가장 ‘핫’한 인공지능 도구 둘, 멀웨어 배포처로 활용돼

현 시점 인공지능 업계에서 가장 많은 관심을 받고 있는 도구인 클로드코드(Claude Code)와 몰트봇(Moltbot)이 악성코드 유포에 악용됐다는 사실이 적발됐다. 공격자들은 이 두 가지 도구를 ‘스킬’과 결합해 이용하는 사용자들을 목표로 삼았으며, 1월 말부터 2월 초 사이에만 무려 400개가 넘는 ‘악성 스킬’이 발견됐다. 보안 분석 플랫폼인 오픈소스멀웨어(OpenSourceMalware)가 관련 내용을 보고서로 작성해 발표했다.

간단한 배경 지식

이 내용을 이해하려면 먼저 알아두어야 할 것이 몇 가지 있다. 첫 번째는 클로드코드다. AI 기업 앤트로픽(Anthropic)에서 만든 개발자 전용 인공지능이다. 개발자 대신 코드를 짜는 것은 물론 직접 파일을 수정하거나 명령어를 실행하여 버그까지 잡는다. 두 번째는 몰트봇이다. 이름만 보면 멀웨어의 일종 같으나 합법적인 ‘인공지능 비서’ 플랫폼이다. 오픈소스다. 영화 ‘아이언맨’에 등장하는 인공지능 비서 ‘자비스’의 현실판으로 불리기도 한다.

세 번째는 ‘스킬’이다. 클로드코드나 몰트봇과 같은 인공지능 모델들에 장착할 수 있는 특수 기능을 의미한다. 브라우저로 치면 플러그인(혹은 확장 프로그램)과 비슷하고, 멀웨어로 치면 모듈형 멀웨어의 탈부착 가능한 모듈들에 가깝다. 혹은 휴대폰에 설치하는 각종 앱들이라고도 할 수 있다. 그러므로 ‘악성 스킬이 유포됐다’는 건 누군가 ‘정상 스킬’로 꾸며진 악성코드를 ‘스킬 생태계’에 흩뿌렸다는 의미가 된다. 구글 플레이나 애플 앱스토어에 악성 앱을 정상 앱으로 포장해 퍼트린 것과 비슷하다.

무슨 일 있었나?

오픈소스멀웨어의 보고서에 의하면 공격자들은 사회 공학 기법을 사용해 피해자들을 속여 악성 스킬을 설치하도록 유도했다고 한다. “공격자들은 먼저 클로허브(ClawHub)나 깃허브(GitHub)와 같은 공공 코드 저장소에 악성 스킬을 약 400개 정도 업로드했습니다. 암호화폐 키나 계정 크리덴셜 등을 탈취하는 기능을 가진 것들이었습니다. 전부 동일한 C&C 구조와 인프라를 가지고 있는 것으로 봐 한 단체나 인물의 소행일 가능성이 높습니다.”

그것이 공격자들이 하는 일의 처음이자 마지막이다. 인공지능 모델이 스킬을 찾아 설치할 때까지 기다리는 것만 남기 때문이다. “모바일 생태계에서 앱을 설치할 때 사용자들은 스토어에 들어가 필요한 앱을 수동으로 검색해 직접 고르죠. 그렇기 때문에 악성 앱을 설치하려면 수동 작업을 진행하는 사용자들을 속이는 과정이 필요합니다. 피싱 메일을 보내거나 악성 링크를 포함한 문자 메시지를 보내는 등의 단계가 수반되는 이유죠.”

인공지능 ‘스킬’은 모바일 생태계의 ‘앱’에 비유되긴 하지만, 조금 다르다. 인공지능 사용자가 ‘이런 저런 기능이 필요하니까 알맞은 스킬을 설치해’라고 명령만 내리면 인공지능이 알아서 적당한 스킬을 찾아 자동으로 설치하기 때문이다. “이것이 보안의 허점이 될 수 있습니다. 이렇게 인공지능이 자동으로 설치하는 걸 노려 악성 요소를 만들어둔 채 기다리는 걸 보안 업계에서는 ‘인공지능 피싱’이라고 부르기도 합니다.”

