에이전트 기반 AI(Agentic AI)의 부상이 가속화되는 가운데, MCP(Model Context Protocol) 서버는 AI 모델에 더 풍부한 추론 맥락을 제공하는 핵심 도구로 빠르게 자리 잡고 있다. 하지만 보안 연구자들은 LLM(대규모 언어 모델)을 다양한 서드파티 서비스, 데이터 소스, 도구와 연결하는 수많은 공개 MCP 서버가 취약한 설정 상태로 운영되고 있어, 공격자가 이를 악용해 시스템을 침해하거나 민감한 데이터를 유출할 수 있다고 경고하고 있다.
애플리케이션 보안 기업 백슬래시(Backslash)의 연구진은 최근 공개 저장소에 등록된 수천 개의 MCP 서버를 스캔한 결과, 신뢰되지 않은 네트워크에 기본적으로 노출되거나 운영체제(OS) 명령어 삽입 경로를 포함하는 등 위험한 설정이 적용된 서버가 수백 개에 달한다고 밝혔다.
백슬래시는 보고서를 통해 “단순한 코드 실행을 넘어, MCP는 프롬프트 주입(prompt injection)과 맥락 오염(context poisoning)의 은밀한 경로가 될 수 있다”라며 “조작되거나 악의적으로 구성된 공개 콘텐츠는 LLM이 인식하는 정보를 왜곡해 잘못된 데이터를 반환하거나 에이전트의 논리 흐름을 바꿀 수 있다”라고 전했다.
MCP 서버: AI 에이전트의 핵심 인프라
MCP는 AI 기업 앤스로픽이 개발한 프로토콜로, LLM이 외부 도구나 데이터와 양방향·지속적 메모리 기반으로 상호작용할 수 있게 지원한다. 자연어 프롬프트를 기반으로 전체 애플리케이션을 구축하는 ‘바이브 코딩(Vibe Coding)’ 등 차세대 AI 개발 방식에서 필수적인 역할을 한다.
지난해 공개된 이후 MCP는 빠르게 확산됐으며, 현재 수만 개의 서버가 온라인에 등록돼 있다. 앤스로픽은 구글 드라이브, 슬랙, 깃허브, 깃, 포스트그레스, 퍼피티어, 스트라이프 등 주요 서비스와 상호작용할 수 있는 MCP 서버 레퍼런스도 공개했다. 오픈AI는 지난 3월 MCP를 채택했으며, 구글도 4월 자사 제미나이 모델과 MCP 통합 계획을 발표한 바 있다.
커서(Cursor), 윈드서프(Windsurf), 제드(Zed) 등 인기 있는 AI 기반 통합 개발 환경(IDE)과 통합되는 MCP도 존재한다. MCP는 외부 도구에 접근하는 것뿐만 아니라, 로컬 파일 시스템과 상호작용하고, 시스템 메모리에 지식 그래프를 구축하며, 로컬 명령어 도구를 활용해 웹 콘텐츠를 수집하거나 시스템 명령을 실행하는 등의 다양한 작업을 수행할 수 있다.
‘네이버잭(NeighborJack)’: MCP 서버를 인터넷에 노출시키는 설정 오류
MCP 서버는 기본적으로 강력한 인증 기능이 없다. 로컬 시스템에 배포된 경우, 해당 서버의 통신 인터페이스에 접근할 수 있는 누구나 MCP 프로토콜을 통해 명령을 전달하고 기능을 사용할 수 있다. 다만 MCP 서버가 로컬 주소인 127.0.0.1(일명 localhost)에서만 수신하도록 설정돼 있다면, 같은 머신에서 실행 중인 애플리케이션만 접근할 수 있기 때문에 큰 문제가 되지 않는다.
하지만 백슬래시 연구진은 수백 개의 MCP 서버가 기본 설정으로 통신 인터페이스를 0.0.0.0에 바인딩하도록 구성돼 있다는 사실을 발견했다. 이는 모든 네트워크 인터페이스에서 접속을 허용하는 설정으로, 추가적인 방화벽이 없다면 해당 서버가 인터넷에 그대로 노출되는 셈이다. 연구진은 이 설정 오류를 ‘네이버잭(NeighborJack)’이라고 명명했다.
연구진은 “공유 오피스나 카페에서 코딩 중이라고 가정해보라”며 “당신의 MCP 서버가 조용히 노트북에서 실행되고 있을 때, 옆자리에서 라떼를 마시고 있는 사람이 해당 MCP 서버에 접근해 도구를 사칭하거나 당신을 대신해 명령을 실행할 수도 있다. 이는 마치 노트북을 열린 채로, 누구든 사용할 수 있게 둔 것과 다름없다”라고 설명했다.
