AI 코딩 에이전트 신뢰 경계를 노린 신규 공격 Agentjacking이 공개되었습니다. 핵심 요약은 다음과 같습니다.
- Tenet Security가 Sentry 기반 가짜 오류 리포트를 활용한 공격 기법을 분석·명명함
- 공격은 외부 모니터링 도구의 입력을 에이전트가 신뢰하는 컨텍스트로 혼입시켜 명령 해석을 왜곡할 수 있는 사회공학 기반 경로를 사용함
- 단기 권한 최소화 정책과 중장기 에이전트 권한 모델·툴 호출 감사 체계 도입이 시급한 대응 과제로 부상함
Agentjacking은 단순한 프롬프트 조작이 아니라, 외부 SaaS 입력을 신뢰하는 에이전트 아키텍처 자체의 구조적 결함을 드러낸 사례로 분석됩니다.
2026년 6월 12일 The Hacker News는 보안 업체 Tenet Security가 Agentjacking이라는 새로운 공격 클래스를 최초 공개했다고 보도했습니다. 이번 공격은 오픈소스 오류 추적 및 성능 모니터링 플랫폼 Sentry의 가짜 오류 리포트를 매개로 AI 코딩 에이전트를 속여 개발자 머신에서 임의 코드를 실행시키는 흐름을 보였습니다. 본문에서는 Sentry 악용 경로의 작동 원리와 신뢰 경계 붕괴 위험을 DevSecOps 관점에서 진단하고, 단기 완화책과 중장기 거버넌스 개선 방향을 함께 제시합니다.
Agentjacking 공격 개요와 등장 배경
Agentjacking은 AI 코딩 에이전트가 외부 시스템에서 수집한 정보를 그대로 컨텍스트로 흡수하고, 그 위에 도구 호출(tool use)과 셸 실행 권한을 부여하는 현재 개발 워크플로를 정면으로 겨냥한 공격입니다. 에이전트 도입이 가속화되면서 개발자의 개발 환경은 더 이상 완전히 폐쇄된 신뢰 영역으로 보기 어려워졌습니다.
AI 코딩 에이전트란 무엇이며 왜 공격 표적이 되는가
AI 코딩 에이전트는 자연어 명령을 해석해 코드 작성, 리팩터링, 테스트 실행, 외부 서비스 호출 등을 자동으로 수행하는 소프트웨어입니다. 대표적인 구현 사례에서는 코드베이스를 인덱싱한 뒤 셸 명령 실행, 파일 시스템 접근, 패키지 설치 권한을 갖는 경우가 있습니다. 이러한 높은 권한이 공격자에게는 가장 매력적인 표적이 되며, 입력이 자연어라는 특성상 사회공학 페이로드가 그대로 명령어로 변환될 수 있는 위험이 있습니다.
Tenet Security의 최초 공개와 연구 의의
Tenet Security는 이번 공격을 단순한 프롬프트 인젝션 변주가 아닌, 에이전트가 외부 모니터링 도구를 신뢰하는 사실 자체를 악용하는 새로운 공격 클래스로 정의했습니다. 단순한 사용자 입력이 아니라, 정상적인 운영 데이터처럼 위장된 채널을 통해 페이로드가 전달된다는 점에서 기존 공급망 공격과 AI 보안 위협이 교차하는 지점을 보여주었다는 점에서 의의가 있습니다.
Sentry 가짜 오류 리포트를 이용한 공격 메커니즘
Sentry는 애플리케이션의 런타임 오류, 스택 트레이스, 환경 변수 메타데이터를 수집해 개발자에게 전달합니다. 에이전트 워크플로에서는 이러한 오류 리포트를 자동으로 분석하고 수정 코드를 제안하는 형태로 활용되는 경우가 많은데, 바로 이 신뢰 가정이 공격에 이용됩니다.
