기술 설명
Tenet Security의 Threat Labs는 2026년 6월 11일 'Agentjacking'을 공개했습니다. 이는 모든 웹사이트의 JavaScript에 내장된 공개적으로 노출된 Data Source Name(DSN) 자격증명만을 사용하여 Sentry(앱 성능 모니터링 플랫폼)에 조작된 오류 이벤트를 주입하는 새로운 공격 클래스입니다. 개발자가 자신의 AI 코딩 에이전트(Claude Code, Cursor, Codex)에게 '미해결 Sentry 문제 해결'을 요청하면, 에이전트는 Sentry MCP 서버를 통해 Sentry를 쿼리하고 공격자가 주입한 페이로드를 받습니다. 이 페이로드는 정당한 Sentry 수정 지침과 구별할 수 없는 형태로 표시됩니다. 그러면 에이전트는 개발자의 전체 로컬 권한으로 공격자가 제어하는 명령을 실행합니다. 피싱, 인증 우회, 대상 인프라 침해가 필요하지 않습니다.
공격 경로
공격자는 공개 JavaScript 소스 코드에서 대상 조직의 Sentry DSN을 얻습니다. 악의적인 마크다운 지침이 포함된 조작된 오류 이벤트를 Sentry의 인증되지 않은 수집 엔드포인트로 POST합니다. 이 이벤트는 MCP를 통해 신뢰할 수 있는 시스템 출력으로 반환됩니다. AI 코딩 에이전트는 사용자 상호작용 없이 페이로드(예: 악의적인 npm 패키지)를 실행합니다. 모든 네트워크 트래픽이 인증되고 모든 파일 작업이 개발자 프로세스에 의해 서명되기 때문에 이 공격은 EDR 및 WAF를 우회합니다.
영향받는 시스템
MCP를 통해 Sentry와 통합된 Claude Code, Cursor 및 OpenAI Codex입니다. Tenet은 100개 이상의 실제 대상에서 85% 성공률을 확인했습니다. 주입 가능한 공개 DSN을 가진 2,388개 조직이 발견되었습니다. MCP를 통해 Sentry와 연결된 AI 코딩 에이전트를 사용하는 모든 조직이 노출되어 있습니다.
완화 방안
즉시 조치: (1) 외부/제3자 데이터를 반환하는 도구에 대해 모든 MCP 서버 통합을 감시하고 제어 장치가 마련될 때까지 Sentry MCP를 비활성화합니다. (2) 에이전트가 코드를 실행하거나 패키지를 설치하기 전에 사용자 승인 게이트를 강제합니다. (3) Sentry DSN을 로테이션하고 MCP 수집을 위한 백엔드 프록시 인증을 고려합니다. 중기적 조치: MCP 도구 응답 출처 라벨 지정을 구현하고 원격 측정 소스 데이터에서의 코드 실행을 금지하는 에이전트 샌드박싱을 구현합니다.