Microsoft Defender 경고: OpenClaw 에이전트 보안 위험
요약
Microsoft Defender는 OpenClaw를 단순한 AI 도구가 아니라, 지속적인 자격 증명을 가진 상태에서 신뢰할 수 없는 코드와 지시를 실행할 수 있는 고위험 런타임으로 봐야 한다고 경고했습니다. 이는 공개 스킬 레지스트리와 외부 텍스트 입력이 하나의 공급망 공격면으로 결합돼 워크스테이션의 토큰·민감 데이터·관리 권한까지 악용될 수 있음을 의미하며, 기업이 셀프 호스티드 에이전트를 도입할 때 격리된 환경과 최소 권한 설계를 우선해야 하는 이유를 보여줍니다.
Security 관련 도움이 필요하신가요?전문가와 상담하기
Introduction: why this matters
셀프 호스티드 AI/에이전트 런타임은 엔터프라이즈 파일럿에 빠르게 도입되고 있지만, OpenClaw의 모델은 기존 워크스테이션 보안이 전제로 하는 것과 다른 방식으로 보안 경계를 바꿉니다. 신뢰할 수 없는 텍스트를 수집하고, 외부 skills를 다운로드해 실행하며, 지속적인 자격 증명으로 동작할 수 있기 때문에 Microsoft Defender는 OpenClaw를 지속적인 ID를 동반한 신뢰할 수 없는 코드 실행으로 취급할 것을 권고합니다. 즉, 사용자 자격 증명, 토큰, 민감한 데이터가 있는 곳에서 실행하지 말아야 합니다.
What’s new / key takeaways from Microsoft Defender
OpenClaw vs. Moltbook: 런타임과 지시(Instruction) 플랫폼을 분리
- OpenClaw (runtime): VM/컨테이너/워크스테이션에서 실행되며 해당 호스트와 그 ID가 가진 신뢰를 그대로 상속합니다. skill 설치는 사실상 타사 코드를 실행하는 것과 같습니다.
- Moltbook (platform/identity layer): 확장 가능한 콘텐츠 및 지시 스트림입니다. 하나의 악성 게시물이 일정 주기로 이를 수집하는 여러 에이전트에 영향을 줄 수 있습니다.
두 개의 공급망이 하나의 실행 루프로 합쳐짐
Microsoft는 위험을 증폭시키는 공격자 통제 입력 두 가지를 지적합니다.
- Untrusted code supply chain: 인터넷에서 가져오는 skills/extensions(예: ClawHub 같은 공개 레지스트리). “skill”은 단순한 형태의 악성코드일 수 있습니다.
- Untrusted instruction supply chain: 외부 텍스트 입력에는 도구 사용을 유도하거나 에이전트 “memory”를 수정해 공격자 의도를 지속시키는 간접 prompt injection이 포함될 수 있습니다.
에이전트 보안 경계: ID, 실행, 지속성
Defender는 새로운 경계를 다음과 같이 정의합니다.
- Identity: 에이전트가 사용하는 토큰(SaaS APIs, repositories, email, cloud control planes)
- Execution: 실행 가능한 도구(shell, file operations, infra changes, messaging)
- Persistence: 실행 간에도 유지되는 메커니즘(config/state, schedules, tasks)
Impact on IT admins and end users
- 워크스테이션은 셀프 호스티드 에이전트를 호스팅하기에 안전하지 않음: 런타임이 개발자 자격 증명, 캐시된 토큰, 민감한 파일 가까이에 위치할 수 있습니다.
- 에이전트가 접근 가능한 범위 내에서(대개 정상 API를 통해, 일반 자동화와 구분이 어려운 형태로) 동작하기 때문에 자격 증명 및 데이터 노출 위험이 증가합니다.
- 공격자가 에이전트 state/memory 또는 구성을 수정할 수 있다면, 반복적으로 악성 행위를 유발하는 지속적 침해가 충분히 가능합니다.
Action items / next steps (minimum safe operating posture)
- 표준 사용자 워크스테이션에서 OpenClaw를 실행하지 마세요. 완전히 격리된 환경(전용 VM, 컨테이너 호스트, 또는 별도의 물리 시스템)에서만 평가하세요.
- 전용의 비권한(Non-privileged) 자격 증명을 사용하고 권한 범위를 엄격히 제한하세요. 민감한 데이터 세트에 대한 접근은 피하세요.
- skill 설치를 명시적 승인 이벤트로 취급하세요(타사 코드 실행과 동등). allowlist와 출처(provenance) 검증을 유지하세요.
- 에이전트가 외부 콘텐츠를 탐색한다면 악성 입력은 발생할 수밖에 없다고 가정하고, 예방만이 아니라 격리와 복구 가능성을 우선하세요.
- Microsoft Security 통제( Microsoft Defender XDR 포함)에 맞춘 지속적 모니터링과 헌팅을 활성화하고, 토큰 접근, 비정상 API 사용, state/config 변경에 집중하세요.
- 재빌드 계획을 마련하세요. 지속성을 제거하기 위해 호스트를 자주 재이미징/교체해야 할 수 있다는 전제하에 운영하세요.
Microsoft 기술 최신 정보 받기
Microsoft Defender XDRagent securityruntime isolationleast privilegesupply chain risk