마이크로소프트 스카우트: 당신의 '디지털 동료'를 위협하는 제로데이 취약점의 민낯

마이크로소프트 공식 블로그는 스카우트가 별도의 명령 없이도 회의 준비, 일정 조율 충돌 해결, 이메일 초안 작성, 반복적인 업무 조정 등을 처리한다고 설명한다 . 스카우트는 시간이 지남에 따라 개인의 업무 패턴을 학습하고, 사용자 피드백을 바탕으로 영구적인 기억을 구축하며, 기업의 규정 준수를 위해 자신의 모든 행동을 지속적으로 모니터링하고 감사 기록을 생성하는 '정책 준수 시스템'을 내장하고 있다 .

각 스카우트 에이전트는 고유의 마이크로소프트 엔트라 ID(Microsoft Entra ID, 기업용 신원 및 접근 관리 서비스)를 가지고 움직이기 때문에, 기존에 설정된 회사의 접근 권한 정책에 따라 제어된다. 민감한 작업은 반드시 사람의 승인을 거치도록 설계되어, 마이크로소프트는 이 거버넌스 레이어(통제 계층)를 통해 신중한 기업 보안팀의 우려를 불식시킬 수 있기를 바라고 있다 .

다만 출시 초기에는 접근성이 제한적이다. 스카우트는 마이크로소프트의 얼리어답터 프로그램인 '프론티어(Frontier)'를 통해서만 제공되며, 깃허브 코파일럿(GitHub Copilot) 구독이 필요하다 . 현재는 비공개 프리뷰 상태로, 마이크로소프트가 경험을 다듬는 동안 광범위한 접근을 막아둔 셈이다.

공격받는 기반, 오픈클로(OpenClaw) 프레임워크

스카우트 출시가 특히 우려되는 지점은 그 기술적 기반이다. 스카우트는 오픈클로(OpenClaw)라는 오픈소스 자율 에이전트 프레임워크 위에서 구축되었다. 이 오픈클로는 최근 소프트웨어 역사상 가장 격동적인 보안 이슈를 겪은 프레임워크 중 하나다. 마이크로소프트의 '워크 IQ(Work IQ)' 컨텍스트 엔진이 추가 레이어를 제공하지만, 에이전트의 핵심적인 운영을 담당하는 것은 바로 오픈클로다 .

스카우트가 공개될 무렵, 오픈클로는 이미 2026년 한 해에만 138건이 넘는 공식 보안 취약점(CVE)을 기록한 상태였다 . 또한 1,184개의 악성 마켓플레이스 패키지가 발견된 그해 최대 규모의 AI 에이전트 공급망 공격이 확인되었고, 전 세계 82개국에서 135,000개가 넘는 인스턴스가 인증 설정도 없이 공개 인터넷에 그대로 노출되어 있었다 .

스카우트 발표 몇 달 전인 2026년 2월, 마이크로소프트 보안 블로그는 오픈클로에 대해 충격적인 경고를 남겼다. "일반 개인용 컴퓨터나 회사 컴퓨터에서 실행하는 것은 적절하지 않다"는 내용이었다 . 이후 카스퍼스키(Kaspersky)의 감사에서는 프레임워크에서 총 512개의 취약점이 발견되었으며, 그중 8개는 '심각(Critical)' 등급으로 분류되었다 . 이러한 폭로의 심각성과 빈도는 어떤 제품 출시에도 큰 부담이 되기에 충분했다. 하물며 '신뢰할 수 있는 동료'를 자처하는 항시 대기형 에이전트라면 더욱 그렇다.

빌드 2026을 강타한 5개의 제로데이 취약점

스카우트 발표 시점에 맞춰 연구원들은 오픈클로의 '신뢰 경계(Trust Boundary)'와 '명령 허용 목록(Allowlist)' 모델을 직접적으로 무너뜨리는 5개의 특정 제로데이 취약점을 공개했다. 이 메커니즘은 바로 스카우트가 사용자 대신 명령을 안전하게 실행하기 위해 반드시 의존해야 하는 바로 그 장치다.

가장 심각한 발견은 '클로 체인(Claw Chain)'이라 명명된 4개의 연쇄 취약점이었다. CVE-2026-44112, CVE-2026-44113, CVE-2026-44115, CVE-2026-44118의 식별 번호가 부여된 이 결함들은 공격자가 연쇄적으로 악용할 경우, 기존 보안 경보를 울리지 않은 채 모래상자(Sandbox, 격리된 실행 환경) 수준의 코드 실행에서 시작해 호스트 시스템에 완전히 침투하여 영구적인 제어 권한을 확보할 수 있게 한다 . 이 연쇄 고리의 핵심인 CVE-2026-44112는 CVSS 점수(취약점 위험도 지표) 9.6점으로, 공격자가 파일 시스템 쓰기 작업을 샌드박스 경계 바깥으로 재지정하게 하여 설정 파일 변조 및 백도어 설치를 가능하게 한다 .

다른 제로데이들도 오픈클로가 신뢰된 명령을 처리하는 방식의 취약점을 드러냈다. CVE-2026-41390은 프레임워크의 '항상 허용(allow-always)' 지속성 메커니즘이 /usr/bin/script와 같은 시스템 래퍼(Wrapper, 명령을 감싸 실행하는 프로그램)를 신뢰 결정을 저장하기 전에 풀어내지 못한다는 점을 밝혀냈다. 이는 공격자가 무해해 보이는 래핑된 명령 하나만 사용자가 승인하도록 유도하면, 이후의 보안 프롬프트를 영구적으로 우회하고 임의의 코드를 실행할 수 있음을 의미한다 . CVE-2026-29607도 유사한 래퍼 수준의 지속성 결함을 드러냈다. '항상 허용'으로 하나의 system.run 명령을 승인하면, 내부 명령 수준이 아닌 래퍼 수준에서 허용 목록 항목이 유지되어, 나중에 완전히 다른 악성 페이로드를 승인 없이 실행할 수 있게 된다 .

