LLM 연결 표준 ‘MCP’ 확산 속 보안 허점 우려 커져

[아이티데일리] ‘모델 컨텍스트 프로토콜(MCP)’이 새로운 사이버 위협으로 떠오르고 있다. 거대언어모델(LLM)과 외부 서비스를 연결해 편의성을 높이지만 여러 시스템을 동시에 공격할 수 있는 경로가 될 위험을 안고 있다.

11일 정보보안 업계에 따르면 MCP 보안 위협 사례가 전 세계적으로 보고되고 있다. 이스라엘 소재 API 보안 기업 ‘핀트(Pynt)’가 지난 8월 널리 알려진 MCP 281개를 분석한 결과, 이 가운데 72%가 동적 코드 실행, 특권 API 호출, 다른 인터페이스 등 취약점에 노출된 것으로 나타났다. 13%는 신뢰할 수 없는 출처의 입력값을 허용했으며 9%는 여러 취약점을 보유해 악용 가능성이 높았다.

MCP는 2024년 11월 인공지능(AI) 스타트업 ‘앤트로픽(Anthropic)’에서 발표한 프로토콜이다. LLM이 API로 외부 서비스와 상호작용하는 표준 방식을 정의하며, 이를 통해 이메일, 클라우드, 캘린더 등 다양한 서비스를 AI와 연계할 수 있다.

MCP는 편의성에 힘입어 빠르게 확산하고 있다. AI 기반 개발 환경 ‘커서(Cursor)’가 지난해 말부터 MCP 지원을 시작했으며 오픈AI도 올해 3월 에이전트 개발 기능에 MCP를 탑재했다. 국내에서는 토스페이먼츠가 지난 6월 MCP 서버를 도입해 결제 연동 작업을 간소화했다. 카카오페이도 지난 8월 AI 에이전트와 결제 API를 연동하는 ‘결제 MCP’를 공개했다.

하지만 MCP의 광범위한 연결성이 보안 취약점으로 작용할 수 있다는 우려도 커지고 있다. MCP는 연결된 모든 서비스의 권한과 기능을 사용할 수 있어 해커의 공격 경로로 악용될 위험이 크다. 해커는 MCP를 통해 이메일 탈취하거나 나아가 시스템에 악성코드를 심어 정보를 지속적으로 빼낼 수도 있다.

일례로 지난 9월 오픈AI ‘챗GPT’에 MCP로 연동된 캘린더 앱을 악용할 수 있는 취약점이 발견됐다. 공격자가 악성 프롬프트가 담긴 초대장을 이메일로 전송하면, 챗GPT가 사용자 요청에 따라 일정을 확인할 때 숨겨진 악의적 내용을 그대로 실행하는 구조였다.

MCP 서버를 악용한 공급망 공격 시도도 있었다. 미상의 공격자가 ‘postmark-mcp’라는 패키지를 npm 저장소를 통해 유포했다. 이는 AI 어시스턴트가 이메일 서비스 ‘포스트마크(Postmark)’를 통해 이메일을 전송 및 관리하도록 지원하는 MCP 서버였다.

공격자는 초기 정상 패키지를 유포했다가 단기간 내 업데이트를 거치는 과정에서 사용자 메일을 외부 서버로 복사하는 악성코드를 삽입했다. 이 코드는 이메일을 보낼 때 숨은 참조(BCC)에 해커의 이메일 주소를 자동 추가하는 명령어였다.

이 같은 위협이 확산하면서 전문가들은 MCP 사용 시 각별한 주의를 당부하고 있다. 이글루코퍼레이션 정일옥 연구위원은 “모든 에이전트, 서버에 대해 강력한 인증으로 비인가 접근을 차단하고 참여자에게 필요한 범위 내 권한만 부여해야 한다. 프롬프트, API 요청 등 모든 입력값에 대한 철저한 검증도 필요하다”고 조언했다.

이어 “신뢰할 수 있는 공식 저장소에서만 도구를 내려받고 신규 MCP 서버 승인 시 설명을 충분히 살펴보고 이후 변경 사항도 모니터링해야 한다”고 덧붙였다.

MCP의 보안을 점검하는 사이트나 도구를 활용하는 것도 한 가지 대안이다. MCP 기반 AI 도구와 서버를 제공하는 플랫폼인 ‘MCP 헌트(MCP Hunt)’는 일별 보안 분석 리포트로 안전한 선택을 돕는다.

‘MCP 스캔(MCP Scan)’은 프롬프트 인젝션처럼 MCP 기반 AI 시스템에서 발견되는 보안 위협을 자동으로 탐지 분석할 수 있는 오픈소스 명령어 기반(CLI) 도구다. 명령어 한 줄만으로도 MCP 서버를 분석해 보안 위협을 점검할 수 있다.