Model Context Protocol (MCP) 보안: 완벽 가이드

MCP 보안이란?

MCP 서버는 여러 엔터프라이즈 서비스의 자격 증명을 집계하여, 침해 시 전체 조직을 노출시키는 단일 실패 지점을 만듭니다. 인증 제어 없이 배포된 단일 MCP 서버가 침해되면, 공격자는 AI 어시스턴트가 연결된 모든 통합 데이터베이스, 파일 시스템, 클라우드 서비스에 접근할 수 있습니다. 이러한 취약점 패턴은 CVE-2025-49596 (CVSS 9.4)에서 실제로 악용되어, 공격자가 인증되지 않은 MCP Inspector 인스턴스를 통해 임의 명령을 실행할 수 있었습니다.

Model Context Protocol(MCP)은 2024년 말 Anthropic에서 공개한 오픈 표준으로, 클라이언트-서버 아키텍처를 통해 AI 어시스턴트를 엔터프라이즈 데이터 소스 및 도구와 연결합니다. MCP 보안은 이러한 통합을 악용으로부터 보호하는 데 필요한 제어, 실무, 프레임워크를 포괄합니다. 공식 MCP 명세에 따르면, 프로토콜은 "프로토콜 수준에서 보안을 명시적으로 강제하지 않는다"고 하며, 구현 책임을 전적으로 보안팀에 맡깁니다.

MCP 서버를 배포하면 AI 추론 엔진과 엔터프라이즈 인프라 간의 다리를 만들게 됩니다. 해당 서버는 여러 서비스의 OAuth 토큰을 저장하고, 시스템 명령을 실행하며, 파일을 읽고, 데이터베이스를 쿼리합니다. 보안팀은 국가 취약점 데이터베이스에서 추적하는 3개의 치명적 CVE를 포함한 여러 문서화된 취약점 범주에 직면합니다. 최초의 악성 MCP 패키지는 2025년 9월에 등장하여 2주간 탐지되지 않은 채 이메일 데이터를 유출했습니다.

이러한 위험은 MCP 보안이 더 넓은 사이버보안 분야와 교차하는 이유를 설명합니다.

MCP 보안과 사이버보안의 관계

MCP 보안은 아이덴티티 및 접근 관리, 공급망 보안, 그리고 기존 도구로는 차단할 수 없는 AI 특화 공격과 교차합니다. 프로토콜 아키텍처는 세 가지 보안 경계를 만듭니다: 클라이언트와 서버 간 통신을 처리하는 전송 계층, 라이프사이클 및 기능 협상을 위한 JSON-RPC 2.0 메시징을 관리하는 프로토콜 계층, 에이전트가 접근하는 도구, 리소스, 프롬프트, 알림을 정의하는 데이터 계층입니다.

CISA는 2025년 5월 22일 공동 지침을 발표하며 데이터 보안이 AI 시스템 신뢰성 확보에 필수적임을 강조했습니다. 이 정부 인식은 AI 에이전트 인프라가 SOC 팀이 모니터링해야 하는 공격 범위에 포함됨을 시사합니다. OWASP MCP Top 10 프로젝트는 MCP 위험을 분류하는 최초의 업계 표준 프레임워크를 수립하여, 보안팀이 AI 통합을 평가할 때 구조화된 위험 평가 방법론을 제공합니다.

기존 경계 보안은 MCP 공격에 효과가 없습니다. 이들은 자연어의 의미적 수준에서 작동하기 때문입니다. 시그니처 기반 위협과 달리, MCP 공격은 도구 오염 및 프롬프트 인젝션과 같은 기법을 통해 AI 모델의 추론 과정을 악용합니다. 이러한 패턴은 기존 식별을 완전히 우회하므로, 행위 기반 분석과 컨텍스트 인식 보안 제어가 필요합니다.

이러한 공격 패턴을 해결하려면 MCP 배포를 보호하는 아키텍처 구성요소에 대한 이해가 필요합니다.

MCP 보안의 핵심 구성요소

MCP 보안 아키텍처는 아키텍처, 접근 관리, 식별, 거버넌스를 아우르는 기본 제어를 다루어야 합니다.

