AI 코딩 에이전트를 겨냥한 새로운 공격 기법 ‘에이전트재킹(Agentjacking)’이 6월 공개됐다. 클로드 코드·커서·오픈AI 코덱스 사용자가 대상이다. 보안 연구에 따르면 이 공격은 2,388개 조직에 영향을 줬고, 익스플로잇 성공률은 85%에 달했다.
공격의 출발점은 신뢰다. 공격자는 가짜 오류 리포트 안에 악성 지시를 숨겨 넣는다. AI 코딩 에이전트가 그 리포트를 정상적인 디버깅 안내로 받아들여 지시를 실행하면서 악성 동작이 일어난다. 개발자들이 코딩 에이전트를 믿고 따르도록 길들여졌다는 점이 그대로 공격면이 된다.
위험이 큰 이유는 단순한 수치 때문만이 아니다. 에이전트가 “이 명령을 실행하라”고 하면 개발자가 별다른 의심 없이 따르는 습관, 바로 그 신뢰를 노리기 때문이다. 자율 실행 단계가 늘어날수록 이런 주입 공격의 표적도 넓어진다. 사람의 개입 없이 도구를 호출하고 명령을 실행하는 에이전트가 늘면서, 공격자가 노릴 수 있는 통로도 함께 많아졌다.
현재 권고되는 대응은 단순하지만 습관의 변화를 요구한다. 오류 추적 도구의 출력을 에이전트에 넘기기 전 ‘신뢰할 수 없는 입력’으로 다루고, 오류 리포트와 자율 실행 사이에 사람의 검토 단계를 두는 것이다. 보안 업계는 패치를 마련하고 있지만 아직 보편적 해법은 없다. 전문가들은 에이전트와 외부 도구 사이의 주입 공격을 전담하는 보안 점검 체계가 필요하다고 본다.
에이전트 시대의 본격적인 공격군이 등장한 만큼, 국내 개발 조직도 같은 위험에 대비할 필요가 있다. AI 에이전트를 업무에 들이는 단계에서, 외부 입력을 어디까지 믿을지에 대한 기준과 사람의 점검 장치를 함께 설계하는 것이 중요해졌다.
에이전트재킹이 특히 위험한 이유는, 그것이 코드의 결함이 아니라 ‘작업 방식의 결함’을 파고들기 때문이다. AI 에이전트는 사람이 준 자료를 그대로 신뢰하고 행동하도록 설계돼 있는데, 그 자료가 외부에서 들어온 오염된 입력일 때 방어선이 무너진다. 이미 많은 개발팀이 코딩 에이전트에 상당한 자율 권한을 주고 있어, 한 번의 성공적인 주입이 코드 유출이나 시스템 침해로 번질 위험이 있다. 보안 전문가들은 ‘에이전트에게 무엇을 읽고 무엇을 실행하게 할지’를 처음부터 분리해 설계하는 것이 근본 대책이라고 강조한다.
국내 기업들도 코딩 에이전트 도입이 빠르게 늘고 있는 만큼, 외부 입력 검증과 권한 분리를 기본 절차로 삼는 보안 설계가 필요해졌다. 편의를 위해 에이전트에 넓은 권한을 주던 관행이, 이제는 가장 큰 위험 요인으로 바뀌고 있다는 점을 이번 사례가 분명히 했다.
자세한 내용은 더해커뉴스에서 확인할 수 있다.
이미지 출처: 이디오그램 생성
AI Matters 뉴스레터 구독하기



