최근 오픈클로(OpenClaw)* 사용으로 인한 자료 유출, 파일 삭제 등 보안 취약요소가 발견되어 아래와 같이 안내하오니 피해가 없도록 주의하시기 바랍니다.
* 오픈클로(OpenClaw): 사용자 단말에 설치되어 브라우저, 메신저와 연계 동작하여 자동 업무를 처리하는 오픈 소스 기반 AI에이전트
1. 취약점
가. 민감 정보 유출: 사용자 명령 프롬프트가 메신저 앱 및 생성형 AI서비스 등(GPT 등)에 전달, 저장되어 내부 민감정보가 포함되어 있을 경우 유출 가능
나. 사용자 동의 없이 작업 수행: 오픈클로가 파일삭제 및 내부 자료 외부 전송 등 가능
다. 공급망 공격: 오픈클로가 기능확장(이메일 전송) 시 공유 플랫폼(클로허브 등)에 게시된 소스코드 활용 및 해당 소스코드에 백도어, 악성코드 은닉 가능
라. 원격제어: 해커가 제작한 웹사이트에 방문 시 인증 토큰 탈취 및 방화벽 우회를 통한 제어권 탈취
2. 권고사항
가. 민감 정보가 포함된 업무용PC, 서버에서 오픈클로 사용 자제
나. 업무와 무관한 개인용 PC에서 사용 시 보안 설정, 대책 수립하여 활용
1) 보안 설정: 설정파일(openclaw.json)에 권한 제한 설정
- 데이터를 임의로 수정, 삭제하지 못하도록 읽기 권한만 부여
- 사용가능한 도구 목록 설정 및 위험도구 실행 시 사용자 승인
- 외부 생성형 AI서비스 대신 로컬 AI모델 사용
2) 보안 대책
- 메신저앱 대신 오픈클로에 직접 사용자 대화 입력
- 불필요 기능 탑재 금지 및 기능 안전성 사전 확인
- 별도 PC 혹은 도커 등 가상화 기술을 활용하여 격리하에 사용
붙임 오픈클로(OpenClaw) 사용 주의 권고 1부. 끝.