또 다시 간과된 보안

이처럼 간단한 절차만으로(물론 악성 스킬을 만드는 것 자체가 간단한 일은 아니지만) 공격이 성립되는 건 스킬을 다운로드 하고 설치하는 과정에 검증 단계가 결여돼 있기 때문이다. “클로허브의 경우 인공지능 스킬 레지스트리에 기본적인 보안 장치가 아예 존재하지 않았습니다. 그래서 공격자들은 악성 페이로드를 숨기려는 노력조차 하지 않아도 됐습니다. 실제로 이번에 퍼진 악성 스킬 중 대다수는 악성 요소가 평문으로 작성돼 있기도 했습니다. 대부분 암호화폐 관련 도구로 위장돼 있었습니다.”

깃허브는 조금 나았다. “클로허브는 대문조차 없는 집과 같았습니다. 깃허브는 높은 담장까지 갖추고 있었으나 결국 뚫린 상황입니다.” 오픈소스멀웨어에 따르면 깃허브는 강력한 보안 스캔 도구를 자체적으로 탑재하고 있다고 한다. 하지만 공격자들은 어렵지 않게 이 스캔 도구를 피해갈 수 있었다. 깃허브 계정 생성일을 조작하거나 좋아요(Star) 수를 인위적으로 늘려 평판을 좋게 만들었고, 스캔이 되는 원본 코드에는 악성 요소를 하나도 넣지 않았다. 대신 설치 과정에 사용자가 개입해 따로 숨겨둔 악성코드를 실행하도록 유도했다.

클로허브와 깃허브를 교묘히 엮다

공격자들의 이런 행위는 ‘각각의 플랫폼에 맞게 공격 효율을 높인 것’이라고 정리할 수 있다. 클로허브처럼 허술한 곳에서는 악성코드를 숨기지조차 않음으로써 노력의 수위를 낮췄고, 깃허브처럼 보안 장치가 있는 곳에서는 인공지능의 권한이 가진 약점을 정확하게 파고든 것이다. 하지만 이게 다가 아니었다. 두 플랫폼을 유기적으로 엮어서 활용하는 모습도 보였다.

오픈소스멀웨어에 의하면 공격자들은 클로허브에서 유통되는 자신들의 악성 스킬이 좀 더 높은 확률로 선택되기를 바라는 마음으로 깃허브를 악용했다고 한다. 비교적 신생 플랫폼인 클로허브에 악성 스킬을 올려두되, ‘깃허브에도 있는 스킬’이라는 점을 강조한 것이다. 이미 개발자들 사이에서 유명하며 신뢰를 받고 있는 깃허브와 연관지음으로써 클로허브에서 활동하는 사람들이나 인공지능 모델들이 ‘깃허브에도 있는 것이니 안전할 것’이라고 신뢰하도록 유도한 것이다. 

타이포스쿼팅(typosquatting)이라는 오래된 공격 수법이 활발히 활용되기도 했다. “공격자들은 스킬 이름을 유명 스킬 이름과 비슷하게 꾸몄습니다. 철자 하나를 더 붙이거나 빼는 식으로, 오타처럼 보이게 만든 것이죠. 이는 사람의 눈도 속일 수 있지만, 인공지능도 속일 수 있습니다. 인공지능은 인간보다 오타에 관대하다는 특성을 가지고 있고, 가장 기능이 많을 것 같은 이름을 고르려 합니다. 공격자들이 이 점을 잘 이해하고 있었습니다.”

피해 규모와 대책

현재까지 파악된 바에 의하면 전 세계적으로 약 1만 5천 대 이상의 장비가 악성 스킬에 감염됐다고 한다. 주로 맥OS 환경에서 작업하는 개발자들과 암호화폐 산업 종사자인 것으로 보인다. 개인 투자자 한 명은 무려 12억 원 상당의 암호화폐를 잃은 것으로 밝혀지기도 했다. 이것이 현재까지 확인된 최대 단일 피해액이다. 공격자들이 업무용 크리덴셜도 상당수 훔친 것으로 보이기 때문에 더 큰 피해가 따르는 것도 가능한 일이다.

앤트로픽과 몰트봇 오픈소스 커뮤니티는 이러한 소식을 접하고 긴급 보안 패치를 만들어 배포했다. 인공지능이 외부 스킬을 가져올 때 코드의 서명을 확인하고, 시스템 명령을 실행하기 전에 높은 수위의 경고창이 나타나도록 했다. 그러나 이는 원천적으로 악성 스킬 설치 공격을 막지는 못한다. 사용자들이 조금 더 주의할 수 있도록 하는 장치일 뿐이다. 사용자들이 인공지능의 권한을 지나치게 높여 사용하거나, 경고 내용을 잘 읽지 않는다면 쓸모가 없다.

