MCP(Model Context Protocol)은 AI 에이전트가 데이터 소스에 연결할 수 있도록 해주지만, 초기 버전 표준에는 핵심 보안 기능이 크게 부족했다. 최근 몇 달 동안 이 문제를 해결하려는 다양한 벤더가 등장했으며, 이제야 본격적인 도입이 가능해진 것인지, 여전히 실제 운영에 투입하기에는 이른 단계인지 논의가 이어지고 있다.
핵심 프로토콜 측면에서는 일부 진전이 있었다. 3월에는 OAuth 인증 지원이 추가됐고, 6월에는 오스제로(Auth0), 옥타(Okta), 또는 기업 자체의 ID 관리 시스템과 같은 서드파티 인증 서버 연동 기능도 포함됐다.
또한 MCP 표준 기구는 9월, 악성 MCP 서버가 정상 서버로 위장하는 문제를 해결하기 위해 공식 MCP 레지스트리를 공개했다.
그럼에도 여전히 상당한 보안 취약점이 남아 있다. 예를 들어 인증이 선택 사항으로 남아 있으며, 프롬프트 인젝션, 툴 포이즈닝, 토큰 탈취, 서버 간 공격, 메시지 변조 등 다양한 위협에 노출돼 있다.
에이전트 기반 AI 시스템에서 경쟁사보다 앞서고자 하는 기업은 민감 정보와 기업 비밀이 노출되지 않도록 상당한 보안 작업을 스스로 수행해야 한다.
이와 동시에 최근 몇 달 동안 주요 AI 플랫폼 기업뿐 아니라 핵심 기술업체, 기존 사이버보안 벤더, 그리고 신생 플레이어까지 다양한 기업이 MCP 보안 기능을 강화하며 대응에 나서고 있다.
MCP 서버 활용 유형별 보안 과제
MCP 서버 활용 방식에는 크게 세 가지 유형이 있으며, 각각 고유한 보안 과제가 따른다.
첫 번째는 기업이 자체적으로 관리하는 인프라에 내부 MCP 서버를 구축하고, 내부 데이터나 도구에 접근하도록 설정하는 방식이다. 비교적 위험이 낮은 활용 사례로는 직원이 제품 설명 등 민감하지 않은 문서나 데이터베이스를 AI 에이전트를 통해 검색하는 경우가 있다. 반면 고객 데이터를 다루는 방식은 위험도가 훨씬 높아진다.
두 번째 유형은 기업의 AI 에이전트가 MCP 서버를 통해 외부 데이터 소스나 도구에 접근하는 구조다. 이때는 서버나 데이터 소스가 공격자에 의해 침해될 경우, AI 에이전트가 악성 지시문을 전달받을 수 있다는 점이 주요 위험 요소로 꼽힌다.
세 번째는 내부 MCP 서버가 기업의 데이터나 도구를 외부에 개방하는 형태다. 제품 설명서나 사용자 매뉴얼처럼 위험도가 낮은 정보 제공이라면 문제가 크지 않지만, 일부 MCP 서버가 외부 파트너에게 주문 입력, 송장 제출, 결제 정보 변경 같은 기능까지 허용한다면 위험은 상당히 커진다.
노코드 AI 플랫폼 페퍼밀(PepperMill)의 공동 설립자이자 CEO인 앤 해초풀로스는 MCP 도입을 신중하게 단계적으로 접근해야 한다고 조언한다. 해초풀로스는 “공개된 링크드인 정보를 가져오는 MCP 서버는 비교적 안전하다”며 “반면 금융 거래를 처리하는 MCP는 위험 수준이 훨씬 크다. MCP의 보안 문제가 명확한데도 많은 기업이 지금 고위험 영역까지 빠르게 확장하는 점이 놀라울 정도다. 하지만 누군가는 결국 시도하게 될 것이고, 그 과정에서 취약점이 드러나게 된다”고 말했다.
특히 SaaS 기업을 포함한 많은 기술 기업에게 MCP 서버는 이미 필수 요소로 자리 잡고 있다. 클라우드 컨설팅 기업 올클라우드(AllCloud)의 최고전략책임자 피터 네벨은 “지금은 기다릴 시간이 없다”며 “망설이면 경쟁사가 먼저 MCP 기반 서비스를 제공해 우위를 확보하게 된다”고 전했다.
