로그인
보증업체
스포츠중계
스포츠분석
먹튀사이트
지식/노하우
판매의뢰
업체홍보/구인
뉴스
커뮤니티
포토
포인트
보증카지노
보증토토
보증홀덤
스포츠 중계
기타
축구
야구
농구
배구
하키
미식축구
카지노 먹튀
토토 먹튀
먹튀제보
카지노 노하우
토토 노하우
홀덤 노하우
기타 지식/노하우
유용한 사이트
제작판매
제작의뢰
게임
구인
구직
총판
제작업체홍보
실시간뉴스
스포츠뉴스
연예뉴스
IT뉴스
자유게시판
유머★이슈
동영상
연예인
섹시bj
안구정화
출석하기
포인트 랭킹
포인트 마켓
로그인
자동로그인
회원가입
정보찾기
뉴스
더보기
[실시간뉴스]
종전 변수 속 K-방산… ‘피크아웃’ 리스크 넘을 카드 있나
N
[IT뉴스]
[종합] 모티프 합류한 독파모 2차전, 8월에 결판…독자성·데이터 활용성 '관건'
N
[연예뉴스]
우즈 "연기 첫 도전 이유? 다른 표현을 해보고 싶었다" [RE:뷰]
N
[연예뉴스]
'운명전쟁49' 측, 순직 소방관 모독 논란에 결국 사과 "숭고함 되새기려…유가족 오해풀 것" [전문]
N
[연예뉴스]
강석우 "은퇴 고민…또래 배우들 대사 외우기 힘들어 해" ('찬란한 너의 계절에')
N
커뮤니티
더보기
[자유게시판]
드디어 금요일이군요
[자유게시판]
오늘 다저스 어떻게 생각하시나요
[자유게시판]
하아 댓노
[자유게시판]
식곤증지립니다요
[자유게시판]
벌써 불금이네요
목록
글쓰기
[IT뉴스]AI 에이전트 ‘오픈클로’ 제로데이 주의보...클릭 한 번에 PC 제어권 넘어가
온카뱅크관리자
조회:
10
2026-02-20 17:27:32
<div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="3TjFJrnQrN"> <p contents-hash="7234f0ad72e81d76e7522efbfc8fb82067cea367191618f6f6efd8c544508694" dmcf-pid="0yA3imLxwa" dmcf-ptype="general"><strong>CVE-2026-25253 취약점 발견... 인증 토큰 탈취 통한 원격 코드 실행(RCE) 위험 확인<br>웹소켓 보안 검증 미흡 악용... 방화벽 우회해 로컬 호스트 직접 침투<br>안랩 ASEC·KISA 긴급 보안 권고... “2026.1.29 버전 이상으로 즉시 업데이트해야”</strong></p> <p contents-hash="c793985b23dd98969b694f7af07f5f8004b4579d3a62d3ae1b4604f2479588d0" dmcf-pid="pWc0nsoMIg" dmcf-ptype="general">[보안뉴스 조재호 기자] 최근 국내외에서 인기를 끌고 있는 자율형 AI 에이전트 플랫폼 ‘오픈클로’(OpenClaw, 구 Clawdbot)에서 사용자의 시스템 제어권을 완전히 탈취할 수 있는 치명적 원격 코드 실행(RCE: Remote Code Execution) 취약점이 발견돼 보안 업계에 비상이 걸렸다. 공격자가 설계한 악성 링크를 클릭하는 것으로 내부 기밀 유출부터 악성코드 실행이 가능한 것으로 드러났다.</p> <figure class="figure_frm origin_fig" contents-hash="f8d1afe2714d70b53bda881299e9ad0b938d4b58f207e4d199aaadcb843f8bc9" dmcf-pid="UYkpLOgRro" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/20/552815-KkymUii/20260220172459585bdrk.jpg" data-org-width="750" dmcf-mid="FfYQCtlwIj" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/20/552815-KkymUii/20260220172459585bdrk.jpg" width="658"></p> </figure> <div contents-hash="5daac727fbcc0064a82c2b5b20f0155d2e31e6624afdcf5442fbb65e56ade5b1" dmcf-pid="uGEUoIaeEL" dmcf-ptype="general"> <br><strong>‘원클릭’으로 끝나는 공격... 웹소켓 탈취가 핵심</strong> <br>보안 업계와 미국 국가 취약성 데이터베이스(NVD) 등에 따르면, 이번에 발견된 취약점 CVE-2026-25253(CVSS8.8)은 오픈클로의 컨트롤 UI가 쿼리 스트링의 gateway URL 값을 검증 없이 신뢰해 자동으로 웹소켓 연결을 시도하는 과정에서 발생한다. 사용자가 악성 URL을 클릭하거나 공격자가 제작한 웹사이트에 방문할 경우, 오픈클로가 공격자 서버로 인증 토큰(Auth Token)을 전송한다. </div> <p contents-hash="10b0a27f4d5779b9d8130f93c03bce9ef9df38a34d5f099522559783191b26f0" dmcf-pid="7QpgXb5Trn" dmcf-ptype="general">공격자는 탈취한 토큰을 이용해 사용자 로컬 환경에 설치된 오픈클로 게이트웨이에 접속할 수 있다. 