에이전트 AI가 낳은 보안 지각변동: MS가 경고한 Claude Code 비밀 유출과 7가지 새로운 위협

데이터 속에 자연어 지시 사항을 주입하여 실행 가능한 명령어로 바꾸는 이 공격 표면이 바로 프롬프트 인젝션의 핵심이며, 이는 AI 에이전트 보안 환경을 빠르게 재편하고 있는 핵심 위협 벡터입니다.

패치가 먼저였다: 선제적 조치 공개 타임라인

이번 공개가 '조정된 취약점 공개(Coordinated Disclosure)'였다는 점에서 주목할 만한 사실은, 패치가 먼저 이루어졌다는 것입니다.

• 2026년 5월 5일: Anthropic이 Claude Code 2.1.128 버전을 출시하며, Read 도구의 샌드박싱을 다른 실행 경로에 이미 적용된 환경 정리 방침과 일치시키는 방식으로 취약점을 완화했습니다 .
• 2026년 6월 5일: 마이크로소프트가 이 사례 연구를 바탕으로 업계 전체를 위한 긴급 보안 권고를 담은 상세 위협 분석 보고서를 발표했습니다 .

하나의 버그 너머: 에이전트 AI가 실패하는 7가지 새로운 방식

Claude Code 취약점 공개는 더 광범위한 보안 평가가 이루어지는 배경 속에서 이루어졌습니다. 바로 하루 전인 2026년 6월 4일, 마이크로소프트 AI 레드팀은 『에이전트 AI 시스템의 실패 모드 분류 체계(Taxonomy of Failure Modes in Agentic AI Systems)』 버전 2.0을 발표했습니다 . 12개월 동안 실제 배포된 에이전트를 대상으로 진행한 레드팀 교전(모의 침투 훈련) 결과를 바탕으로 한 이 주요 업데이트는, 단순한 코드 실행 결함을 훨씬 뛰어넘는 7개의 완전히 새로운 실패 카테고리를 추가했습니다.

새롭게 추가된 실패 모드는 자율형 AI 시스템을 바라보는 보안 연구자들의 시각이 얼마나 진지하게 고도화되었는지를 보여줍니다.

1. 에이전트 공급망 손상 (Agentic Supply Chain Compromise): 악성 코드를 전달하는 전통적인 소프트웨어 공급망 공격과 달리, 손상된 플러그인, MCP 서버, 혹은 프롬프트 템플릿이 자연어 명령을 주입하여 코드 스캐너를 작동시키지 않고 에이전트의 행동을 바꿔 버립니다 .
2. 목표 탈취 (Goal Hijacking): 겉으로는 적법한 작업을 돕는 것처럼 보이지만, 실제로는 에이전트의 궁극적인 목표를 조용히 다른 곳으로 돌려놓는 공격입니다. 소프트웨어 관점에서 에이전트 자체는 손상되지 않았지만, 공격자의 목표를 위해 무기화된 상태가 됩니다 .
3. 상호 에이전트 신뢰 상승 (Inter-Agent Trust Escalation): 다중 에이전트 시스템에서, 손상된 에이전트가 중앙 오케스트레이터에게 자신을 더 높은 신뢰도를 가진 ID나 과장된 권한을 가진 개체로 속이는 문제입니다. 이는 고전적 보안 문제인 "혼란스러운 대리인(confused deputy)"의 자연어 버전이라 할 수 있습니다 .
4. 컴퓨터 사용 에이전트(CUA) 시각적 공격 (Computer Use Agent Visual Attack): 그래픽 인터페이스를 조작하는 에이전트는 숨겨진 텍스트, 화면 밖 UI 요소, 또는 프롬프트 인젝션 페이로드를 내장한 이미지와 같이 사람 눈에는 잘 띄지 않는 시각적 정보에 의해 조작될 수 있습니다 .
5. 세션 컨텍스트 오염 (Session Context Contamination): 길고 여러 단계로 이어지는 에이전트 세션 초반에 공격자가 편향되거나 악의적인 정보를 몰래 주입하는 공격입니다. 이 정보는 각 개별 단계에서는 안전 제어 시스템을 발동시키지 않을 수 있지만, 이후 언뜻 연결되지 않은 듯한 행동에서 에이전트의 판단을 서서히 오염시킵니다 .
6. MCP / 플러그인 남용 (MCP / Plugin Abuse): 에이전트의 기능을 확장하는 표준 방식으로 자리 잡고 있는 MCP(Model Context Protocol) 및 플러그인 아키텍처 특유의 공격 표면에 초점을 맞춘 업데이트입니다 .
7. 기능 및 아키텍처 정보 공개 (Capability / Architecture Disclosure): 에이전트 스스로가 도구 스키마, 메모리 인터페이스, 인간 승인을 발동시키는 로직 등 민감한 내부 설계 세부 사항을 누설하게 만드는 공격입니다. 이 정보는 공격자에게 향후 더욱 정밀한 공격을 위한 설계도를 제공하게 됩니다 .