현재 페이팔, 노션, 허브스폿, 클라우드플레어, 아틀라시안, 슬랙, 깃허브 등 여러 기업이 공식 MCP 서버를 운영하고 있다. 서드파티 MCP 서버 제공업체도 늘고 있으며, 예를 들어 재피어(Zapier)는 8,000개 이상의 애플리케이션에 연결되는 MCP 환경을 지원하고 있다.
벤더가 공식 MCP 서버를 제공하지 않을 경우, 외부 개발자가 API를 활용해 비공식 MCP 서버를 구축하는 사례도 많다. 이미 링크드인, 스포티파이, 이베이, 유튜브, AWS, 질로우 등 다양한 플랫폼을 위한 MCP 서버가 존재하지만, 신뢰 수준은 각기 다르다. 개발자와 파워 유저는 이를 내려받아 AI 에이전트에 연결하고 있지만, 이들 비공식 서버의 출처나 유지관리 주체, 실제 동작 방식이 명확하지 않은 경우도 많다.
펄스MCP(Pulse MCP)에는 6,000개 이상의 서버가, MCP 마켓플레이스 MCP.so에는 1만 6,000개 이상의 서버가 등록돼 있다. 깃허브에서 ‘MCP 서버’를 검색하면 4만 5,000개가 넘는 결과가 나온다.
MCP 보안 플랫폼 선택 시 확인해야 할 요소
기업이 자체 에이전트를 서드파티 MCP 서버에 연결하든, 자체 MCP 서버를 서드파티 에이전트에 개방하든, 혹은 자체 서버와 자체 에이전트를 서로 연동하든, 데이터 유출과 프롬프트 인젝션을 포함한 여러 보안 위협이 발생할 가능성은 항상 존재한다.
따라서 권한 및 접근 허용 여부를 면밀히 점검하고, 세분화된 접근 통제를 구현하며, 모든 활동을 기록해야 한다고 클라우드 컨설팅 기업 올클라우드(AllCloud)의 피터 네벨은 설명했다.
현재 벤더가 제공하는 주요 MCP 보안 도구는 다음과 같다.
• MCP 서버 탐지: 기업 직원들이 손쉽게 MCP 서버를 다운로드해 실행할 수 있어 생산성을 높일 수도 있지만, 새로운 공격 경로가 될 수도 있다. 이에 일부 보안 업체는 기업 환경 곳곳에 숨겨진 그림자 MCP 서버를 탐지하는 스캐닝 서비스를 제공하고 있다.
• 런타임 보호: AI 에이전트와 MCP 서버는 자연어로 통신하기 때문에 프롬프트 인젝션, 데이터 유출 등 다양한 보안 문제가 발생할 수 있다. 여러 MCP 보안 벤더가 이러한 통신을 모니터링해 문제를 탐지하는 런타임 보호 도구를 제공하고 있다.
• 인증 및 접근 제어: MCP 코어 프로토콜은 OAuth를 지원하지만, 이는 출발점에 불과하다. 벤더들은 추가 보안을 위해 제로 트러스트와 최소 권한 원칙 기반의 제어 프레임워크를 함께 제공한다.
• 로깅 및 가시성 확보: 벤더는 MCP 로그를 수집하고 보안 팀에 이벤트나 정책 위반을 알리며, 컴플라이언스 데이터 수집 혹은 기존 보안 인프라와 연계할 수 있는 관측 플랫폼을 제공한다.
MCP 보안 도구를 제공하는 주요 벤더
아래는 MCP 보안 도구를 제공하는 기업들을 세 가지 범주로 나눠 살펴본 내용이다.
하이퍼스케일러 기업
특정 클라우드 플랫폼을 중심으로 기술 전략을 구축한 기업의 경우, 해당 하이퍼스케일러가 제공하는 MCP 보안 도구를 활용하는 것이 가장 손쉬운 출발점이 될 수 있다.
AWS는 7월 자체 에이전트 기반 AI 플랫폼을 공개했다. ‘아마존 베드록 에이전트코어(Amazon Bedrock AgentCore)’에는 MCP를 포함한 다중 프로토콜을 지원하는 게이트웨이, ID 관리 기능, 가시성 도구가 포함된다. AWS는 이어 10월, 제로 트러스트 원칙을 적용한 MCP 서버 보안 가이드라인을 발표했다.