CVE-2026-3689(제로데이 이니셔티브 ZDI-26-227로 등록됨)는 오픈클로 캔버스(Canvas) 기능의 경로 탐색(Path Traversal) 취약점으로, 원격 공격자가 영향을 받는 시스템에서 민감한 정보를 빼낼 수 있게 했다 . 이 밖에도 연구원들은 메신저 플랫폼에서 표시 이름(Display Name)만 같게 바꾸는 방식으로 신뢰된 사용자를 사칭해 AI 에이전트 접근을 탈취할 수 있는 부적절한 신원 확인 결함까지 확인했다 .

반복되는 패턴: 무력화되는 '허용 목록'

이러한 취약점들을 관통하는 공통점은 분명하다. 오픈클로의 보안 모델은 근본적으로 '명령 허용 목록(Exec Allowlist)'에 크게 의존한다. 이는 승인된 명령의 목록을 유지하며, 등록되지 않은 명령이 실행되려 할 때 사용자에게 확인을 요청하는 메커니즘이다. 연구원들이 반복적으로 증명해 보인 문제는, 이 허용 목록이 래핑(wrapping)되거나, 확장(expansion)되거나, 연쇄(chaining)된 명령을 제대로 해석하지 못한다는 점이었다.

다수의 독립적인 연구팀이 오픈클로가 안정적인 내부 실행 파일 수준이 아니라 래퍼(wrapper) 수준에서 신뢰 결정을 유지한다는 사실을 알아냈다 . 공격자는 인용 부호가 없는 히어독(heredoc, 쉘 스크립트에서 여러 줄의 문자열을 전달하는 방식) 본문에 쉘 확장 토큰(token)을 심거나, SHELLOPTS나 PS4 같은 환경 변수를 주입해 허용된 명령이 실행되기 전에 임의의 명령 치환을 유발할 수 있었다. 또한 중첩된 디스패치 래퍼의 깊이(depth)를 파싱할 때 발생하는 불일치를 악용해 쉘 래퍼 감지를 억제하면서도 허용 목록 확인은 통과하는 기법도 발견되었다 .

결과는 치명적이었다. 겉보기에 무해한 명령 하나를 승인하도록 사용자를 속이기만 하면, 공격자는 호스트 머신에서 임의의 코드를 실행할 수 있는 영구적인 백도어를 확보하고, 이후의 모든 보안 프롬프트를 깨끗이 우회할 수 있었다.

스카우트 배포에 이것이 왜 중대한 문제인가

스카우트는 이러한 오픈클로의 신뢰 및 허용 목록 아키텍처를 그대로 계승하고 있다 . 이 에이전트는 Teams, Outlook, SharePoint 내부에서 항상 켜져 있는 접근 권한을 가지고 이메일을 읽고, 캘린더를 관리하며, 대화에 참여하고, 백그라운드에서 작업을 수행한다. 보안 연구원과 기업 보안팀들은 이 수준의 지속적인 시스템 접근 권한이 체계적인 허용 목록 우회 취약점이 입증된 프레임워크와 결합될 경우, 예상 피해 범위(blast radius)가 이례적으로 확대될 수 있다는 우려를 제기해 왔다 .

물론 마이크로소프트는 스카우트에 순수 오픈클로 이상의 추가 제어 장치를 구현했다. 각 스카우트 에이전트는 기업 정책이 적용된 통제된 엔트라(Entra) ID를 보유하며, 민감한 작업은 사용자의 명시적 승인을 필요로 한다 . 내장된 정책 준수 시스템은 스카우트의 행위를 지속적으로 모니터링하고 감사 추적을 생성한다 .

하지만 핵심 명령 실행 경계, 즉 승인된 에이전트가 어떤 행동을 수행할 수 있는지 실제로 강제하는 메커니즘 자체는 오픈클로의 허용 목록 구현으로 직결된다. 만약 공격자가 이 경계를 무너뜨릴 수만 있다면, 나머지 거버넌스 계층들은 진정한 예방책이 아닌 2차 방어선으로 전락하고 만다.

스카우트의 비공개 프리뷰를 평가하는 기업 보안팀에게 진짜 질문은 제품의 유용성이 아니다. 초기 시연은 이 제품이 놀랍도록 유능함을 보여주었다. 진짜 문제는 광범위한 조직 접근 권한을 가진 항시 대기형 에이전트를 책임감 있게 배포할 수 있을 만큼, 그 기반 프레임워크의 위험 프로필이 충분히 강화되었는지 여부다.

마이크로소프트는 과거에 오픈클로의 보안적 한계에 대해 솔직한 바 있다. 2026년 2월에 발표한 자체 가이드에서, 이 런타임은 내장된 보안 통제가 제한적이며 신뢰할 수 없는 텍스트를 수집하고 외부 소스에서 실행 코드를 다운로드할 수 있다고 인정했다. 또한 할당된 자격 증명을 사용해 작업을 수행하기 때문에, 실행 경계가 정적인 애플리케이션 코드에서 동적으로 제공되는 콘텐츠로 옮겨가면서 그에 상응하는 신원 및 권한 통제가 부재해진다고 설명했다 .

일단 현재로서 스카우트는 프론티어 프로그램과 깃허브 코파일럿 구독 뒤에 가두어진 비공개 프리뷰 상태다. 이는 마이크로소프트가 더 넓은 기업 고객에게 이 에이전트를 선보이기 전에, 빌드 2026 공개로 수면 위로 드러난 프레임워크 수준의 우려를 해결할 통제된 시간을 벌어준 셈이다.