Sentry 데이터 흐름과 신뢰 가정
정상 흐름에서는 애플리케이션 내부에서 발생한 오류만이 Sentry SDK를 통해 전달됩니다. 그러나 공개 Sentry 프로젝트는 외부 사용자가 오류를 제출할 수 있는 구조를 갖고 있어, 공격자는 Sentry 이벤트 구조를 모방한 가짜 리포트를 생성해 에이전트가 읽는 컨텍스트로 주입할 수 있습니다. Sentry 공식 문서에 명시된 이벤트 스키마는 페이로드에 자유 텍스트 필드(예: exception message, stack frame module path, breadcrumb message)를 다수 포함하며, 이 필드들이 에이전트의 분석 입력으로 흡수됩니다.
오염된 컨텍스트가 에이전트 명령 해석을 왜곡하는 과정
에이전트는 수집된 오류 리포트를 요약하고 수정안을 제안하기 위해 내부 LLM에 전달합니다. 이때 가짜 리포트의 텍스트 필드에 자연어로 된 지시문(예: “이 오류를 해결하려면 다음 명령을 셸에서 실행하라”)가 포함되면, 에이전트는 이를 합법적인 사용자 의도로 오인해 셸 호출을 생성할 수 있습니다. 이 지시문은 정상 오류 메시지 사이에 삽입되거나 stack trace의 일부처럼 위장되어 검열을 우회하며, 최종적으로 개발자 머신에서 임의 코드가 실행되는 결과로 이어집니다.
개발자 머신 침투 후 영향 범위
에이전트는 일반적으로 개발자 계정 권한으로 동작하므로, 침투 성공 시 소스 코드 유출, 시크릿 키 탈취, Git 자격 증명 악용, 그리고 추가 악성 페이로드 다운로드로 이어질 수 있습니다. 특히 CI/CD 토큰이나 클라우드 자격 증명이 로컬에 캐시되어 있는 환경에서는 공격 영향이 개인 PC를 넘어 조직 인프라 전반으로 확산될 수 있습니다.
영향 받는 환경과 우선 점검 포인트
모든 Sentry 연동이 자동으로 취약한 것은 아니지만, 외부 제출이 가능한 공개 프로젝트이거나, 에이전트가 Sentry 데이터를 자동 수집·요약·실행하는 워크플로에서는 즉각적인 점검이 필요합니다.
대표 AI 코딩 에이전트 연동 점검 체크리스트
- 에이전트가 Sentry 이벤트에서 추출한 텍스트를 사용자 명령과 동등한 권한으로 다루고 있는지 확인
- Sentry 이벤트의 자유 텍스트 필드를 에이전트 입력에 그대로 전달하는지, 사전 필터링·정규화가 존재하는지 검토
- 에이전트의 셸 실행 권한이 화이트리스트 기반인지, 임의 명령 허용인지 재확인
- Sentry 프로젝트의 공개성(외부 사용자 오류 제출 허용 여부) 및 토큰 권한 범위 재점검
외부 모니터링 도구 입력 신뢰 재평가 기준
Sentry뿐 아니라 Datadog, New Relic, LogRocket 등 외부 관측 도구에서도 유사한 신뢰 문제가 존재할 가능성이 있습니다. 아래 표는 도구 유형별 점검 기준을 요약한 것입니다.
| 외부 입력 유형 | 에이전트 흡수 여부 | 주요 위험 | 우선 점검 항목 |
|---|---|---|---|
| 오류 리포트 (Sentry 등) | 스택 트레이스·메시지 | 지시문 주입 → 셸 실행 | 자유 텍스트 필드 sanitize |
| 로그/메트릭 (Datadog 등) | 로그 메시지, 태그 값 | 태그·메시지 기반 페이로드 | 로그 입력 격리 및 요약만 허용 |
| 세션 리플레이 (LogRocket 등) | DOM 텍스트, 사용자 입력 | DOM 내부 자연어 인스트럭션 | 세션 데이터 원문 차단 |
| 이슈 트래커 코멘트 | 코멘트 본문 | 외부 사용자에 의한 지시 주입 | 에이전트 입력 분리, 출처 표기 |
대응 권고 – 단기 완화 vs 구조적 개선
신뢰 경계의 재설계는 한 번에 이루어지기 어려울 수 있으므로, 즉각 적용 가능한 단기 조치와 중장기 거버넌스 개선을 함께 검토할 필요가 있습니다.