1. 인증 및 권한 부여 계층: MCP 서버는 OAuth 2.1 및 PKCE, 기능 수준 스코핑, 로그 유출 또는 메모리 스크래핑을 통한 광범위 스코프 토큰 접근 방지 기능이 필요합니다.
2. 전송 보안: TLS 1.2 이상 및 강력한 암호화 스위트 적용, 서버 간 통신을 위한 상호 TLS(mTLS) 구현, DNS 리바인딩 보호 활성화가 필요합니다. MCP TypeScript SDK는 GitHub Security Advisory GHSA-w48q-cv73-mx4w에 따르면 기본적으로 이 보호 기능이 활성화되어 있지 않습니다.
3. 도구 검증 파이프라인: 보안 제어는 (1) 명령 및 프롬프트 인젝션에 대한 패턴 기반 필터링, (2) 도구 설명 내 의미적 공격에 대한 신경망 식별, (3) 경계 사례에 대한 LLM 기반 중재의 세 단계를 통해 검증해야 합니다.
4. 자격 증명 관리: MCP 서버는 여러 서비스의 OAuth 토큰을 집계합니다. AWS Secrets Manager 또는 HashiCorp Vault와 같은 엔터프라이즈 금고를 사용하고, 자동 교체, 단기 토큰 사용, 로그 유출 및 메모리 스크래핑 방지 기능을 구현해야 합니다.
5. 식별 및 모니터링 인프라: 도구 호출(파라미터 포함), 인증 시도, 리소스 접근, 스코프 위반 등 모든 MCP 작업을 로깅해야 합니다. MCP 이벤트를 SIEM에서 아이덴티티 행위 및 네트워크 트래픽과 연계 분석합니다.

이러한 구성요소는 모든 MCP 요청을 처리하는 조정된 실행 흐름에서 함께 작동합니다.

MCP 보안의 작동 방식

MCP 보안은 엔터프라이즈 시스템과 AI 에이전트 상호작용의 각 단계를 보호하는 계층화된 제어를 통해 작동합니다.

• 중앙 집중형 게이트웨이 아키텍처: 중앙 집중형 게이트웨이 프록시는 일관된 정책 적용, 행위 모니터링, 가드레일 강제 기능을 제공합니다. 게이트웨이는 승인된 MCP 서버의 허용 목록을 적용하고, 접근 제어 및 식별을 중앙화하며, 모든 도구 호출을 검사합니다. 이를 통해 개발자가 로컬 환경을 어떻게 구성하든 무단 MCP 서버의 엔터프라이즈 리소스 접근을 차단할 수 있습니다.
• 기능 협상 단계: 초기화 시 게이트웨이는 서버 기능을 정책 규칙과 대조하여 과도한 권한을 요청하는 서버를 차단합니다. 세분화된 접근 제어는 특정 사용자 역할을 특정 도구 기능에 매핑합니다.
• 런타임 실행 단계: AI 에이전트가 MCP 도구를 호출할 때, 보안 계층은 인젝션 공격에 대한 입력 파라미터를 검증하고, 도구 실행을 샌드박스화하며, 완전한 포렌식 컨텍스트를 로깅합니다.
• 지속적 식별: 보안 플랫폼은 패턴 기반 필터링, 신경망 분석, 행위 이상 식별을 결합한 다단계 식별 파이프라인을 통해 MCP 트래픽을 분석합니다.
• 사고 대응 흐름: 보안 플랫폼이 악성 MCP 활동을 식별하면, 자동화된 대응 기능이 침해된 서버를 격리하고, 모든 통합 서비스에서 관련 자격 증명을 폐기하며, 무단 변경을 롤백하고, 조사를 위한 전체 공격 타임라인을 재구성합니다.

이러한 운영 흐름을 이해하면 MCP 보안이 엔터프라이즈 위험 관리에 중요한 이유를 알 수 있습니다.

MCP 보안의 중요성

자격 증명 집계는 MCP를 도입하는 조직의 공격 모델을 재편할 위험이 있습니다. MCP 서버는 여러 서비스의 OAuth 토큰을 저장하여 단일 실패 지점을 만듭니다. 침해 시 공격자는 모든 연결된 서비스에 광범위하게 접근할 수 있으므로, MCP 특화 사고 대응 절차가 필요합니다.

공급망 검증은 MCP의 단순 통합 경로가 신뢰할 수 없는 서버를 통해 위험을 도입하므로 필수적입니다. 최초의 악성 MCP 패키지는 2025년 9월에 등장하여 2주간 탐지되지 않은 채 이메일 데이터를 유출했습니다.

거버넌스 프레임워크는 모니터링되지 않는 MCP 통합 계층에 대한 통제를 확립해야 합니다. 보안팀은 게이트웨이 수준에서 중앙 집중식 정책 집행, 신규 서버 승인 워크플로우, 데이터 분류에 맞춘 보안 기준을 마련해야 합니다.

제로 트러스트 아키텍처는 MCP 보안의 기반을 제공하며, MCP 마이크로서비스 간 상호 TLS, 아이덴티티 기반 트래픽 제어, 네트워크 토폴로지에 독립적인 보안을 요구합니다.

