다중 라이센스 할인 견적
위협 데이터베이스 취약성 에이전트재킹 공격

에이전트재킹 공격

취약성년에 Mezo 년까지
번역 :

사이버 보안 연구원들이 에이전트재킹(Agentjacking)이라는 새로운 공격 기법을 발견했습니다. 이 기법은 인공지능 코딩 도우미를 조작하여 개발자 시스템에서 공격자가 제어하는 코드를 실행하도록 만들 수 있습니다.

이번 공격은 널리 사용되는 오픈소스 오류 추적 및 성능 모니터링 플랫폼인 Sentry를 통해 생성된 가짜 오류 보고서를 악용합니다. 연구원들에 따르면, 이 취약점은 Sentry의 이벤트 수집 메커니즘과 모델 컨텍스트 프로토콜(MCP)을 통한 AI 시스템 통합과 관련된 근본적인 아키텍처적 결함에서 비롯됩니다.

Sentry는 유효한 데이터 소스 이름(DSN)을 가진 사용자라면 누구나 임의의 이벤트 페이로드를 전송할 수 있기 때문에 공격자는 오류 보고서에 악성 콘텐츠를 삽입할 수 있습니다. 이러한 보고서가 나중에 Claude Code나 Cursor와 같은 AI 코딩 도우미에 의해 Sentry MCP 서버를 통해 검색될 때, 삽입된 콘텐츠가 합법적인 문제 해결 지침으로 해석될 수 있습니다.

공격의 원인이 된 건축학적 결함

에이전트재킹의 핵심은 MCP에 연결된 외부 서비스로 인해 발생하는 신뢰 문제입니다. Sentry MCP 서버는 검증되지 않은 출처에서 발생한 데이터일지라도 이벤트 데이터를 신뢰할 수 있는 출력으로 AI 에이전트에 반환합니다.

결과적으로 AI 코딩 에이전트는 오류 이벤트가 실제 애플리케이션 오류로 발생한 것인지 아니면 위협 행위자가 의도적으로 주입한 것인지 확실하게 판단할 수 없습니다. 신뢰할 수 있는 콘텐츠와 악의적인 입력을 구분하지 못하는 이러한 한계로 인해 에이전트가 제공된 지침을 처리하고 따를 때마다 임의 코드 실행으로 이어질 수 있는 경로가 만들어집니다.

침해에 성공하면 환경 변수, Git 자격 증명, 비공개 저장소 URL, 개발자 신원 정보 등 매우 민감한 정보가 노출될 수 있습니다. 특히, 이 공격은 피싱 캠페인, 악성코드 배포 또는 대상 인프라에 대한 사전 침해를 필요로 하지 않습니다.

에이전트 탈취 공격 연쇄 과정은 어떻게 진행되나요?

공격은 치밀하게 계획된 일련의 단계를 통해 전개됩니다.

  • 공격자는 대상 조직의 Sentry DSN을 식별합니다. Sentry DSN은 웹사이트에 흔히 내장된 공개 쓰기 전용 자격 증명입니다.
  • 노출된 DSN을 이용하여 악의적인 오류 이벤트가 POST 요청을 통해 Sentry의 수집 엔드포인트로 전송됩니다.
  • 주입된 이벤트에는 메시지 필드와 컨텍스트 키 이름 내에 특별히 제작된 마크다운 콘텐츠가 포함되어 있습니다.
  • Sentry MCP 서버가 이벤트를 검색하면 악성 콘텐츠는 Sentry에서 생성한 정상적인 안내와 시각적으로 유사한 구조화된 정보로 표시됩니다.
  • 이후 개발자는 AI 코딩 도우미에게 Sentry의 미해결 문제를 조사하거나 해결하도록 지시합니다.
  • AI 에이전트는 MCP를 통해 Sentry에 쿼리를 보내고 공격자가 제어하는 이벤트를 수신합니다.
  • 악의적인 지침은 신뢰할 수 있는 복구 단계로 간주되어 AI 에이전트가 개발자 권한으로 공격자가 제공한 코드를 실행하게 됩니다.

    • 공격이 그토록 효과적인 이유

    에이전트재킹의 가장 우려스러운 측면 중 하나는 공격자가 피해자의 인프라와 직접적으로 상호 작용하지 않는다는 점입니다. 대신, 악의적인 지시 사항은 정상적인 오류 보고서처럼 보이는 메시지 속에 숨겨져 있습니다.

    개발자가 AI 코딩 에이전트에 도움을 요청하면, 조작된 오류 메시지는 정당한 해결 권장 사항으로 해석됩니다. 그러면 AI 에이전트는 개발자의 권한으로 개발자의 컴퓨터에서 해당 지침을 실행합니다.

    에이전트재킹은 개발자와 AI 어시스턴트 간의 신뢰 관계를 노리기 때문에 특히 위험합니다. 마크다운 삽입 기법은 매우 정교하게 설계되어 AI 에이전트가 악성 콘텐츠와 Sentry에서 생성한 정상적인 안내를 구분하지 못합니다.

    광범위한 노출 및 공급업체 대응

    연구원들은 유효하고 주입 가능한 Sentry DSN을 보유한 조직이 최소 2,388개에 달하는 것으로 확인했으며, 이는 문제의 잠재적 규모를 보여줍니다.

    Sentry는 해당 조사 결과를 인정했지만, 완전한 기술적 해결책은 실현 불가능하다고 결론 내린 것으로 알려졌습니다. 대신, 회사는 해당 공격과 관련된 특정 페이로드 패턴을 차단하기 위한 글로벌 콘텐츠 필터링 메커니즘을 구현했습니다.

    AI 에이전트가 새로운 공격 표면이 되다

    에이전트재킹의 등장은 AI 코딩 도우미가 새롭고 매력적인 공격 대상으로 빠르게 부상하고 있음을 보여줍니다. 공격자들은 기존의 보안 제어를 표적으로 삼는 대신, 조직이 공개적으로 노출하는 신뢰할 수 있는 데이터 흐름을 악용할 수 있습니다.

    이 공격은 엔드포인트 탐지 및 대응(EDR) 솔루션, 웹 애플리케이션 방화벽(WAF), ID 및 액세스 관리(IAM) 시스템, VPN, Cloudflare 보호 기능, 기존 방화벽 등 여러 일반적인 보안 기술을 우회할 수 있습니다. 공격 과정에서 수행되는 모든 작업이 승인되고 합법적인 것처럼 보이기 때문에 보안 도구가 탐지할 수 있는 명확한 악의적인 활동이 없을 수 있습니다.

    조직들이 AI 기반 소프트웨어 개발 도입을 가속화함에 따라, 에이전트재킹 사건은 AI 에이전트에 대한 신뢰가 외부 데이터 소스를 본질적으로 신뢰할 수 있는 것으로 간주할 때 오히려 보안 취약점이 될 수 있음을 강력하게 상기시켜 줍니다.

    가장 많이 본

    '프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

    문제
    28,825
    프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
    화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

    화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

    문제
    26,175
    처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
    로드 중...