이 과정에서 웹소켓 오리진(Origin) 검증 누락을 악용한다. 내부망 방화벽을 우회해 ‘로컬호스트’(localhost)에 직접 명령을 내릴 수 있다. 따라서 공격자는 샌드박스 설정을 변경하거나 임의의 명령을 실행해 시스템 전체를 장악하는 ‘원클릭 RCE’를 완성할 수 있다.</p> <p contents-hash="fcec6821d59515069df289aadddcda1bc2cef6328a16c2a3e4bdacfeb75778bf" dmcf-pid="zxUaZK1ymi" dmcf-ptype="general"><strong>안랩 ASEC 분석 “AI 편의성 노린 고도화된 공격 주의”</strong><br>안랩 ASEC를 비롯해 보안 업계는 이번 취약점이 AI 에이전트의 높은 권한과 자율성을 노린 공격으로 매우 위험하다고 경고한다. AI 에이전트 특성상 이메일이나 캘린더, 파일 시스템 등에 광범위한 접근 권한을 가지고 있어, 한 번의 침투로도 심각한 데이터 유출 사고로 이어질 수 있기 때문이다.</p> <p contents-hash="e5ac758b56caeefb9c6b9af1943c47827b94f1757019877bc7c50d5e1e994512" dmcf-pid="qMuN59tWEJ" dmcf-ptype="general">최근 북한 배후 해킹 조직들이 국내 소프트웨어의 제로데이 취약점을 공격에 적극 활용하고 있는 만큼, 비서 도구로 활용되는 오픈클로 사용자들은 각별한 주의가 필요하다. 지난 연휴 사이 국내 주요 IT 기업들도 사내망과 업무용 기기에서 오픈클로 사용을 제한했다.</p> <p contents-hash="4b1e234e1564e9cc951fc7f4cd6569e16232906ceb2f10ab911ff472263eba22" dmcf-pid="BR7j12FYId" dmcf-ptype="general"><strong>즉각 업데이트와 토큰 재발급 필수</strong><br>오픈클로는 1월말 이번 취약점에 대해 패치를 배포했다. 사용자는 현재 버전을 확인해 2026.1.29 버전 이상으로 즉시 업데이트해야 한다. 패치 적용만으로 안심하긴 이르다. 노출 가능성이 있는 토큰과 API키가 깃허브나 슬랙 등 개발·협업 도구에 남아 있을 수 있어 이를 찾아내 폐기해야 한다. 특히 사내에서 오픈클로를 활용했던 기업이라면 이 에이전트가 연결된 모든 서비스의 크리덴셜을 점검하는 것을 권장한다</p> <p contents-hash="c5375a62158ee2f42e37594b16020efc5cd3a086b89d7e33fe084b7b5be00916" dmcf-pid="bezAtV3GEe" dmcf-ptype="general">보안 업계 관계자는 “최근 에이전틱 AI 활용이 늘어나면서 관련 문제점도 늘어나는 추세”라며 “활용도가 높아진 만큼, AI에 더 큰 권한을 부여할 경우 취약점에 대한 RCE 취약점 악용 공격이 가능해지는 만큼 심각한 보안사고로 이어질 수 있다”고 말했다.</p> <p contents-hash="e88b1c45a26cdb52a58f9b1fa658cb87409d832b83b80d50897f22415cb5ad18" dmcf-pid="KV5dTUWIDR" dmcf-ptype="general">이어 “하나의 에이전트가 수십 개 서비스에 연결되는 환경이 일상화되고 있는데, 편의성이 높아진 만큼 크리덴셜이 유출되면 피해 범위도 커지기 때문에 비인간 신원(NHI: Non-Human Identity)에 대한 보안 관리가 기업 보안의 새로운 과제로 떠오르고 있다”고 말했다.</p> <p contents-hash="915306c46cfe25b372a460af5717903bb2f9091bdb246f4c925ddd670c833a19" dmcf-pid="9f1JyuYCIM" dmcf-ptype="general">오픈클로는 최근 공개적으로 보안 자문 풀을 운영하면서 보안성 강화를 진행하고 있으며, 오픈AI와 협업을 시작했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 보안뉴스. 무단전재 및 재배포 금지.</p>
댓글등록
댓글 총
0
개
맨위로
이번주
포인트
랭킹
매주 일요일 밤 0시에 랭킹을 초기화합니다.
1
4,000
상품권
2
3,000
상품권
3
2,000
상품권
업체홍보/구인
더보기
[구인]
유투브 BJ 구인중이자나!완전 럭키비키자나!
[구인]
에카벳에서 최대 조건으로 부본사 및 회원님들 모집합니다
[구인]
카지노 1번 총판 코드 내립니다.
[구인]
어느날 부본사 총판 파트너 모집합니다.
[구인]
고액전용 카지노 / 헬렌카지노 파트너 개인 팀 단위 모집중 최고우대
지식/노하우
더보기
[카지노 노하우]
혜택 트렌드 변화 위험성 다시 가늠해 보기
[카지노 노하우]
호기심이 부른 화 종목 선택의 중요성
[카지노 노하우]
카지노 블랙잭 카드 조합으로 히트와 스탠드를 결정하는 방법
[카지노 노하우]
흥부가 놀부될때까지 7
[카지노 노하우]
5월 마틴하면서 느낀점
판매의뢰
더보기
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
포토
더보기
채팅하기