자동차-앤트로픽 MCP 인스펙터, 보안 결함 발견돼…개발자·기업 긴장

MCP 호스트 사용 모습 [사진: MCP Inspector 공식 웹사이트]

[디지털투데이 AI리포터] 인공지능(AI) 기업 앤트로픽(Anthropic)의 보안 취약점이 또다시 도마 위에 올랐다.

앤트로픽의 Model Context Protocol(MCP) 인스펙터 프로젝트에서 치명적 취약점이 발견돼 원격 코드 실행(RCE) 공격이 가능하다는 경고가 나왔다. 2일(이하 현지시간) IT매체 테크레이더에 따르면, 이 결함은 해커들이 민감한 데이터를 탈취하고 악성 코드를 설치할 수 있도록 허용하며, 네트워크 내부로 침투할 수 있는 심각한 보안 위협을 초래한다.

이 취약점은 CVE-2025-49596으로 분류됐으며, 심각도 점수 9.4/10을 기록했다. 보안 전문가들은 "해당 결함은 AI 개발자 도구를 타깃으로 한 새로운 유형의 공격을 가능하게 한다"며 "개발자 기기에 악성 코드를 심어 데이터 탈취, 백도어 설치, 네트워크 확장을 유도할 수 있다"고 경고했다.

해커뉴스(The Hacker News)가 사이버 보안 전문가 루멜스키(Lumelsky)의 말을 인용해 전한 바에 따르면, 해커들은 '0.0.0.0. Day'라는 웹 브라우저의 20년 된 취약점을 활용해 악성 웹사이트를 통해 MCP 서버의 로컬 네트워크에 침투할 수 있다. 이를 통해 개발자 기기에서 임의의 명령을 실행하는 방식으로 공격이 이뤄진다.

앤트로픽은 지난 4월 이 문제를 인지하고, 6월 13일 패치를 배포해 MCP 인스펙터를 0.14.1 버전으로 업데이트했다. 새로운 보안 조치는 프락시 서버에 세션 토큰을 추가하고, 출처 검증을 강화해 공격 가능성을 차단하는 방식이다.

AI 시스템이 점점 더 복잡해지면서 보안 취약점 역시 증가하고 있다. 기업과 개발자들은 AI 도구 사용 시 보안 위협에 대한 대비책을 마련해야 한다는 경고의 목소리가 커지고 있다.