 탈취, 도구 오용, 신원 도용, 의도된 경계를 벗어나 활동하는 불량 에이전트 등의 위험을 식별합니다.  

AI 상담원 보안은 더 이상 이론적인 문제가 아닙니다. 보안 연구원들은 이미 각 카테고리를 악용한 실제 공격 사례를 문서화했습니다.

보이지 않는 AI는 보호할 수 없습니다.

사실 대부분의 조직은 AI 에이전트가 무엇에 연결되는지 전혀 알지 못합니다.

Microsoft의 2026 데이터 보안 지수에 따르면 조직은 보안 제어가 적응할 수 있는 속도보다 더 빠르게 제너레이티브 및 에이전트 AI를 배포하고 있는 것으로 나타났습니다.  

연구 결과, 현재 32건의 데이터 보안 사고(% )에 제너레이티브 AI가 연루된 것으로 나타났습니다. 가장 큰 과제를 묻는 질문에 응답자의 29%(% )가 데이터 보안과 데이터 관리 플랫폼 간의 취약한 통합을 가장 큰 가시성 격차로 꼽았습니다.

이것이 근본적인 문제입니다.  

에이전트는 클라우드, SaaS 애플리케이션 및 온프레미스 시스템에 걸쳐 있습니다. 표준 ID 모니터링을 우회합니다. 보안 태세 전반에 걸쳐 사각지대를 만들 수 있습니다.  

에이전트가 무엇을 하고 어디에 연결하는지 파악할 수 없다면 보안 팀은 맹목적으로 움직일 수밖에 없습니다.

바로 이 지점에서 일루미오 인사이트가 중요한 가시성 격차를 메웁니다. 인사이트는 하이브리드 환경 전반에서 실제 트래픽 및 커뮤니케이션 동작을 관찰함으로써 팀이 가정하는 방식이 아니라 상담원, 워크로드 및 서비스가 실제로 어떻게 커뮤니케이션하는지 보여줍니다.

AI 에이전트의 실제 행동을 먼저 이해하지 않고는 효과적인 보안 정책을 구축할 수 없습니다. 어떤 API를 호출하나요? 어떤 데이터베이스를 쿼리하나요? 어떤 서비스를 제공하나요?  

이러한 질문에 대한 답은 추측이 아닌 관찰에서 찾아야 합니다.

합법적인 에이전트에 대한 측면 이동 제한

합법적인 AI 에이전트에는 네트워크 액세스가 필요합니다.  

영업 상담원이 CRM에 연결해야 합니다. 지원 상담원이 티켓팅 시스템에 액세스해야 합니다. 코딩 어시스턴트는 리포지토리 및 CI/CD 파이프라인과 상호 작용해야 합니다.  

모든 액세스를 차단하면 애초에 상담원을 배치한 목적이 무색해집니다.

해답은 모든 액세스를 차단하는 것이 아닙니다. 각 상담원이 실제로 필요로 하는 것을 기반으로 액세스 범위를 정확하게 지정하는 것입니다.

바로 이 지점에서 일루미오 세분화와 같은 솔루션의 마이크로세그멘테이션이 필수적입니다. 세분화를 통해 조직은 상담원을 업무에 필요한 특정 네트워크 영역, 데이터베이스 또는 서비스로 제한할 수 있습니다.  

에이전트가 프롬프트 주입 또는 기타 공격 벡터를 통해 손상된 경우 폭발 반경이 포함됩니다. 에이전트는 명시적으로 도달하도록 허용된 곳에만 도달할 수 있습니다.

상담원은 업무를 수행하는 데 필요한 최소한의 액세스 권한을 가져야 한다는 원칙이 있습니다. 모든 계약자에게 전체 네트워크 액세스 권한이 주어지지 않는 것처럼 상담원 권한도 반드시 필요한 권한으로 제한해야 합니다.  

즉, 침해가 발생하더라도 비용이 훨씬 적게 듭니다. 공격자는 초기 발판에서 고가의 자산으로 전환할 수 없습니다.

AI 에이전트를 보호하는 방법: 가시성을 먼저 확보한 후 시행하기

AI 에이전트 보안을 위한 올바른 접근 방식은 명확한 순서를 따릅니다.  

시작하기 가시성. 모든 상담원, 그들이 호출하는 API 및 액세스하는 데이터를 인벤토리화하세요. 실제 커뮤니케이션 패턴을 매핑하세요. 정상적인 행동이 어떤 모습인지 이해합니다.

그런 다음 관찰한 내용을 바탕으로 정책을 수립하세요. 모든 상담원 ID에 최소 권한 액세스를 적용하세요. 상담원이 필요한 리소스에만 액세스할 수 있도록 하는 세분화 규칙을 만듭니다. 가능한 경우 정적 자격 증명을 수명이 짧은 토큰으로 대체하세요.

마지막으로, 이러한 정책을 실시간으로 시행하세요. 이상 징후를 모니터링합니다. 에이전트가 허용된 범위를 벗어난 곳에 접근하려는 시도를 감지합니다. 예기치 않게 행동하는 에이전트를 억제하거나 종료할 수 있는 기능이 있어야 합니다.

이는 모든 워크로드 보안에 적용되는 동일한 접근 방식입니다. AI 에이전트는 또 다른 워크로드 유형으로, 자율적이며 손상될 경우 잠재적으로 더 위험할 수 있습니다.  

모든 것을 보고, 종속성을 이해하고, 현실에 기반한 정책을 수립하고, 측면 이동을 제한하는 경계를 적용하는 등 세분화의 기본 원칙이 직접 적용됩니다.

OpenClaw는 경고였습니다. AI 에이전트 리스크는 현실입니다.

오픈클로는 경고의 신호탄이었습니다. 이 프로젝트에서 발견된 취약점은 기업 환경 전반에 걸쳐 수많은 AI 에이전트 배포에 존재합니다.  

통제된 사고와 치명적인 침해 사고의 차이는 종종 한 가지 질문으로 귀결됩니다. 에이전트가 침해당했을 때 어떤 대상에 도달할 수 있었나요?

AI 에이전트를 배포하는 조직은 공격자보다 먼저 이 질문에 답해야 합니다.  

앞으로 나아가는 길은 상담원이 실제로 연결하고 있는 대상에 대한 가시성 확보에서 시작됩니다. 네트워크 수준에서 최소한의 권한을 적용하는 정책을 계속 유지합니다. 그리고 문제가 발생했을 때 폭발 반경이 포함된 세그먼테이션이 생성됩니다.

상담원이 이미 사물에 연결하고 있습니다. 문제는 무엇을 알고 있는지, 그리고 그 중 하나가 자신에게 불리하게 작용할 경우 피해를 제한할 수 있는 통제력을 가지고 있는지 여부입니다.

AI 에이전트가 도달할 수 있는 모든 영역이 걱정되시나요? 일루미오 인사이트 무료 체험 를 사용하여 환경 전반에서 완벽한 실시간 가시성을 확보하세요.