아사나(Asana)의 MCP(Model Context Protocol) 서버에서 심각한 보안 취약점이 발견되면서, 보안 책임자들에게 시스템 로그와 메타데이터를 철저히 점검하라는 경고가 내려졌다.
SaaS 기반 업무 관리 플랫폼인 아사나는 최근 MCP 서버에서 버그를 발견해 일시적으로 서버 운영을 중단했다고 밝혔다. 해당 서버는 지난 화요일 다시 온라인 상태로 전환됐다.
보안 기업 업가드(Upguard)에 따르면, 이 취약점은 6월 4일 발견된 것으로, 아사나 MCP 사용자 간 프로젝트, 팀, 업무 등 다양한 객체 내 권한 범위 안에서 다른 사용자의 데이터가 노출될 수 있는 위험이 있었던 것으로 나타났다. 업가드는 아사나의 발언을 인용해, 이번 버그로 인해 “프로젝트, 팀, 업무 등 MCP 사용자의 권한 범위 내에서 귀사의 아사나 도메인에 포함된 특정 정보가 다른 아사나 MCP 사용자에게 노출됐을 가능성이 있다”고 전했다.
현재까지 이 취약점을 실제로 공격자가 악용했거나, 타 사용자가 해당 경로를 통해 정보를 열람했다는 증거는 없는 것으로 전해졌다. 아사나는 이번 문제는 시스템 해킹이나 악의적인 행위로 인한 것이 아니라고 강조했다. 파운드리 산하 언론사 CSO온라인은 아사나에 공식 입장을 요청했으나, 별도의 답변을 받지 못했다.
캐나다 컨설팅 기업 딥코브 사이버시큐리티(DeepCove Cybersecurity)의 수석 보안 아키텍트 켈먼 메구는 “이번 사례는 MCP 프로토콜이 여전히 개발 초기 단계임을 보여주는 또 하나의 증거”라며 “이런 문제가 MCP 서버에서는 흔하다. 그래서 우리는 MCP 서버 사용을 피하고 있다. MCP는 전반적으로 이러한 문제를 안고 있다”라고 분석했다.
메구는 CSO온라인과의 인터뷰에서 “MCP를 사용하는 보안 책임자들은 사이버보안 통제가 강화되기 전까지는 MCP가 접근할 수 있는 데이터 범위를 제한해야 한다”라고 조언했다.
MCP란 무엇인가
MCP(Model Context Protocol)는 AI 기업 앤트로픽이 만든 데이터 연동 프로토콜로, 지난해 11월 오픈소스로 공개됐다. 앤트로픽은 이를 “콘텐츠 저장소, 비즈니스 도구, 개발 환경 등 데이터가 존재하는 시스템에 AI 어시스턴트를 연결하는 새로운 표준”이라고 소개했다. 궁극적으로는 최신 AI 모델이 보다 정확하고 관련성 높은 응답을 제공하도록 돕는 것이 목적이다.
개발자는 MCP 서버를 통해 데이터를 외부에 공개하거나, MCP 클라이언트 애플리케이션을 만들어 서버에 접속할 수 있다. 기존처럼 각 데이터 소스마다 별도 커넥터를 개발할 필요 없이, 하나의 통합 프로토콜로 대응할 수 있다는 점에서 주목받았다. 앤트로픽의 클로드(Claude) AI 플랫폼 역시 MCP 서버를 클로드 데스크톱 앱에 연결할 수 있도록 지원하고 있다.
아사나는 지난 5월 1일 자사 MCP 서버를 공개했으며, 현재도 해당 서버를 ‘실험적인 베타 도구’로 소개했다. 웹사이트에는 “버그, 오류, 예기치 않은 결과가 발생할 수 있다”는 경고 문구가 함께 명시돼 있다.
아사나 MCP 서버는 AI 어시스턴트 및 다양한 애플리케이션이 아사나의 워크 그래프(Work Graph)에 접근해 데이터를 조회하거나, 리포트 및 요약을 생성하고, 프로젝트를 분석해 AI 기반 제안을 받을 수 있도록 지원한다. 예를 들어 직원이 “이번 주 마감인데 아직 완료하지 않은 업무를 보여줘”, “마케팅 프로젝트에 나에게 할당된 새 업무를 만들어줘”, “2분기 계획 프로젝트의 상태를 보여줘”와 같은 명령을 내릴 수 있다.
