Claude Code·Cursor·Codex 등 AI 코딩 에이전트를 노린 신종 해킹 '에이전트재킹'이 공개됐어요. 단 1개의 HTTP 요청으로 AWS 키·GitHub 토큰·DB 비밀번호까지 탈취하는 공격이에요. 성공률 85%, 이미 2,388개 기업이 노출된 상태라고 Tenet Security가 밝혔어요.
요즘 Claude Code나 Cursor 없이 개발하는 사람이 드물 정도로, AI 코딩 에이전트가 개발 워크플로에서 핵심이 됐어요. 근데 그 편리함 뒤에 꽤 심각한 취약점이 숨어 있었다는 게 공개됐어요. 보안 회사 Tenet Security가 '에이전트재킹(Agentjacking)'이라고 이름 붙인 신종 공격 방식이에요. AI 코딩 툴을 쓰는 개발자라면 진지하게 읽어야 해요. 🔥
공격의 핵심은 Sentry예요. 팀 개발에서 에러 트래킹으로 많이 쓰는 그 Sentry. AI 코딩 에이전트들은 개발 과정에서 Sentry가 수집한 에러 리포트를 MCP(Model Context Protocol) 채널을 통해 자동으로 가져와서 읽어요. 문제는 에이전트가 그 데이터를 '믿을 수 있는 진단 가이드'로 처리한다는 거예요. 공격자는 이걸 역이용해서 악성 마크다운 명령을 Sentry 에러 이벤트 안에 심어놓아요.
에이전트가 그 리포트를 읽는 순간, 악성 명령을 정상적인 디버그 절차로 착각하고 그대로 실행해버려요. 특히 무서운 건 공격에 인증이 전혀 필요 없다는 거예요. Sentry DSN(Data Source Name)은 공개 자격증명이라서, 누구든 HTTP POST 요청 하나만 보내면 Sentry에 악성 이벤트를 심을 수 있거든요. Claude Code, Cursor, OpenAI Codex 세 가지 에이전트 모두에서 성공률 85%가 확인됐어요. 📊
탈취되는 정보도 장난이 아니에요. AWS 액세스 키와 세션 토큰, GitHub OAuth 토큰(비공개 레포 전체 접근), Kubernetes 서비스 어카운트 토큰, npm·Artifactory 패키지 레지스트리 토큰, 그리고 DB 커넥션 스트링과 결제 API 키까지요. 개발자 환경에 있는 거의 모든 시크릿이 한 번에 노출될 수 있어요.
Tenet Security가 6월 3일 Sentry에 취약점을 제보했고, Sentry는 콘텐츠 필터를 추가했어요. 하지만 솔직히 이게 근본 해결은 아니에요. 핵심 문제는 AI 에이전트가 외부 시스템에서 온 데이터를 명령어처럼 신뢰하는 구조 자체예요. 이를 '간접 프롬프트 인젝션'이라고 부르는데, MCP 기반 에이전트 워크플로가 빠르게 확산되면서 이런 공격 표면이 급격히 넓어지고 있는 상황이에요.
내 생각엔, 97%의 개발자가 AI 코딩 툴을 사용한다는 최근 조사 결과와 맞물려 보면 이 취약점의 파급력이 정말 크다는 게 느껴져요. 2,388개 기업이 노출돼 있다는 건 '이론적 가능성'이 아니라 이미 현실적 위협이고요. ⚠️
당장 할 수 있는 조치는 있어요. Sentry MCP 통합을 사용 중이라면 신뢰 경계를 재검토하고, AI 에이전트가 외부 데이터 소스에서 온 내용을 자동으로 실행하는 권한을 최소화해야 해요. AI가 점점 강력해질수록 그 AI를 장악하는 공격도 더 강력해진다는 건 피할 수 없는 양면이에요. 어떻게 대응할지는 결국 개발팀이 선택해야 할 문제예요.
출처