이번 업데이트를 통해 기존 27개였던 실패 모드는 34개로 늘어났으며, 이는 현실 세계에서 에이전트 시스템의 복잡성과 영향력이 얼마나 빠르게 커지고 있는지를 반영합니다 .

에이전트 시대의 CI/CD 강화: '두 가지 규칙'과 5대 보안 지침

Claude Code 사례와 분류 체계 업데이트에 대응하여, 마이크로소프트는 AI 에이전트를 빌드 파이프라인에 통합하는 모든 팀을 위한 일련의 보안 권고를 제시했습니다. 이 지침은 부분적인 격리(isolation)는 위험한 안심을 줄 뿐임을 강조합니다.

• 신뢰할 수 없는 모든 콘텐츠를 주입 벡터로 간주할 것: 외부 기여자의 이슈, PR, 댓글에 대해 AI 에이전트 워크플로우를 절대 자동으로 실행해서는 안 됩니다. 이런 콘텐츠는 잠재적으로 적대적인 입력으로 취급되어야 합니다 .
• 일관되게 도구를 격리할 것: 샌드박스 처리된 Bash 도구와 샌드박스 처리되지 않은 Read 도구 사이의 간극이 보여주듯, 환경 정리는 반드시 모든 도구에 걸쳐 균일하게 적용되어야 합니다. 단 하나의 격리되지 않은 도구가 전체 워크플로우를 손상시킬 수 있습니다 .
• 최소 권한 원칙을 적용할 것: 에이전트 자체의 API 키와 액세스 토큰은 가능한 가장 좁은 범위로 제한하여, 유출 시 피해를 최소화해야 합니다. 가능하다면 수명이 짧고 특정 목적에 한정된 크리덴셜을 위해 OIDC를 사용하십시오 .
• 인간 개입(Human-in-the-Loop) 경험을 감사할 것: 공격 페이로드가 검토자가 전혀 볼 수 없는 원시 Markdown이나 HTML 주석에 숨겨져 있다면, 인간의 검토에 의존하는 보안 통제는 쉽게 실패할 수 있습니다. 인간의 승인 단계는 승인을 위해 가시화된 정보만큼만 강력할 뿐입니다 .
• 에이전트 공급망을 철저히 관리할 것: 팀은 이제 전통적인 소프트웨어에 대한 표준이 된 공급망 가시성을 반영하여, 배포된 모든 에이전트에 대해 소프트웨어 자재 명세서(SBOM)를 생성해야 합니다 .

이 모든 지침을 관통하는 핵심 아키텍처 원칙이 바로 '두 가지 규칙 (Rule of Two)' 입니다. 2025년 10월 Meta가 실용적인 에이전트 보안을 위해 제시한 이 개념은, 에이전트가 다음 세 가지 조건 중 2개 이상을 동시에 충족해서는 안 된다는 것입니다: (A) 신뢰할 수 없는 입력을 처리하는 능력, (B) 민감한 데이터에 접근하는 능력, (C) 외부 상태를 변경하는 행동을 실행하는 능력 . Claude Code 취약점은 신뢰할 수 없는 PR의 입력을 처리하면서 동시에 강력한 크리덴셜을 보유하고 있었기에, 이 원칙을 정면으로 위반한 교과서적인 사례였습니다.