인증되지 않은 운영체제 명령 실행
MCP 서버가 악용될 수 있는 범위는 해당 서버의 구체적인 기능에 따라 달라진다. 많은 경우 공격자는 MCP에 설정된 자격 증명을 통해 사내 전용 데이터 소스를 조회하거나 서드파티 서비스에 접근할 수 있다.
하지만 연구진은 수십 개의 MCP 서버에서 서버 권한으로 운영체제에서 임의 명령을 실행할 수 있는 공격 경로를 확인했다. 확인된 문제는 하위 프로세스(subprocess)의 부주의한 사용, 입력값 정규화 부족, 경로 탐색(Path Traversal)과 같은 보안 결함 등이 포함됐다.
연구진은 “네트워크에 노출된 상태에서 과도한 권한까지 부여되면 완벽한 공격 조건이 갖춰진다”라며 “같은 네트워크에 있는 누구든 로그인도, 인증도, 샌드박스도 없이 MCP 서버가 실행 중인 호스트 머신을 완전히 통제할 수 있다. 임의 명령 실행, 메모리 탈취, AI 에이전트가 사용하는 도구 사칭까지 모두 가능하며, 실제로 이 조건이 모두 갖춰진 서버를 다수 발견했다”라고 전했다.
프롬프트 주입과 맥락 오염
MCP 서버는 데이터베이스 같은 외부 데이터 소스에 접근하거나, 다양한 도구를 이용해 문서나 웹 콘텐츠를 자동으로 수집(스크래핑)하도록 설계돼 있다. 하지만 이러한 설계 구조는 공격자가 악성 정보를 입력할 수 있는 경로를 넓게 만들어, 원격에서 공격을 시도할 수 있는 위험 요소로 작용한다.
백슬래시 연구진은 한 개념 증명(Proof-of-Concept)에서 MCP 서버를 구축하고, 웹 페이지의 메타데이터를 추출하기 위해 체리오(Cheerio) 라이브러리를 사용했다. 이후 MCP가 접근하는 웹사이트의 제목 태그에 LLM의 시스템 프롬프트처럼 보이도록 숨은 텍스트를 삽입했다.
이 MCP는 커서(Cursor) IDE와 연동돼 있었으며, 웹 스크래핑을 수행하는 과정에서 커서가 웹페이지에 숨겨진 프롬프트를 LLM 명령으로 인식했다. 해당 프롬프트는 사용자의 로컬에 설정된 오픈AI 키를 연구진이 제어하는 웹사이트로 전송하라는 지시를 담고 있었다. 이는 프롬프트 주입(prompt injection)과 맥락 오염(context poisoning)으로 알려진 공격 방식이다.
연구진은 “아직 공개되지 않은 조사 결과 중에는, 겉보기에는 무해한 공개 문서가 연쇄적인 시스템 침해를 유발하는 트리거가 된 사례도 있었다”라며 “이는 MCP가 해당 문서를 적절한 경계 없이 LLM 에이전트의 논리 구조에 자동으로 연결했기 때문”이라고 설명했다. 이어 “이 문제는 MCP 코드 자체의 취약점이 아니라, MCP가 접근한 데이터 소스의 설정에 있었다”라며 “수만 명의 사용자를 보유한 인기 도구에 영향을 주는 사안으로, 현재 해당 벤더와 함께 책임 있는 공개를 조율 중”이라고 전했다.
보안 대응 방안
백슬래시 팀은 테스트한 MCP 서버에 대한 위험 평가 결과를 무료 검색형 데이터베이스인 ‘백슬래시 MCP 서버 보안 허브(Backslash MCP Server Security Hub)’에 공개했다. 또한 MCP, LLM, 바이브 코딩 규칙에서 발생할 수 있는 보안 위험 요소를 평가할 수 있는 웹 기반 무료 진단 서비스도 제공하고 있다. 다만 이 도구는 사용을 위해 등록이 필요하다.
MCP 서버 개발자를 위한 권고사항도 제시됐다. 외부 입력값에 대한 검증 및 정규화 처리, 파일 시스템 접근 제한, LLM 응답에서 토큰·내부 로그 등 민감한 정보 유출 방지, API 호출 및 도구 기능에 대한 접근 제어 적용, 데이터 출처의 유효성 검증, 서버 전송 이벤트(SSE) 대신 로컬 MCP 도구에 표준 입출력(stdio) 전송 방식을 활용하는 것이 그 주요 내용이다.
dl-ciokorea@foundryco.com
Read More from This Article: “커서로 코드만 짰을 뿐인데…” MCP 취약점, 개발자 노트북 뚫는다
Source: News