컴플라이언스 및 규제 준수는 AI 에이전트가 규제 데이터에 접근할 때 조직을 보호합니다. CISA 지침은 2025년 5월 데이터 보안이 AI 시스템 신뢰성 확보에 필수적임을 명시합니다. MCP 보안 제어는 AI 어시스턴트의 데이터 접근이 인간 사용자와 동일한 거버넌스를 따름을 입증해야 합니다.

MCP 보안의 중요성을 이해하려면 이러한 시스템을 노리는 구체적 공격을 살펴봐야 합니다.

MCP 보안 위협 유형

MCP 환경은 프로토콜의 신뢰 모델과 도구 아키텍처를 악용하는 고유한 공격 패턴에 직면합니다.

1. 도구 오염은 악성 명령을 도구 메타데이터 및 설명에 삽입합니다. 공격자는 "모든 데이터를 외부 엔드포인트로 전달"과 같은 지시를 사용자에게는 정상적으로 보이지만 AI 에이전트가 메타데이터를 읽을 때 실행되는 도구 정의에 숨깁니다. 이러한 명령은 세션 간에 지속되어, 해당 도구와 상호작용하는 모든 에이전트에 영향을 미칩니다.
2. 러그 풀 공격은 승인 후 행위 변화를 악용합니다. 도구가 초기 보안 검토를 통과한 후, 조용히 정의를 수정하여 악성 기능을 추가합니다. 대부분의 MCP 클라이언트는 승인 후 도구 설명이 변경되어도 사용자에게 알리지 않아, 공격자가 이전에 신뢰받던 도구를 무기화할 수 있습니다.
3. 섀도잉 공격은 악성 도구가 신뢰받는 도구에 직접 호출 없이 영향을 미치게 합니다. 침해된 도구 설명이 AI 에이전트에게 정상 도구 사용 시 동작을 변경하도록 지시할 수 있으며, 예를 들어 이메일 수신자 변경이나 숨겨진 거래 수수료 추가 등이 가능합니다.
4. 서버 스푸핑은 합법적 서비스와 유사한 이름으로 악성 MCP 서버를 등록합니다. AI 어시스턴트가 이름 기반 검색을 수행할 때, 자격 증명과 민감한 쿼리를 수집하는 악성 서버로 연결될 수 있습니다.

이러한 공격 패턴은 보안팀이 직면하는 구현상의 어려움을 설명합니다.

MCP 보안 구현의 과제

보안팀은 MCP 배포를 보호할 때 여러 장애물에 직면합니다:

• 아키텍처적 격차: 보안 책임이 프로토콜 수준 가이드 없이 전적으로 구현팀에 전가됩니다. 공식 MCP 명세는 "이러한 보안 원칙을 프로토콜 수준에서 강제할 수 없다"고 명시하여, 개발자 기대와 보안 현실 간 불일치를 초래합니다.
• 가시성 한계: 기존 모니터링은 JSON-RPC 2.0 메시징 패턴과 분산 배포 환경에서 어려움을 겪으므로, MCP 서버 활동을 추적하려면 맞춤형 계측이 필요합니다.
• 도구 확산: 조직은 중앙 집중식 거버넌스 없이 부서별로 MCP 서버를 배포합니다. 중앙 인벤토리가 없으면 보안팀은 일관된 제어를 적용하거나 어떤 서버가 민감한 자격 증명에 접근하는지 추적할 수 없습니다.
• 신종 공격 패턴: 도구 오염 및 섀도잉과 같은 의미적 공격은 시그니처 기반 도구를 완전히 우회하므로, 자연어 조작을 이해하는 컨텍스트 인식 모델이 필요합니다.
• 사고 대응 복잡성: 단일 침해가 여러 서비스를 동시에 영향을 미칩니다. 기존 플레이북은 단일 서비스 격리를 가정하지만, MCP 사고는 모든 통합 시스템에서 자격 증명 일괄 폐기와 아이덴티티, 엔드포인트 보안, 클라우드 보안 환경에 걸친 포렌식 분석이 필요합니다.

이러한 과제는 흔한 구현 실수로 이어집니다.

일반적인 MCP 보안 실수

보안 평가 결과, 조직이 MCP 배포를 효과적으로 보호하지 못하는 반복적 패턴이 드러납니다.

