‘GenericWebhook’ 채널의 ‘sender’, ‘chat_id’ 값 맹목적 신뢰...CVSS 8.2 고위험 취약점
안전하지 않은 직접 객체 참조(IDOR) 악용 시 다른 사용자 채팅방 오염 및 세션 탈취 가능

[보안뉴스 조재호 기자] 개인용 AI 어시스턴트 플랫폼인 ‘ZeptoClaw’에서 외부 공격자가 내부 사용자로 완벽하게 위장해 시스템을 장악할 수 있는 고위험 취약점이 발견됐다. 입력값에 대한 검증 누락과 기본 보안 설정의 부재가 겹치며 발생한 전형적인 논리적 결함으로 신속한 조치가 요구된다.

보안 취약점 분석 플랫폼 테너블(Tenable)과 깃허브 보안 권고에 따르면, Rust 기반 오픈소스 AI 어시스턴트 ‘ZeptoClaw’ 0.7.5 이하 버전에서 웹훅(Webhook) 인증 우회 및 신원 스푸핑 취약점(CVE-2026-32231)이 공개됐다. 해당 취약점은 CVSS v3.1 기준 8.2점(High)의 높은 위험도를 기록했다.


입력값 검증 누락과 기본 설정 부재가 낳은 ‘맹목적 신뢰’
이번 취약점의 핵심 원인은 ‘ZeptoClaw’의 ‘GenericWebhook(범용 웹훅)’ 채널에서 들어오는 JSON 페이로드의 발신자(sender)와 채팅방 식별자(chat_id) 필드를 서버가 검증 없이 그대로 받아들인다는 데 있다. 시스템은 HTTP POST 요청이 들어올 때, 실제 요청자를 증명하는 인증 토큰을 확인하지 않고 본문에 적힌 텍스트만으로 접근을 허가한다.

‘ZeptoClaw’는 기본 웹훅 설정에서 인증 토큰(auth_token)이 필수 옵션이 아닌 ‘비활성화’(None) 상태로 배포되어 취약점 노출을 부추겼다. 공격자는 인증 헤더 없이 페이로드에 화이트리스트에 등록된 신뢰할 수 있는 사용자 이름만 입력하면 시스템의 접근 제어를 손쉽게 우회할 수 있다.

만약 외부에 노출된 취약한 웹훅 엔드포인트(POST /webhook)를 방치할 경우, 공격자가 단순한 파라미터 조작만으로 기업의 최고 관리자로 위장해 AI 어시스턴트에게 내부망 스캐닝, 기밀 데이터 외부 전송, 악성 스크립트 실행 등 치명적인 고권한 워크플로우를 강제 실행시킬 수 있다.

IDOR 취약점 악용한 채팅방 오염 우려... 0.7.6 버전으로 즉각 패치 필요
공격의 파급력은 단순한 명령 실행에 그치지 않는다. 조작 가능한 파라미터에 발신자뿐만 아니라 채팅방 식별자(chat_id)가 포함되어 있다는 점이 더 큰 문제다.

이를 악용하면 공격자가 타깃으로 삼은 특정 임원이나 부서의 채팅방으로 위조된 메시지를 밀어 넣거나 세션을 오염시키는 ‘안전하지 않은 직접 객체 참조’(IDOR·Insecure Direct Object Reference) 형태의 공격도 가능하다. IDOR란 공격자가 조작된 파라미터(예: 다른 사용자의 ID나 식별자)를 통해 적절한 권한 검증 없이 타인의 민감한 데이터나 객체에 직접 접근할 수 있는 치명적인 웹 취약점이다.

해당 취약점은 입력값 검증 로직이 추가된 ‘ZeptoClaw’ 0.7.6 버전에서 수정됐다. 보안 전문가들은 취약한 버전을 사용하는 관리자는 즉시 최신 버전으로 업데이트할 것을 권고했다.

문광석 한국정보공학기술사회 미래융합기술원장은 “최근 업무 편의성으로 인해 ‘OpenClaw’, ‘ZeptoClaw’와 같은 AI 어시스턴트의 사용이 늘고 있지만, 이번 사례처럼 적절한 인증이 강제화되지 않으면 누구나 접근 제어를 우회할 수 있다”고 지적했다.

이어 “우선적으로 0.7.6 최신 버전으로 패치해 근본적인 취약점을 제거해야 하며, 이와 함께 설정 파일(config.toml)에서 ‘auth_token’ 설정을 의무화해 다중 방어막을 구축하는 것이 필수적”이라며, “AI 어시스턴트 시스템에 높은 권한을 부여하는 만큼, 그에 상응하는 높은 보안 위험이 뒤따른다는 점을 명확히 인지해야 한다”고 강조했다.

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>