에이전트재킹이란 무엇인가
2026년 6월 17일, 보안 연구자들이 공격 기법 하나를 공개했습니다. 이름은 에이전트재킹(Agentjacking).
Claude Code, Cursor, Codex 같은 AI 코딩 에이전트가 개발자 PC에서 코드를 실행하는 권한을 가로채, 공격자가 원하는 악성 코드를 대신 실행시키는 공격 기법입니다.
더 주목할 점은 공격 경로입니다. 피싱 메일도 악성 앱 설치도 아닙니다. 경로는 개발자가 매일 사용하는 MCP 서버입니다.
Trend Micro 조사 결과, 인증 없이 인터넷에 노출된 MCP 서버가 492개 발견됐습니다. 개발 편의를 위해 잠깐 열어둔 서버, 테스트용 서버, 팀 공유 목적의 서버가 모두 잠재적 공격 대상입니다.
MCP란 무엇인가
MCP(Model Context Protocol)는 AI 모델이 외부 도구·파일·데이터에 연결될 수 있게 해주는 표준 규격입니다. USB 포트에 비유하면 이해하기 쉽습니다. 한 번 만들어두면 Claude, Cursor, 어떤 AI 에이전트든 가져다 쓸 수 있는 연결 규격입니다.
Claude Code를 쓰면서 파일 시스템을 연동하거나, GitHub 이슈를 자동 처리하거나, Slack 메시지를 보내는 워크플로우를 만들어봤다면 — 이미 MCP를 쓰고 있는 겁니다.
공격은 어떻게 이루어지는가
공격 흐름은 생각보다 단순합니다.
Agentjacking 공격 시퀀스
- 공격자가 인증 없이 인터넷에 노출된 MCP 서버를 스캔
- 취약한 MCP 서버 발견 → 악성 명령 주입
- 개발자의 AI 에이전트가 해당 MCP 서버에 연결
- 에이전트가 악성 명령을 ‘정상 도구 호출’로 오인하여 실행
- 개발자 PC에서 공격 코드가 실행됨
공격자는 피해자의 PC에 직접 접근하지 않습니다. 대신 에이전트를 매개로 삼아 명령을 실행시킵니다. 에이전트가 자율적으로 움직이는 구조가 그대로 공격 경로가 되는 겁니다.
Why It MattersAI 에이전트가 특히 위험한 이유
일반 소프트웨어라면 악성 명령을 주입해도 “실행할까요?”라는 확인 창이 뜨거나, 권한 제한으로 막힙니다.
그런데 AI 코딩 에이전트는 본질적으로 코드를 쓰고 실행하는 것이 원래 역할입니다. 에이전트 입장에서 MCP 서버가 “이 파일을 읽어서 저 경로로 복사해”라고 하든 “이 스크립트를 실행해”라고 하든 — 그냥 도구 호출 하나일 뿐입니다. 악의적인 명령인지 정상적인 명령인지 구분할 근거가 없습니다.
핵심
- 에이전트의 강점인 자율 실행이 그대로 공격면(attack surface)이 됩니다 — 강할수록 위험해질 수 있는 구조입니다.
방어 방법 3가지
MCP 서버에 반드시 인증을 적용하세요
외부에 노출되는 MCP 서버는 API 키, OAuth, IP 화이트리스트 등 최소 하나 이상의 인증 방식을 적용해야 합니다. 테스트 환경이라도 예외가 없어야 합니다. “잠깐만 열어두는” 서버가 가장 많이 노출됩니다.
마켓플레이스·외부 MCP 설정 파일은 검증 후 사용하세요
편리하다고 검증되지 않은 MCP 서버를 바로 연결하면 안 됩니다. 출처를 확인하고, 가능하면 소스 코드를 직접 검토하거나 신뢰할 수 있는 커뮤니티 피드백을 확인하세요.
로컬 전용 MCP는 외부에 노출하지 마세요
팀 공유가 필요하다면 VPN이나 내부 네트워크 환경에서만 접근 가능하게 구성하세요. 퍼블릭 IP로 직접 노출하는 구성은 테스트가 끝나면 즉시 닫아야 합니다.
현재 MCP 서버 점검 체크리스트
Claude Code를 쓰면서 MCP 서버를 직접 구성했거나 외부 MCP를 연결해 쓰고 있다면, 오늘 바로 한 번 점검해보세요. Claude Code 6월 업데이트에서 MCP 복원력과 OAuth 처리가 개선됐지만, 클라이언트가 아무리 안전해도 서버 쪽에 인증이 없으면 근본적으로 취약합니다.
- 현재 사용 중인 MCP 서버 목록을 파악했다
- 각 서버에 인증(API 키 / OAuth / IP 화이트리스트)이 걸려 있는지 확인했다
- 외부 IP에서 직접 접근 가능한 서버가 없는지 확인했다
- 마켓플레이스에서 가져온 MCP 설정 파일의 출처를 확인했다
- Claude Code의
mcp_servers설정을 최근에 검토했다 - 테스트용으로 열어둔 서버가 있다면 닫았다
에이전트재킹은 “AI가 더 강력해질수록 보안도 그만큼 중요해진다”는 사실을 다시 한번 확인시켜 줍니다. MCP는 AI 에이전트 생태계의 표준 연결 규격으로 자리잡고 있고, 활용 범위가 넓어질수록 이 공격 경로도 계속 주목받을 것입니다. 편의성을 취하되, 보안의 기본은 놓치지 마세요.
참고: Trend Micro / The New Stack — Agentjacking: Sentry MCP Attack (2026.06.17)
Leave a Reply