• 인증 없이 배포: 조직은 인증 메커니즘 없이 네트워크에서 접근 가능한 MCP 서버를 자주 배포합니다. MCP 보안 모범 사례에 따르면, 인증 없이 MCP 서버를 실행하는 것은 권장되지 않습니다. 공격자는 포트 스캐닝으로 노출된 서버를 발견하고, 자격 증명 없이 연결하여 전체 권한으로 임의 도구를 실행합니다.
• 불충분한 샌드박스 구현: 보안 침해 분석 결과, 디렉터리 격리 미흡이 문서화된 사고의 주요 원인으로 확인됩니다. 경로 검증 없이 파일 작업을 실행하는 MCP 서버는 경로 탐색 공격을 허용하여, 공격자가 데이터베이스 비밀번호, API 키, 클라우드 자격 증명이 포함된 구성 파일에 접근할 수 있습니다.
• 신뢰할 수 없는 서버 설치: 팀은 코드 리뷰나 보안 스캔 없이 신뢰할 수 없는 소스에서 MCP 서버를 설치합니다. 보안 연구원들은 자격 증명 수집을 수행하면서 합법적 도구로 위장한 악성 MCP 서버를 문서화했습니다. 조직은 또한, 배포 후 동작이 변경되는 러그 풀 공격을 모니터링하지 못합니다.
• 과도한 권한 스코프: MCP 보안 명세는 공격자가 로그 유출, 메모리 스크래핑, 로컬 가로채기를 통해 광범위 스코프(예: files:*, db:*, admin:*)를 가진 액세스 토큰을 획득할 수 있다고 경고합니다. 초기 권한 부여 시 모든 권한을 요청하는 MCP 서버는 기능 수준 권한 스코핑을 구현하지 못합니다.
• 불충분한 모니터링: Model Context Protocol 시스템의 제한된 텔레메트리는 조사에 어려움을 줍니다. 보안 로그에 중요한 세부 정보가 누락되면 공격 타임라인을 재구성할 수 없습니다. 모니터링에는 모든 작업 로깅, 인증 시도 추적, SIEM 통합이 포함되어야 합니다.

이러한 실수를 피하려면 확립된 보안 프레임워크를 따라야 합니다.

MCP 보안 모범 사례

기본 아키텍처 제어로 중앙 집중형 MCP 게이트웨이 아키텍처를 배포하십시오. 게이트웨이는 모든 MCP 통신을 프록시하여, 승인된 MCP 서버의 허용 목록 적용, 접근 제어 및 식별 중앙화, 모든 도구 호출 검사 기능을 제공합니다. 이 아키텍처 패턴은 조직이 모든 에이전트 워크플로우에 일관된 정책을 적용할 수 있는 단일 제어 지점을 제공합니다.

기능 수준의 세분화된 스코프 관리로 최소 권한 접근을 구현하십시오:

• 사용자 역할을 특정 도구 기능에 매핑
• 권한 요청을 인증 시 동적으로 검증
• 광범위 스코프 토큰 대신 기능 수준 권한 스코핑 사용
• 로그 유출, 메모리 스크래핑, 로컬 가로채기를 통한 토큰 탈취 방지

프로덕션 배포 전 MCP 서버 공급망 보안 제어를 확립하십시오. 승인 프로세스에는 모든 서버에 대한 정적 애플리케이션 보안 테스트 및 취약점 스캔, 서버 무결성의 암호학적 검증,  악성코드 및 숨겨진 악성 명령에 대한 패키지 스캔이 필요합니다. 특정 MCP 서버 버전을 고정하고 변경 시 관리자에게 알림을 제공합니다.

MCP 도구 오염 및 의미적 공격에 특화된 다계층 식별 파이프라인을 배포하십시오. 3단계 식별 접근법에는 명령 인젝션에 대한 패턴 기반 필터링, 도구 설명 내 의미적 공격에 대한 신경망 식별, 경계 사례에 대한 LLM 기반 중재가 포함됩니다.

SIEM 플랫폼과 통합된 감사 로깅을 구현하십시오. 로깅 인프라는 모든 도구 호출을 완전한 컨텍스트와 함께 캡처해야 합니다. 비정상적 도구 접근 시퀀스, 권한 상승 시도, 데이터 유출 지표 등 이상 패턴을 모니터링하십시오.

엔터프라이즈 금고를 통한 자격 증명 및 비밀 관리 보안을 강화하십시오. AWS Secrets Manager 또는 HashiCorp Vault를 통합하여 API 키 및 OAuth 자격 증명을 보호하십시오. 자동 교체 및 단기 토큰을 구현하십시오. 보안 토큰 금고를 배포하여 로그 유출 및 메모리 스크래핑을 방지하십시오.