마이크로소프트(MS)는 4월 기본 ‘애저 MCP 서버(Azure MCP Server)’를 공개한 데 이어, 5월 ‘애저 키 볼트(Azure Key Vault)’ 연동을 추가했다. 6월에는 ‘애저 AI 파운드리 에이전트 서비스(Azure AI Foundry Agent Service)’에 MCP 기능을 도입했으며, 8월에는 ‘애저 API 매니지먼트(Azure API Management)’를 통해 MCP 서버가 보안·거버넌스·관측 기능을 갖춘 상태로 리소스에 접근할 수 있도록 지원했다.
10월에는 MCP와 A2A(Agent2Agent) 프로토콜을 모두 지원하고, 프롬프트 인젝션 방지·PII 탐지·멀티 에이전트 가시성 기능을 갖춘 ‘마이크로소프트 에이전트 프레임워크(Microsoft Agent Framework)’를 발표했다.
구글 클라우드는 4월 인증과 관측 기능을 포함한 ‘MCP 툴박스 포 데이터베이스(MCP Toolbox for Databases)’를 발표했다. 9월에는 중앙화된 MCP 프록시 아키텍처를 기반으로 한 MCP 서버 보안 참조 아키텍처를 공개했다. 이 구조는 ‘구글 아이덴티티 플랫폼(Google Identity Platform)’을 통해 OAuth 토큰을 발급·검증하고, ‘모델 아머(Model Armor)’로 프롬프트 인젝션·탈출(jailbreak)·민감 정보 포함 여부를 점검하며, ‘시크릿 매니저(Secret Manager)’를 사용해 API 키나 민감 설정값을 안전하게 저장하도록 설계됐다.
또한 ‘아티팩트 레지스트리(Artifact Registry)’를 활용해 MCP 서버 이미지를 저장하고 배포 전 취약점을 스캔할 수 있다.
구글은 MCP 서버 간 측면 이동 위험을 줄이기 위해 네트워크 단위의 보안 통제를 적용할 것을 권고한다. 마지막으로 구글의 ‘시큐리티 커맨드 센터(Security Command Center)’는 무단 접근 및 데이터 반출 시도를 탐지할 수 있다.
주요 기술 기업
클라우드플레어(Cloudflare): 클라우드플레어는 기업이 모든 MCP 연결을 중앙에서 관리하고, 보안을 적용하며, 모니터링할 수 있는 ‘MCP 서버 포털(MCP Server Portals)’을 공개했다. 이 기능은 클라우드플레어의 SASE 플랫폼인 ‘클라우드플레어 원(Cloudflare One)’에 포함된다.
팔로알토네트웍스(Palo Alto Networks): 팔로알토네트웍스는 6월 ‘프리즈마 에어스 MCP 서버(Prisma AIRS MCP Server)’를 선보였다. 이 제품은 AI 에이전트와 MCP 서버 사이에 위치해 데이터 내 악성 콘텐츠를 탐지하고, 프롬프트 인젝션 공격은 물론 웹·DNS 기반 공격으로부터도 보호한다. 또 다른 도구인 ‘코텍스 클라우드 WAAS(Cortex Cloud WAAS)’의 MCP Security는 네트워크 경계에서 MCP 통신을 분석해 악성 활동을 식별한다.
센티넬원(SentinelOne): 센티넬원의 싱귤래리티 플랫폼(Singularity Platform)은 MCP 상호작용 체인 전반에 대한 가시성을 제공하며, 경보 및 자동화된 사고 대응 기능을 지원한다. 로컬과 원격 MCP 서버 모두를 대상으로 한다.
VM웨어(VMware): 지난 8월 VM웨어의 모회사 브로드컴은 ‘브이엠웨어 클라우드 파운데이션(VMware Cloud Foundation)’이 MCP 서버를 포함한 에이전트 기반 워크플로우에 대해 보안을 강화한다고 발표했다.
스타트업
어큐비티(Acuvity): 어큐비티는 최소 권한 실행, 불변 런타임, 지속적 취약점 스캔, 인증, 위협 탐지 기능을 적용해 MCP 서버 보안을 강화한다.
