무슨 일이 있었나
Tenet Security는 2026년 6월 12일 Model Context Protocol의 암묵적 신뢰 모델을 악용하는 'Agentjacking'이라는 새로운 공격 클래스를 공개했습니다. 공격자는 프롬프트 인젝션 페이로드를 포함한 Sentry 에러 이벤트를 만들어 공개적으로 발견 가능한 쓰기 전용 자격 증명을 통해 전달합니다. AI 코딩 어시스턴트가 MCP를 통해 Sentry를 조회할 때, 주입된 명령어를 신뢰할 수 있는 시스템 컨텍스트로 취급하고 개발자의 모든 권한으로 실행합니다.
왜 중요한가
이는 MCP 아키텍처의 구조적 취약점입니다: 모든 MCP 통합이 이제 공격 표면입니다. AI 에이전트는 출처 검증 없이 도구 응답을 신뢰할 수 있는 것으로 취급합니다. 이 공격은 EDR, WAF, IAM 컨트롤을 완전히 우회합니다—작업은 신뢰할 수 있는 에이전트 프로세스 자체에서 발생합니다. 인증이 필요하지 않으며, 공개 DSN만 필요합니다. 2,388개 조직이 노출된 것으로 확인되었습니다.
공격 경로
공격자는 대상의 프론트엔드 JavaScript에서 공개 Sentry DSN을 발견하고, Sentry의 공개 수집 엔드포인트를 통해 악성 Markdown 형식의 에러 이벤트를 주입하고, 개발자의 AI 코딩 에이전트는 MCP를 통해 이벤트를 검색하고, 에이전트는 공격자가 제어하는 코드(npm 패키지 다운로드, 자격 증명 유출)를 개발자의 모든 시스템 권한으로 실행합니다.
영향받는 시스템
Claude Code, Cursor, OpenAI Codex (Sentry MCP 통합이 있는 모든 버전)
완화 방안
클라이언트 대면 코드에서 Sentry DSN 노출을 감사하고 제한하고, Sentry 에러 이벤트에 콘텐츠 필터링을 구현하고, AI 에이전트에 MCP 응답 검증 및 샌드박싱을 추가하고, 사용하지 않는 경우 Sentry MCP 통합을 비활성화합니다.