클로드, 챗GPT, 마이크로소프트 코파일럿 등 다양한 AI 플랫폼이 등장하면서, 기업들은 이를 기존 업무 시스템과 연결하려는 수요가 커지고 있다. MCP와 같은 표준 프로토콜이 이러한 요구에 대응할 수단으로 주목받고 있지만, 보안상 우려도 동시에 제기되고 있다.
딥코브 사이버시큐리티의 메구는 “MCP와 같은 AI 브로커 에이전트는 사실상 장시간 유지되는 서버-TCP 연결이며, 이는 보안상 관리가 어렵다”고 지적했다. 그는 인증 가능한 API 호출 방식의 검색 증강 생성(RAG, Retrieval-Augmented Generation) 모델이 더 안전한 대안이라고 주장했다. RAG는 허가된 데이터만 검색하도록 설정할 수 있으며, 학습 데이터에 포함될 수 있는 민감 정보를 제외할 수 있는 장점도 있다.
메구는 “우리가 데이터 분리 및 직접 API 처리에서 배운 교훈은 AI 시스템에도 적용돼야 한다”라며 “그러나 MCP는 이런 고려 없이 감시 불가능한 TCP 연결을 채택했다. 데이터가 새어 나간 뒤엔 이미 늦은 상황”이라고 꼬집었다.
그는 MCP 서버가 무엇과 연결되는지에 따라 “엄청난 공격 벡터가 될 수 있다”고 경고했다. 예를 들어 SIEM(보안 정보 및 이벤트 관리) 플랫폼과 연결된 경우, 공격자는 해당 서버를 통해 민감한 로그 데이터를 수집하려 할 수 있다는 것이다.
또한 메구는 “MCP 서버를 어디에 위치시킬 것인지도 CSO들이 반드시 고민해야 할 질문”이라고 강조했다. 그는 “모든 신규 프로토콜이 그렇듯, MCP 역시 아직 프로덕션 환경에 적용하기에는 이르다”라며 “이건 너무 성급하게 출시됐다. JSON이나 RestAPI 같은 검증된 프로토콜 위에 설계할 수도 있었는데, 왜 별도의 서비스로 만들었는지 모르겠다. 접근 제어조차 프로토콜 수준에서 고려하지 않았다”라고 밝혔다.
끝으로 그는 “이런 종류의 프로토콜은 앞으로도 계속 등장할 것이며, 그중 일부는 보안 중심으로 설계되기를 기대한다. 호출마다 인증이 이뤄지고 감사를 위한 통제가 포함된 구조가 필요하다”라고 설명했다.
보안 책임자에게 요구되는 MCP 보안 수칙
딥코브 사이버시큐리티의 메구는 보안 책임자(CSO)들에게 MCP 프로젝트가 접근할 수 있는 데이터 범위를 제한하고, 해당 데이터에 누가 접근했는지를 면밀히 감사해야 한다고 조언했다. 그는 “우리가 아직 배워야 할 것이 많다”라고 밝혔다.
보안 기업 업가드는 MCP처럼 대형언어모델(LLM)을 기업 IT 시스템에 통합하는 CSO들에게 다음 네 가지 수칙을 제안했다.
• 접근 범위 최소화: MCP와 같은 컨텍스트 서버는 철저한 테넌트 분리와 최소 권한 원칙을 강제해야 한다.
• 전면 로그 기록: 모든 요청, 특히 LLM이 생성한 쿼리에 대한 세분화된 로그를 유지해 디지털 포렌식 조사를 지원해야 한다.
• 재도입 시 수동 검토 필수: 인시던트 발생 시 자동화된 재연결이나 재학습 파이프라인은 중단하고, 수동 점검을 통해 안전성을 확보해야 한다.
• 내부 버그도 실질적 위협: 내부 소프트웨어 결함 역시 외부 노출로 이어질 수 있는 만큼, 사소하게 여기지 말고 진지하게 대응해야 한다.
dl-ciokorea@foundryco.com
Read More from This Article: 기업 데이터 노출 우려 커진 아사나 MCP···보안 리더가 지금 점검해야 할 사항은?
Source: News