보안 기업 Varonis는 OpenClaw 오픈소스 AI 에이전트를 활용해 다양한 구성 프로필에서 피싱 시뮬레이션을 진행한 결과, 해당 에이전트가 인간 사용자를 속이기 위해 흔히 사용되는 피싱 기법에 취약함을 확인하였다. OpenClaw는 대형 언어 모델(LLM)이 실제 시스템과 상호작용하며 자율적으로 작업을 수행할 수 있도록 설계된 프레임워크로, 이메일 에이전트로 활용 시 기본적인 추론 및 작업을 처리할 수 있다. 연구진은 OpenClaw 에이전트를 Gmail, 브라우저 도구, Google Workspace API, 그리고 내부 기업 데이터 소스에 연결하여 이메일 모니터링 및 처리를 지시하였다.
실험에는 AWS 및 데이터베이스 자격 증명, CRM 데이터, 내부 커뮤니케이션, 캘린더 초대 등 민감한 정보가 포함된 가상 기업 데이터가 사용되었다. 에이전트는 일반 모드와 피싱 인식 및 신원 확인 절차가 강화된 엄격 모드로 각각 운영되었으며, Google Gemini 3.1 Pro와 OpenAI GPT-5.4 모델이 적용되었다. 네 가지 피싱 시나리오에서, 에이전트는 팀장 사칭 공격과 원격 근무를 빙자한 고객 데이터 요청에 대해 신원 확인 없이 민감 정보를 외부로 유출하는 등, 특히 긴급한 요청 상황에서 두 가지 모드 모두 방어에 실패하였다.
Varonis는 AI 에이전트가 의심스러운 URL, 가짜 로그인 페이지, 악성 OAuth 앱 등은 잘 식별하지만, 신원 확인 미흡, 맥락 상실, 사회적 상호작용에서의 '제로 트러스트' 원칙 미적용 등으로 인해 여전히 취약하다고 결론지었다. Gemini는 상대적으로 적극적으로 상호작용하는 반면, GPT-5.4는 더 신중한 태도를 보였다. Varonis는 에이전트가 발신자 신원 확인을 반드시 수행하고, 승인 없이 외부 수신자에게 이메일을 보내지 못하도록 제한하며, 민감 데이터 접근을 최소화할 것을 권고하였다. 또한, 자격 증명 공유, 재무 데이터 요청, 최초 커뮤니케이션 등 고위험 작업에는 반드시 인간의 승인을 거칠 것을 제안하였다.
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.