2026년 3월 19일부터 22일까지, 4일간 OpenClaw에 대해 9개의 CVE(Common Vulnerabilities and Exposures)가 연속으로 공개되었다. 보안 커뮤니티에서 "OpenClaw Week"라고 불린 이 기간은 AI 에이전트 보안 역사에서 가장 집중적인 취약점 공개 기간 중 하나였다.
공개된 취약점은 다양한 공격 벡터를 포함했다: SSRF(Server-Side Request Forgery), 경로 탐색(Path Traversal), 권한 상승(Privilege Escalation), 인증 우회(Authentication Bypass), 정보 노출(Information Disclosure). 개별적으로도 심각하지만, 이들을 체이닝하면 원격 공격자가 OpenClaw 인스턴스를 완전히 장악할 수 있는 시나리오가 성립했다.
9개 CVE의 개요
4일간 공개된 취약점을 유형별로 살펴보자.
SSRF 취약점 2건. OpenClaw의 웹 브라우징 기능이 사용자 제공 URL을 검증 없이 서버 측에서 요청했다. 공격자가 내부 네트워크의 리소스에 접근하거나, 클라우드 메타데이터 서비스(AWS IMDSv1 등)에서 인증 정보를 탈취할 수 있었다.
경로 탐색 취약점 2건. 파일 업로드 및 스킬 설치 경로에서 입력 검증이 불충분하여, 공격자가 의도된 디렉토리 외부의 파일을 읽거나 덮어쓸 수 있었다. "../../../etc/passwd" 같은 클래식한 공격이 작동했다.
권한 상승 취약점 2건. OpenClaw의 다중 사용자 환경에서 일반 사용자가 관리자 기능에 접근할 수 있는 경로가 존재했다. API 엔드포인트의 권한 검사가 불완전하여, 인증된 일반 사용자가 관리자 전용 작업을 수행할 수 있었다.
인증 우회 1건. 특정 API 엔드포인트에서 인증 미들웨어가 누락되어, 인증 없이 민감한 작업을 수행할 수 있었다.
정보 노출 2건. 오류 메시지와 디버그 로그에 환경 변수, 파일 경로, 내부 구조 정보가 포함되었다. 이 정보는 다른 취약점을 악용하는 데 도움이 되는 정찰 정보를 제공했다.
공격 체이닝 시나리오
이 9개 취약점이 위험한 이유는 개별적인 심각도뿐 아니라, 체이닝 가능성 때문이다.
시나리오: 공격자가 먼저 정보 노출 취약점을 이용하여 시스템 구조를 파악한다. 다음으로 인증 우회를 통해 인증된 세션을 획득한다. 그 다음 SSRF를 이용하여 클라우드 메타데이터에서 AWS 인증 정보를 탈취한다. 마지막으로 경로 탐색을 이용하여 구성 파일을 수정하고 지속적인 접근을 확보한다. 전체 공격 체인이 4개의 HTTP 요청으로 완성될 수 있다.
NanoClaw에 해당 공격 표면이 없는 이유
이 9개 CVE를 NanoClaw의 아키텍처에 대입하면, 해당하는 공격 표면이 하나도 없다.
SSRF: NanoClaw에는 웹 서버가 없다. 서버 측에서 사용자 제공 URL을 요청하는 코드가 없다. 웹 브라우징은 컨테이너 안의 Chromium에서 이루어지며, 이것은 클라이언트 측 요청이다. 컨테이너의 네트워크 격리로 인해 내부 네트워크 접근이 차단된다.
경로 탐색: NanoClaw의 파일 접근은 컨테이너 마운트로 제한된다. 마운트 허용 목록에 없는 경로는 컨테이너에서 보이지 않는다. 심링크 이스케이프 탐지로 마운트 경계 밖의 접근을 방지한다. "../../../etc/passwd"는 마운트된 경로 외부이므로 컨테이너 안에서 존재하지 않는다.
권한 상승: NanoClaw에는 다중 사용자 권한 시스템이 없다. 각 WhatsApp 그룹이 독립된 컨테이너에서 실행되며, 그룹 간의 접근 제어는 컨테이너 격리로 시행된다. 애플리케이션 수준의 권한 검사가 필요 없으므로, 검사가 불완전할 위험도 없다.
인증 우회: NanoClaw에는 API 엔드포인트가 없다. 인증 미들웨어가 필요한 HTTP 서버가 없으므로, 미들웨어 누락 취약점이 존재할 수 없다.
정보 노출: NanoClaw의 에이전트는 컨테이너 안에서 실행된다. 오류 메시지가 환경 변수를 포함하더라도, 컨테이너의 환경 변수에는 민감한 정보가 없다(API 키는 stdin으로 전달되므로 환경 변수에 없다).
공격 표면 최소화의 원칙
9개 CVE 사건이 보여주는 근본적인 교훈은 공격 표면의 크기와 취약점의 수 사이의 관계다.
OpenClaw는 웹 서버, API 엔드포인트, WebSocket, 데이터베이스 포트, 파일 업로드, 스킬 시스템, 다중 사용자 권한 등 넓은 공격 표면을 가지고 있다. 각 공격 표면은 잠재적 취약점의 원천이다. 공격 표면이 넓을수록, 취약점이 발견될 확률이 높아진다.
NanoClaw의 공격 표면은 극도로 좁다. 인바운드 네트워크 포트가 없고, 웹 인터페이스가 없으며, API 엔드포인트가 없고, 다중 사용자 시스템이 없다. 공격 표면이 좁을수록, 취약점이 존재할 공간이 적다.
이것은 "NanoClaw에 버그가 없다"는 주장이 아니다. 모든 소프트웨어에 버그가 있다. 하지만 NanoClaw에 존재하는 버그의 영향 범위는 컨테이너 내부로 제한되며, 원격 공격자가 NanoClaw를 발견하고 접근할 수 있는 경로 자체가 없다. 공격 표면이 없으면, 공격할 수 없다.
"OpenClaw Week"는 AI 에이전트 보안에 대한 경종이다. 기능이 많을수록, 인터페이스가 넓을수록, 공격 표면이 커진다. NanoClaw는 기능을 최소화하고 인터페이스를 제거함으로써, 이 공격 표면 자체를 최소화했다. 4일 만에 9개의 CVE가 쏟아지는 일은 NanoClaw에서 구조적으로 발생할 수 없다 -- 공격할 표면이 없기 때문이다.