전송 보안 및 네트워크 제어를 적용하십시오. TLS 1.2 이상 및 강력한 암호화 스위트 요구, 서버 간 통신을 위한 상호 TLS 구현, 적절한 방화벽 규칙이 적용된 전용 네트워크 세그먼트에 MCP 서버를 격리하십시오.

자율 정책 집행이 가능한 거버넌스 프레임워크를 구축하십시오. 공식 MCP 사용 정책은 데이터 분류 및 접근 제어 표준과 일치해야 합니다. 게이트웨이 수준의 자율 정책 집행, 신규 서버 배포 승인 워크플로우, 도구 접근 패턴에 대한 정기 보안 검토,  데이터 유출 방지 제어를 통해 MCP 통합을 통한 민감 정보 노출을 방지하십시오.

SentinelOne으로 MCP 공격 차단

Purple AI는 자연어 조사를 통해 의심스러운 MCP 활동을 탐지하고, MCP 이벤트를 보안 데이터 레이크 전반에서 수작업 대비 최대 80% 빠르게 상관 분석합니다. Purple AI에 "지난 24시간 동안 사용자 X가 호출한 모든 도구를 보여줘" 또는 "이 MCP 서버를 통해 노출된 자격 증명은 무엇인가?"와 같이 쿼리할 수 있습니다. SentinelOne의 Storyline 기술은 침해된 서버가 여러 서비스에 접근하고 무단 도구를 실행하는 전체 MCP 공격 체인을 재구성합니다. SentinelOne의 행위 기반 AI는 의미적 수준에서 동작하는 제로데이 위협 및 신종 공격 패턴을 탐지하여,  88% 적은 알림을 제공함으로써 효과적인 MCP 모니터링을 방해하는 알림 피로를 해소합니다.

MCP는 AI 도구와 엔터프라이즈 데이터 사이에 모니터링되지 않는 계층을 만듭니다. 이 거버넌스 과제를 해결하려면, 정책 집행을 위한 중앙 집중형 MCP 게이트웨이, 최소 권한 접근 제어, 공급망 보안 검토, 다계층 식별 파이프라인 등 심층 방어 보안 아키텍처가 필요합니다. 보안팀은 도구 수준의 기능별 권한 스코핑, 인증된 MCP 서버 연결, 중앙 집중식 감사 로그, 에이전트-도구 트래픽의 지속적 모니터링을 구현해야 합니다.

SentinelOne의 Singularity Data Lake는 OCSF(Open Cybersecurity Schema Framework) 표준을 사용하여 네이티브 및 타사 소스의 보안 데이터를 수집 및 정규화합니다. 위협 헌팅 워크플로우는 여러 플랫폼의 보안 이벤트를 상관 분석하여, 자격 증명 탈취, 권한 상승 시도, 비정상적 데이터 접근 시퀀스 등 행위 패턴 분석 및 이상 탐지를 통해 정교한 공격을 찾아냅니다.

SentinelOne 데모를 요청하여 자격 증명 집계로 인한 엔터프라이즈 전체 침해가 발생하기 전에 자율 보안이 MCP 공격을 어떻게 차단하는지 확인하십시오.

핵심 요약

MCP 보안은 AI 어시스턴트가 프로덕션 인프라에 접근함에 따라 엔터프라이즈 보안팀에 중요한 변곡점을 의미합니다. 프로토콜의 자격 증명 집계 아키텍처는 하나의 침해된 서버가 모든 통합 서비스의 OAuth 토큰을 노출하는 단일 실패 지점을 만듭니다. 조직은 심층 방어 제어(중앙 집중형 게이트웨이 아키텍처, 기능별 권한 스코핑, 공급망 검증, 패턴 기반 필터링과 행위 분석을 결합한 다계층 식별 파이프라인 등)를 구현하여 도구 오염 및 프롬프트 인젝션 공격을 차단해야 합니다.

보안팀은 즉각적인 조치를 우선시해야 합니다: 기존 MCP 배포 인벤토리화, 인증된 서버 연결 구현, 30일 이내 감사 로깅 구축. 90일 이내 게이트웨이 아키텍처 및 승인 워크플로우 배포, 180일 이내 포괄적 식별 및 거버넌스 프레임워크 구축. OWASP MCP Top 10은 위험 평가를 위한 업계 표준 프레임워크를 제공하며, SentinelOne과 같은 플랫폼은 행위 기반 AI, 교차 플랫폼 상관 분석, 자연어 조사를 통해 자격 증명 탈취로 인한 엔터프라이즈 전체 침해가 발생하기 전에 MCP 공격을 탐지 및 차단하는 데 필요한 역량을 제공합니다.