--- read_when: - 보안 발견 사항이나 위협 시나리오를 제공하려는 경우 - 위협 모델 검토 또는 업데이트 summary: OpenClaw 위협 모델에 기여하는 방법 title: 위협 모델에 기여하기 x-i18n: generated_at: "2026-05-06T18:00:17Z" model: gpt-5.5 provider: openai source_hash: a23ca088d7893180a83c02d6971bbf1c32affa724e43019fd40276eaadc52278 source_path: security/CONTRIBUTING-THREAT-MODEL.md workflow: 16 --- OpenClaw을 더 안전하게 만드는 데 도움을 주셔서 감사합니다. 이 위협 모델은 계속 발전하는 문서이며, 보안 전문가가 아니어도 누구나 기여할 수 있습니다. ## 기여 방법 ### 위협 추가하기 아직 다루지 않은 공격 벡터나 위험을 발견하셨나요? [openclaw/trust](https://github.com/openclaw/trust/issues)에 이슈를 열고 자신의 말로 설명해 주세요. 프레임워크를 알거나 모든 필드를 채울 필요는 없습니다. 시나리오만 설명해 주시면 됩니다. **포함하면 도움이 되는 내용(필수는 아님):** - 공격 시나리오와 악용될 수 있는 방식 - 영향을 받는 OpenClaw 부분(CLI, Gateway, 채널, ClawHub, MCP 서버 등) - 생각하는 심각도(낮음 / 중간 / 높음 / 심각) - 관련 연구, CVE 또는 실제 사례 링크 검토 중에 ATLAS 매핑, 위협 ID, 위험 평가를 처리하겠습니다. 이러한 세부 정보를 포함하고 싶다면 좋지만, 필수는 아닙니다. > **이는 위협 모델에 추가하기 위한 것이며, 실제 취약점을 신고하기 위한 것이 아닙니다.** 악용 가능한 취약점을 발견했다면, 책임 있는 공개 안내는 [Trust 페이지](https://trust.openclaw.ai)를 참조하세요. ### 완화 방안 제안하기 기존 위협을 해결할 아이디어가 있나요? 해당 위협을 참조하는 이슈나 PR을 열어 주세요. 유용한 완화 방안은 구체적이고 실행 가능해야 합니다. 예를 들어 "Gateway에서 발신자별 10개 메시지/분 속도 제한"이 "속도 제한 구현"보다 더 좋습니다. ### 공격 체인 제안하기 공격 체인은 여러 위협이 결합되어 현실적인 공격 시나리오가 되는 방식을 보여줍니다. 위험한 조합을 발견했다면, 단계와 공격자가 이를 어떻게 연결할 수 있는지 설명해 주세요. 실제로 공격이 전개되는 방식에 대한 짧은 서술이 형식적인 템플릿보다 더 가치 있습니다. ### 기존 콘텐츠 수정 또는 개선하기 오타, 설명 보강, 오래된 정보, 더 나은 예시 등은 이슈 없이 PR로 제출해도 됩니다. ## 사용하는 것 ### MITRE ATLAS 프레임워크 이 위협 모델은 프롬프트 인젝션, 도구 오용, 에이전트 악용과 같은 AI/ML 위협을 위해 특별히 설계된 프레임워크인 [MITRE ATLAS](https://atlas.mitre.org/)(Adversarial Threat Landscape for AI Systems)를 기반으로 합니다. 기여하기 위해 ATLAS를 알 필요는 없습니다. 제출 내용은 검토 중에 프레임워크에 매핑합니다. ### 위협 ID 각 위협에는 `T-EXEC-003` 같은 ID가 부여됩니다. 범주는 다음과 같습니다. | 코드 | 범주 | | ------- | ------------------------------------------ | | RECON | 정찰 - 정보 수집 | | ACCESS | 초기 접근 - 진입 권한 확보 | | EXEC | 실행 - 악성 작업 실행 | | PERSIST | 지속성 - 접근 유지 | | EVADE | 방어 회피 - 탐지 회피 | | DISC | 발견 - 환경 파악 | | EXFIL | 유출 - 데이터 탈취 | | IMPACT | 영향 - 피해 또는 중단 | ID는 검토 중에 유지관리자가 할당합니다. 직접 선택할 필요는 없습니다. ### 위험 수준 | 수준 | 의미 | | ------------ | ----------------------------------------------------------------- | | **심각** | 전체 시스템 침해 또는 높은 가능성 + 심각한 영향 | | **높음** | 상당한 피해 가능성 또는 중간 가능성 + 심각한 영향 | | **중간** | 보통 위험 또는 낮은 가능성 + 높은 영향 | | **낮음** | 가능성이 낮고 영향이 제한적 | 위험 수준이 확실하지 않다면 영향을 설명해 주세요. 저희가 평가하겠습니다. ## 검토 프로세스 1. **분류** - 새 제출물을 48시간 이내에 검토합니다 2. **평가** - 실현 가능성을 확인하고, ATLAS 매핑과 위협 ID를 할당하며, 위험 수준을 검증합니다 3. **문서화** - 모든 내용이 올바르게 형식화되고 완전한지 확인합니다 4. **병합** - 위협 모델과 시각화에 추가합니다 ## 리소스 - [ATLAS 웹사이트](https://atlas.mitre.org/) - [ATLAS 기법](https://atlas.mitre.org/techniques/) - [ATLAS 사례 연구](https://atlas.mitre.org/studies/) - [OpenClaw 위협 모델](/ko/security/THREAT-MODEL-ATLAS) ## 연락처 - **보안 취약점:** 신고 지침은 [Trust 페이지](https://trust.openclaw.ai)를 참조하세요 - **위협 모델 질문:** [openclaw/trust](https://github.com/openclaw/trust/issues)에 이슈를 열어 주세요 - **일반 채팅:** Discord #security 채널 ## 인정 위협 모델 기여자는 중요한 기여에 대해 위협 모델 감사의 말, 릴리스 노트, OpenClaw 보안 명예의 전당에서 인정됩니다. ## 관련 항목 - [위협 모델](/ko/security/THREAT-MODEL-ATLAS) - [형식 검증](/ko/security/formal-verification)