무슨 일이 있었나
Tenet Security는 2026년 6월 12-23일에 'Agentjacking'이라는 새로운 공격 클래스를 공개했습니다. 공격자가 대상의 공개 Sentry DSN에 조작된 가짜 오류 이벤트를 제출합니다. DSN 이외의 인증이 필요하지 않으며, 오류 페이로드의 마크다운 내에 셸 명령어를 해결 안내로 위장하여 삽입합니다. 개발자가 AI 코딩 에이전트(Claude Code, Cursor, Codex)에 'Sentry 문제 수정'을 요청하면, 에이전트는 Sentry MCP 서버를 통해 악성 이벤트를 읽고, 공격자가 주입한 지침을 권위있는 안내로 취급하며, 개발자의 전체 권한으로 명령어를 실행합니다. 이 공격은 모든 작업이 개별적으로 승인되므로 EDR, 방화벽, VPN 및 IAM을 완전히 우회합니다. 통제된 테스트에서 Tenet은 세 에이전트 모두에서 85% 성공률을 달성했으며, Fortune 100 기업을 포함한 2,388개의 노출된 조직을 식별했습니다. Cloud Security Alliance는 며칠 내에 공식 연구 노트를 발표했으며, NSA는 2026년 5월 MCP 보안 지침에서 이 클래스에 대해 미리 경고했습니다.
왜 중요한가
이것은 구조적으로 새로운, 실질적으로 패치 불가능한 간접 프롬프트 주입 클래스로, 콘텐츠가 암호화 방식으로 인증되지 않는 공개적으로 접근 가능한 MCP 데이터 소스를 임의의 코드 실행 벡터로 변환합니다. MCP 원격 측정을 사용하는 모든 AI 코딩 에이전트가 일반적으로 영향을 받습니다. 단일 공급업체가 아니고, 단일 CVE가 아니므로, 영향 범위는 Sentry(또는 유사한 관찰성) MCP 통합과 함께 Claude Code, Cursor 또는 Codex를 사용하는 모든 조직입니다. 유출된 자격 증명에는 AWS 키, GitHub 토큰, git 비밀 및 개인 저장소 URL이 포함됩니다.
공격 경로
공격자는 대상의 공개 DSN에 주입된 셸 명령어가 포함된 조작된 Sentry 오류 이벤트를 게시합니다. 에이전트는 다음 '오류 수정' 작업에서 MCP를 통해 이벤트를 가져오고 포함된 명령어를 개발자 수준 권한으로 실행합니다.
영향받는 시스템
Claude Code (Sentry MCP가 있는 모든 버전), Cursor (Sentry MCP가 있는 모든 버전), OpenAI Codex (Sentry MCP가 있는 모든 버전); 인증되지 않은 MCP 데이터 소스를 사용하는 모든 AI 코딩 에이전트
완화 방안
코딩 에이전트에서 자동 실행을 비활성화합니다. 모든 도구 호출 명령에 대해 인간의 승인을 요청합니다. MCP 소스의 모든 데이터를 신뢰할 수 없는 입력으로 취급합니다. Tenet Security의 오픈 소스 강화 구성 'agent-jackstop' (https://github.com/tenet-security/agent-jackstop)을 배포합니다. 공급업체 권고: https://tenetsecurity.ai/blog/agentjacking-coding-agents-with-fake-sentry-errors/