그 외에도 몰트봇 개발진은 신고 시스템을 도입하여 악성 스킬 발견시 누구라도 신고하여 정보를 공유할 수 있게 해 두었다. 신뢰할 수 있는 개발자가 만든 스킬에만 ‘확인’ 혹은 ‘인증’ 마크를 부여하는 시스템도 만들어가는 중이며, 인공지능이 터미널 명령을 내릴 때 더 격리된 환경에서 할 수 있도록 샌드박스를 강화하기도 했다. 

이 캠페인을 주도한 세력에 대해서는 알려진 바가 없다. 다만 hightower6eu라는 계정이 이번 사건을 주도했으며, 가상화폐와 크리덴셜이 주요 표적이었다는 것만 파악되고 있다. 오픈소스멀웨어와 보안 기업 코이시큐리티(Koi Security)는 현재 이 세력에 클로하복(ClawHavoc)이라는 이름을 붙여 추적하고 있다. 

어떻게 방어해야 하나?

“최근 깃허브나 클로허브에서 암호화폐 관련 스킬을 다운로드 받았다면, 그것부터 확인해야 합니다. 만약 수상한 스킬을 받은 것으로 기억 및 확인될 경우, 인공지능 에이전트를 즉시 종료해야 하는데, 터미널에서 실행 중인 moltbot이나 claude-code 프로세스를 강제로 종료하는 게 중요합니다.” 코이시큐리티 측의 설명이다.

그 다음 해야 할 일은 악성 스킬을 삭제하는 것이다. “설치된 스킬 디렉토리를 통째로 제거하십시오. 보통 /.moltbot.skills나 /.claude-code/skills라는 이름으로 구성돼 있습니다. 또한 better-polymarket이나 solano-tracker 등 암호화폐나 자동화 관련 이름이 들어간 폴더도 확인하십시오. 그 외에 LLM API 키가 있으면 기존 키를 삭제하고 새로 발급받는 것도 중요합니다. 인터넷 브라우저를 켜서 사이트들마다 접속해 로그아웃을 실시해 새로 로그인을 실시하십시오.”

아직 피해가 없는 경우에도 할 일이 있다. “인공지능이 터미널 명령을 내리거나 새 스킬을 설치할 때 반드시 사람의 승인을 받도록 설정하십시오. 터미널에서 exe.ask: always나 - - confirm과 같은 옵션을 활용하면 됩니다. 실제 주요 PC가 아니라 도커 컨테이너나 가상기계 안에서만 인공지능 에이전트를 실행해 버릇 하는 것도 좋은 습관입니다. 공식 문서나 공식 깃허브 저장소 외의 장소에서는 스킬을 절대로 받지 않습니다. 인공지능에 사람과 같은 권한을 주는 건 매우 위험한 일이라는 걸 꼭 기억해야 합니다.”🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• MoltBot Skills exploited to distribute 400+ malware packages in days (Claude Code·Moltbot 사용자 노린 악성 스킬 공급망 공격 분석) - Security Affairs, 2026년
• Viral Moltbot AI assistant raises concerns over data security (Moltbot 스킬 기반 공급망 공격 PoC 및 보안 취약 배포 사례) - BleepingComputer, 2026년
• Personal AI Agents like Moltbot Are a Security Nightmare (AI 에이전트 스킬을 통한 데이터 유출·원격 코드 실행 위협 분석) - Cisco Blogs, 2026년
• AgentSafety: A Survey and Benchmarking of Attacks on LLM-based Agents and Tools (악성 도구·스킬을 통한 LLM 에이전트 공격 유형 정리) - OSU NLP Group, 2024년

인공지능 브라우저의 연패...챗GPT아틀라스까지도

💡Editor’s Pick - 연달아 나오는 인공지능 브라우저들, 하지만 완성도가 문제 - 오픈AI의 챗GPT아틀라스도 간단한 공격에 취약 - 심지어 기본 피싱 보호 기능도 내장돼 있지 않아 출시된 지 얼마 지나지 않은 인공지능 브라우저 ‘챗GPT아틀라스(ChatGPT Atlas)’에서 새로운 취약점이 발견됐다. 익스플로잇에 성공한 공격자는 사용자의 챗GPT 세션 메모리에 악성 명령을 직접 주입할

더테크엣지(The Tech Edge)문가용 기자