악토(Akto): API 보안 기업 악토는 6월 MCP 전용 보안 솔루션을 출시하며, MCP 서버 보호에 특화된 최초의 전용 보안 제품이라고 소개했다. 이 솔루션은 기업 내부에 배포된 MCP 서버를 찾는 디스커버리 도구, 보안 테스트 도구, 모니터링 및 위협 탐지 기능을 포함한다.
인베리언트 랩스(Invariant Labs): 이들의 오픈소스 도구 ‘MCP-스캔(MCP-Scan)’은 MCP 서버의 정적 분석과 실시간 모니터링을 수행해 툴 포이즈닝, 러그풀, 프롬프트 인젝션을 탐지한다. 상용 제품 ‘인베리언트 가드레일즈(Invariant Guardrails)’는 AI 에이전트와 MCP 서버 사이에서 프록시로 동작하며 각종 MCP 보안 위협을 차단하고, PII의 외부 이메일 전송 금지와 같은 정책 적용을 지원한다.
재블린(Javelin): 재블린의 ‘AI 시큐리티 패브릭(AI Security Fabric)’ 플랫폼은 위험한 MCP 서버를 스캔하거나, 에이전트 도구·데이터 요청을 차단 또는 검토하도록 요구하는 기능을 제공한다. MCP 가드레일은 실시간으로 비정상 호출과 악성 입력을 막아 프롬프트 인젝션과 데이터 유출을 방지한다.
라쏘 시큐리티(Lasso Security): 라쏘 시큐리티는 오픈소스 MCP 게이트웨이를 제공하며, MCP 서버 구성·라이프사이클 관리와 MCP 메시지 내 민감 정보 정제를 지원한다.
MCP토털(MCPTotal): MCP토털은 안전한 샌드박스 환경에서 MCP 서버를 운영·관리·모니터링할 수 있는 허브를 제공한다. 또한 내부·외부 MCP 서버와 상호작용하는 AI 워크플로우를 보호하는 게이트웨이와 AI 도구 사용 정책을 모니터링·강제하는 거버넌스 도구도 포함한다.
노마(Noma): 노마가 최근 공개한 ‘AI 에이전트 시큐리티(AI Agent Security)’는 MCP 연결 탐지, 취약점 스캔, 접근 정책 집행, 실시간 프롬프트 가드레일, 감사 추적 기능을 제공한다.
오봇(Obot): 오픈소스 기반 ‘오봇 MCP 게이트웨이(Obot MCP Gateway)’는 MCP 서버 관리, 보안 접근 정책 정의, 사용·컴플라이언스 추적 기능을 지원한다.
오퍼런트(Operant): 오퍼런트 MCP 게이트웨이는 MCP 도구를 자동 카탈로그화하고 AI 에이전트를 탐지하며, 에이전트와 MCP 서버 간 트래픽을 추적해 운영 사각지대를 제거한다. 또한 툴 포이즈닝, 프롬프트 탈출(jailbreak), 무단 접근 등 위협을 식별하고, 데이터 유출을 방지하며, 기업 전반에서 중앙화된 에이전트·도구 거버넌스를 구축할 수 있다.
솔로(Solo): 솔로는 8월 ‘에이전트 게이트웨이(Agent Gateway)’를 대폭 개편해 MCP와 A2A 프로토콜을 지원하도록 했다. 악성 프롬프트 및 데이터 유출 차단, 강력한 인증 적용, 모든 상호작용 로그·추적의 중앙화가 가능해졌다.
텔레포트(Teleport): 텔레포트의 ‘시큐어 MCP(Secure MCP)’는 인프라 ID 플랫폼 내에서 사람·머신·워크로드·디바이스·AI 정체성을 통합 관리하도록 돕는다. 텔레포트의 MCP 보안 솔루션은 제로 트러스트 및 최소 권한 원칙 기반의 ID·접근 제어·거버넌스·감사 기능을 제공한다.
dl-ciokorea@foundryco.com
Read More from This Article: 기업 보안의 새 변수 ‘MCP 서버’···CISO가 파악해야 할 주요 플랫폼 18개와 주요 위협
Source: News