무방비 노출된 MCP 서버, 대형 사고 부른다 [AI 에이전트와 보안①]
||2026.01.01
2026년 병오년에는 정부·공공을 비롯해 민간 전 산업에서 인공지능 전환(AX) 사업이 본격 확대될 전망이다. 특히 AI 에이전트 도입이 늘면서 AI는 단순 도구를 넘어 실제 업무를 수행하는 주체로 자리 잡을 것으로 보인다. 다만 보안을 충분히 고려하지 않은 AI 에이전트 시스템은 정보 유출 사고로 이어질 수 있다. MCP(Model Context Protocol) 서버, API(Application Programming Interface), 프롬프트(Prompt) 등 다양한 연결 통로가 새로운 공격표면으로 지적되고 있다. 새해 확산될 AI 에이전트 관련 주요 보안 위협과 주의사항을 살펴본다. [편집자 주]
거대언어모델(LLM) 기반의 생성형 인공지능(Generative AI)이 인공지능 에이전트(AI Agent)로 발전하면서 AI는 단순한 질의응답 도구를 넘어 실제 업무를 수행하는 주체로 진화하고 있다. 특히 외부 데이터와 각종 도구를 연결해 스스로 판단하고 행동하는 AI 에이전트 구조를 지탱하는 핵심 기술로 ‘AI의 USB-C 포트’라고도 불리는 MCP(Model Context Protocol)가 빠르게 확산되고 있다. 다만 MCP는 AI의 성능을 끌어올리는 기반 기술인 동시에, 보안 측면에서는 새로운 공격 표면으로 부상하고 있다는 지적이 잇따른다.
MCP는 LLM에 외부 데이터와 업무 맥락(Context)을 지속적으로 전달하기 위한 표준 프로토콜(규칙·체계)이다. 기존 LLM이 사용자 프롬프트(입력값)에만 의존해 응답했다면, MCP 기반 구조에서는 파일 저장소, 데이터베이스, 내부 업무 시스템, 외부 도구(소프트웨어) 등이 AI의 판단 근거로 연결된다. MCP는 AI 에이전트가 외부와 원활히 연결을 유지하면서 이전 대화와 업무 흐름을 이해하고 판단을 이어갈 수 있도록 하는 일종의 ‘맥락 서버’ 역할을 한다.
문제는 이 맥락 서버가 아직까지 충분한 보안 장치 없이 운영되는 사례가 적지 않다는 점이다. 보안 업계에 따르면 인터넷에 노출된 MCP 서버 상당수가 클라이언트 인증이나 데이터 트래픽에 대한 암호화 없이 운영되고 있는 것으로 확인됐다. 글로벌 보안 기업 트렌드마이크로는 지난해 7월 웹상에 노출된 MCP 서버 492대를 조사한 결과, 모든 서버가 인증 절차 없이 외부 접근을 허용하고 있었다는 연구 결과를 공개했다. 공격자가 이를 악용할 경우 자연어 명령만으로도 기업의 핵심 데이터와 시스템에 접근할 수 있는 구조라는 게 회사 측 설명이다.
특히 이들 MCP 서버가 접근하는 1402개의 MCP 도구 가운데 90% 이상이 데이터 소스에 대해 직접 읽기 권한을 보유하고 있었으며, 일부 서버는 클라우드 서비스 제공사(CSP)의 자원까지 직접 접근해 관리할 수 있는 상태로 확인됐다. 이는 MCP 서버 하나가 침해될 경우 고객 데이터 유출을 넘어, 연결된 클라우드 자원의 생성·수정·삭제로까지 이어질 수 있다는 의미다.
MCP 서버의 보안 취약성은 다수 보안 기업들의 보고서에서 반복적으로 지적되고 있다. AI 보안 스타트업 노스틱(Knostic)은 검색엔진 쇼단(Shodan)과 자체 도구를 활용해 인터넷에 노출된 MCP 서버 1800여대를 확인했으며, 이 중 표본 조사한 서버 대부분이 인증 없이 내부 도구 목록에 접근을 허용하고 있었다고 밝힌 바 있다. 데브옵스(DevOps) 플랫폼 기업 제이프로그(JFrog) 역시 MCP 생태계에서 원격 코드 실행(RCE)이 가능한 취약점을 발견해 CVE(공개된 취약점 목록)에 등록했으며, 해당 취약점은 CVSS 9.6점의 치명적 등급을 받았다.
보안 업계는 MCP가 API보다 앞단에서 열리는 통로라는 점에 주목한다. API가 AI 에이전트의 ‘행동 실행 통로’라면, MCP는 그 이전 단계에서 판단의 근거를 제공하는 통로다. 그러나 MCP는 아직까지 개발 초기나 PoC(개념검증) 단계에서 임시로 구성되는 경우가 많아, 보안 점검 대상에서 빠지기 쉽다는 지적이 나온다. API 보안은 적용했지만 MCP는 별도 통제 없이 운영되는 사례도 적지 않다는 것이다.
MCP 서버의 근본적 문제가 기본 설계에서 비롯된다는 분석도 제기된다. MCP 아키텍처는 기본적으로 클라이언트 인증을 요구하지 않으며, 공개인증(OAuth) 토큰 위임이나 역할 기반 접근 제어(RBAC)를 지원하지 않아 보안 원칙을 충족하기 어렵다는 지적이다. 데이터 소스 자격 증명이 서버 구성에 하드코딩돼 있고, 서버에 연결하는 모든 클라이언트가 동일한 권한을 위임받는 구조 역시 위험 요소로 꼽힌다.
최영삼 한국트렌드마이크로 기술 총괄 상무는 “인터넷에 무방비로 노출된 MCP 서버는 기업의 민감 데이터로 통하는 백도어(Backdoor)와 같다”고 경고하며 “MCP 프로토콜은 본래 로컬 환경 실행을 전제로 설계돼 자체적인 인증 및 권한 부여 기능이 미흡하다”고 설명했다. 이어 그는 “많은 개발자가 편의를 위해 MCP 설정 파일에 API 키나 자격 증명을 하드코딩(Hardcoding·데이터를 코드 내부에 직접 입력)하는 경우가 빈번하다”며 “이는 공격자에게 시스템 전체를 장악할 수 있는 열쇠를 쥐여주는 꼴”이라고 덧붙였다.
그러면서 최 상무는 “MCP 보안이 취약하면 공격자는 복잡한 공격기법(exploit) 없이 자연어 명령만으로도 연결된 도구를 제어해 데이터를 탈취할 수 있다”면서 “MCP 서버의 외부 노출을 원천 차단하거나 VPN(가상사설망), SSH(보안 셸) 터널링을 통해 접근을 엄격히 통제하고, 소스코드 내 하드코딩된 자격 증명을 제거해 별도의 보안 저장소에서 관리하는 조치가 시급하다”고 조언했다.
정종길 기자
jk2@chosunbiz.com