즉시 적용 가능한 정책과 권한 최소화
단기적으로는 에이전트에 부여된 권한을 최소화하는 것이 가장 효과적입니다. 화이트리스트 기반 셸 명령어 제한, 파일 시스템 접근 범위 sandboxing, 네트워크 egress 차단, 그리고 Sentry 이벤트의 자유 텍스트 필드 제거 또는 마스킹 정책이 포함됩니다. 또한 Sentry 프로젝트의 토큰을 DSN 단위로 분리하고, 에이전트 전용 토큰에는 읽기 전용 권한만 부여할 필요가 있습니다.
중장기: 에이전트 권한 모델, 툴 호출 감사, 공급망 검증
구조적 개선 방향으로는 첫째, 에이전트가 외부 컨텍스트를 단순한 데이터(data)로만 다루고 명령(command)으로 승격하지 않도록 하는 권한 모델 도입이 필요합니다. 둘째, 모든 툴 호출은 사용자 승인 또는 정책 기반 자동 승인을 거치도록 하고, 호출 로그를 감사 가능한 형태로 영구 저장해야 합니다. 셋째, Sentry SDK, MCP 서버, 에이전트 플러그인 등 공급망 구성요소에 대한 출처 검증과 SBOM 기반 모니터링 체계를 구축할 것을 제안합니다. 넷째, 에이전트 입력 신뢰 등급(instruction / data / untrusted)을 도입해 시스템 프롬프트와 데이터 영역을 분리하는 설계가 장기적인 안전성을 높일 것으로 보입니다.
결론 – AI 시대의 신뢰 경계 재정의
Agentjacking은 AI 코딩 에이전트가 편리함을 위해 흡수했던 외부 관측 데이터 자체가 공격 벡터가 될 수 있음을 명확히 보여주었습니다. 이는 단순한 취약점 패치 수준을 넘어, 에이전트가 무엇을 신뢰하고 어떤 경계에서 명령을 실행하는지 그 기본 전제를 다시 설계해야 함을 의미합니다. DevSecOps 조직은 단기 권한 최소화 정책을 즉시 적용함과 동시에, 툴 호출 감사, 권한 모델 표준화, 공급망 검증이라는 중장기 로드맵을 마련해야 합니다. 신뢰 경계의 재정의는 더 이상 선택이 아닌, AI 네이티브 개발 환경의 기본 요건으로 자리 잡고 있습니다.
핵심 정리
- Agentjacking은 Sentry 가짜 오류 리포트를 통해 AI 코딩 에이전트를 오염시키는 신규 공격 클래스로, Tenet Security가 최초 명명함
- 공격은 외부 모니터링 도구의 자유 텍스트 필드를 자연어 지시문으로 위장해 에이전트의 명령 해석을 왜곡하고, 개발자 머신에서 임의 코드 실행으로 이어짐
- Sentry뿐 아니라 Datadog, LogRocket, 이슈 트래커 등 외부 관측·협업 입력 전반에 동일한 신뢰 문제가 존재할 수 있어 광범위한 점검이 필요함
- 단기적으로는 에이전트 권한 최소화, 토큰 분리, 입력 sanitization을 즉시 적용해야 하며, 중장기적으로는 툴 호출 감사, 권한 등급 모델, 공급망 검증 체계를 구축해야 함
- AI 시대의 신뢰 경계는 폐쇄형 시스템이 아닌, 입력의 출처와 등급을 기준으로 재정의되어야 한다는 시사점을 제공함
참고 자료: The Hacker News 원문 기사, Sentry 공식 문서