MCP는 에이전틱 AI 애플리케이션이 다양한 출처에서 실시간으로 데이터를 수집할 수 있도록 해주는 플러그 앤 플레이 표준으로 자리 잡고 있다. 현재 펄스(Pulse) MCP 서버 디렉터리에는 4,300대 이상의 활성 MCP 서버가 등록돼 있으며, 이들 서버는 스포티파이, 유튜브부터 세일즈포스, 깃허브에 이르기까지 다양한 데이터 피드에 LLM을 연결할 수 있도록 한다. 이 프로토콜를 뒷받침하는 추동력은 개발자들이 공통 표준을 중심으로 연합하면서 에이전틱 AI 도입을 가속화할 것으로 보이며, 다른 대안 기술은 확산에 어려움을 겪고 있다.
하지만 이 같은 확산은 악성 행위자에게도 MCP 배포상의 약점을 악용할 기회를 제공한다. 특히 MCP가 외부 서드파티 데이터 소스에 접근하는 데 사용될 경우 그 위험은 더욱 커진다. 특정 기술과는 무관하지만, 최근 영국 유통업체 마크스 앤 스펜서(Marks & Spencer)가 당한 사이버 공격은 한 공급업체 IT 시스템의 취약점에서 비롯됐다. 이 사고로 마크스 앤 스펜서의 시가총액은 약 10억 달러 증발했고, 올해 영업이익도 약 5억 달러 감소할 것으로 예상된다.
보안에 대한 우려
그렇다면 MCP가 안고 있는 주요 보안 취약점은 무엇이며, 어떻게 해결할 수 있을까? MCP는 기존 API처럼 데이터 피드를 수동으로 설정하는 방식과는 달리, 더 동적인 방식으로 작동하도록 설계돼 있다. 에이전틱 AI가 MCP의 이점을 제대로 활용하려면 데이터 소스를 동적으로 탐색하고 실시간으로 접근하는 기능이 필수적이다. 하지만 현재 MCP는 기업이 아무런 추가 조치 없이 배포할 수 있을 만큼 충분한 보안 기능을 내장하고 있지 않다.
MCP 또한 클라이언트-서버 기반으로 작동하며, MCP 클라이언트가 MCP 서버를 통해 데이터 소스에 연결돼 자율 또는 반자율적인 AI 애플리케이션이 동작한다. 그러나 이런 구조는 공격 벡터처럼 다양한 악용 가능성을 열어두게 되며, 이들 중 많은 수가 IT 및 보안 관리자에게 익숙한 위험 요소가 될 수 있다.
MCP 서버는 클라이언트 측에서 LLM이 사용하는 데이터 소스와 기업 내 클라이언트 간의 게이트웨이 역할을 하므로 명백한 공격 대상이 된다. 필라 시큐리티(Pillar Security)의 CEO 도르 사리그(Dor Sarig)는 “MCP 서버에 저장되는 인증 토큰과 연결된 서비스에 대한 실행 권한은 한 대의 MCP 서버만 해킹돼도 기업의 핵심 디지털 자산이 노출될 수 있는 이른바 “왕국의 열쇠”가 될 수 있다고 지적했다. MCP 서버에 접근할 수 있는 사용자를 제한하기 위해 토큰 기반 인증을 사용하는 방법도 보안 향상에 도움이 되지만, 이는 프로토콜에서 필수로 요구되는 사항이 아니다. 심지어 이를 적용했더라도, 사용하는 LLM이 적절한 권한의 토큰을 생성하도록 학습돼 있다면 이런 토큰을 가로채는 일도 어렵지 않다.
AI 비서는 또 다른 취약점을 안고 있다. 자연어 명령어 안에 숨겨진 명령이 있을 경우 이를 잘못 해석해 민감한 데이터를 외부에 유출할 수 있다. 이런 프롬프트 인젝션(prompt injection) 공격은 AI 비서가 의도치 않게 민감한 정보를 누출하게 만들 수 있다.
여러 애플리케이션 플러그인을 관리한 경험이 있는 사람에게 익숙한 러그풀(rug-pull) 업데이트도 또 하나의 문제다. 안전하고 정당한 MCP 서버라 하더라도, 업데이트 이후 연결된 데이터나 애플리케이션이 악성으로 변조될 수 있다.
또 다른 우려는 MCP 서버 스푸핑(server spoofing)이다. 이는 신뢰받는 서버의 이름과 도구 목록을 도용한 가짜 서버가 방심한 개발자를 속이는 방식으로, 민감한 기업 데이터를 수집해 이후 공격에 악용할 수 있다.
안전한 에이전틱 AI 구현을 위해
MCP에서 드러나는 일부 취약점은 이 기술 특유의 것이지만, 해결책은 대부분 상식적인 기업이 실행해 온 검증된 보안 방법이다. 보안은 인식에서 출발하며, 철저하고 문서화된 규칙과 절차 수립이 필수적이다.
MCP가 현재 어디에 사용되고 있으며 어디에 도입될 예정인지 점검하는 감사를 수행하는 것이 핵심이며, MCP를 통해 어떤 데이터 소스와 LLM이 연결되고 있는지 파악하는 것도 중요하다. 모든 MCP 엔드포인트는 강력한 인증 방식으로 보호돼야 하며, MCP에서 사용하는 컨텍스트 토큰과 API 키는 유효 기간을 짧게 설정하고 필요한 최소한의 권한만 부여해야 한다.
데이터는 에이전틱 AI 시스템의 생명줄이므로, 사용하는 모든 데이터는 인젝션 공격을 방지할 수 있도록 신중하게 검증돼야 한다. 아울러 모든 서드파티 도구는 철저히 사전 검토돼야 하며, 업데이트 및 변경사항을 지속적으로 모니터링해 러그풀(rug-pull) 공격을 방지해야 한다.
또한 MCP 활동에 대한 지속적인 로깅 및 모니터링 체계를 운영해야 하며, 데이터 접근 요청, 인증 실패, 설정 변경 등을 추적해야 한다. 이 로그를 정기적으로 점검해 의심스러운 활동을 식별하고 필요한 조치를 취하는 것이 필수적이다.
MCP는 다가올 에이전틱 AI 혁명의 핵심 요소가 될 것이며, 도입 초기부터 적절한 보안을 체계적으로 구축하는 것이 중요하다. API 통합 플랫폼 머지(Merge)의 CTO 길 파이그는 MCP가 데이터 기반 애플리케이션에서 패러다임 전환을 이끌고 있다고 보면서도, MCP 도입에 신중할 것을 강조했다. 파이그는 “AI가 어디에서 데이터를 가져오고 어디로 보낼지를 스스로 결정하게 하는 데는 분명한 위험이 따른다”고 지적했다. 머지는 최근 자사의 통합 API 엔드포인트에 어떤 LLM도 접근할 수 있도록 하는 MCP 서버를 출시했는데, 이 서버는 DLP 도구 등 보안을 최우선으로 고려해 구축했다는 것이 머지의 설명이다.
MCP는 에이전틱 AI 세계의 데이터 연결을 위한 공통 표준으로서 제공하는 이점이 크지만, SMTP나 HTTP처럼 안전한 방식으로 배포하는 것이 매우 중요하다.
dl-ciokorea@foundryco.com
Read More from This Article: 에이전틱 AI 확산의 도화선 MCP, 얼마나 안전한가?
Source: News