Anthropic, MCP 서버 취약점을 '기능'으로 오판... 20만 대 해킹 위험 노출 논란

기사 제공처 : 한국IT산업뉴스 / 등록기자: 강진교발행인 기자 [기자에게 문의하기] /

해당 기사에 관련하여 문의하기에 남겨주시면 "강진교발행인"기자에게 전송됩니다

이름

연락처

- -

이메일

MCP 서버의 보안 취약점 논란

AI 에이전트 통신 표준 MCP(Model Context Protocol)를 개발한 Anthropic이 자사 표준을 사용하는 20만 대의 MCP 서버에서 심각한 명령 실행 취약점을 발견했으나, 이를 초기에 '기능(feature)'으로 잘못 판단해 대응이 지연되면서 논란을 낳았다. 벤처비트(VentureBeat)는 이 취약점이 OX Security의 연구원 4명에 의해 발견되었으며, Anthropic의 초기 오판으로 수십만 대의 서버가 해킹 위험에 무방비로 노출되었다고 보도했다. 이번 사건은 AI 표준 보안의 허점을 드러낸 대표적 사례로, AI 시스템 설계 단계부터 보안을 최우선으로 고려해야 한다는 목소리를 높이고 있다.

MCP는 AI 에이전트가 다양한 외부 도구 및 데이터 소스와 원활하게 상호작용할 수 있도록 설계된 개방형 표준 프로토콜이다. Anthropic은 2025년 12월 이 표준을 리눅스 재단에 기부했으며, 이후 OpenAI와 Google DeepMind 등 주요 AI 기업들이 잇따라 채택하면서 다운로드 수가 1억 5천만 건을 넘어섰다.

MCP는 AI 에이전트가 파일 시스템, 데이터베이스, 웹 API 등 다양한 도구를 통합 관리할 수 있도록 지원하며, 이를 통해 AI 시스템의 확장성과 상호 운용성을 크게 향상시켰다는 평가를 받았다. 그러나 이번 보안 취약점 발견으로 MCP의 설계 철학과 보안 검증 절차에 대한 의문이 제기되고 있다.

문제의 핵심은 MCP의 설계 구조에 있었다. MCP는 AI 에이전트가 외부 도구를 실행할 때 표준 입출력(stdio)을 통해 데이터를 주고받는 방식을 채택했는데, 이 과정에서 입력 데이터에 대한 적절한 검증과 필터링이 이루어지지 않았다.

OX Security 연구진은 이 허점을 이용해 악성 코드를 삽입하고, 원격으로 서버를 제어하며 민감한 정보를 탈취할 수 있음을 실증적으로 입증했다. 연구진은 특히 Anthropic이 이 취약점을 보고받은 후에도 '이는 설계상 의도된 기능(feature)'이라고 답변하며 초기 대응을 지연시킨 점을 강하게 비판했다. 보안 전문가들은 이러한 오판이 수십만 대의 서버를 잠재적 공격에 노출시켰으며, AI 시스템 보안에 대한 Anthropic의 인식 부족을 드러낸 것이라고 지적했다.

Anthropics의 초기 대응은 논란을 더욱 키웠다. OX Security 연구진이 취약점을 보고한 시점부터 Anthropic이 이를 심각한 보안 문제로 인지하고 패치 배포를 결정하기까지 상당한 시간이 소요되었다. 이 기간 동안 MCP를 채택한 수많은 서버가 공격에 노출될 수 있었고, 실제로 일부 서버에서는 악성 코드 삽입 시도가 감지되었다는 비공식 보고도 있었다.

Anthropic은 뒤늦게 문제의 심각성을 인정하고 긴급 패치를 배포하기 시작했으나, 이미 20만 대 이상의 서버가 잠재적 위협에 노출된 상태였다. 업계 일각에서는 Anthropic이 보안보다 기능 확장과 시장 점유율 확대에 우선순위를 두었다는 비판도 제기되고 있다. 이번 사건이 AI 업계에 던진 교훈은 명확하다.

AI 시스템의 복잡성이 증가할수록 보안 취약점이 발생할 가능성도 함께 높아진다는 점이다. 특히 MCP처럼 여러 AI 시스템과 도구를 연결하는 표준 프로토콜의 경우, 하나의 취약점이 전체 생태계에 연쇄적인 보안 위협을 초래할 수 있다.

전문가들은 AI 표준 및 프로토콜 개발 초기 단계부터 보안을 최우선 고려 사항으로 설정하고, 독립적인 외부 보안 감사를 정기적으로 실시해야 한다고 강조했다.

또한 취약점이 발견되었을 때 이를 '기능'으로 치부하며 대응을 지연시키는 관행은 반드시 근절되어야 한다고 지적했다. OX Security 연구진은 이번 취약점 발견 과정에서 몇 가지 중요한 기술적 세부 사항을 공개했다. 연구진에 따르면, MCP 서버는 AI 에이전트로부터 받은 명령을 stdio를 통해 그대로 실행하는 구조를 가지고 있었으며, 이 과정에서 입력 데이터에 대한 샌드박싱(sandboxing)이나 화이트리스트 검증이 전혀 이루어지지 않았다.

공격자는 이를 악용해 셸 명령을 주입하거나, 서버의 파일 시스템에 접근하거나, 심지어 서버를 완전히 장악할 수 있었다. 연구진은 개념 증명(PoC) 공격을 통해 원격 서버에서 임의의 코드를 실행하고, 민감한 환경 변수와 인증 토큰을 탈취하는 데 성공했다고 밝혔다.

이번 사건은 AI 윤리와 책임 있는 AI 개발에 대한 논의를 다시 촉발시켰다. Anthropic은 AI 안전성(AI safety)을 강조하는 기업으로 알려져 왔으나, 정작 자사가 개발한 표준에서 기본적인 보안 검증조차 제대로 수행하지 않았다는 점에서 비판을 피할 수 없게 되었다. 일부 전문가들은 AI 기업들이 '안전한 AI'를 표방하면서도 실제로는 시장 선점과 기능 경쟁에만 집중하고 있다고 지적했다.

AI 시스템이 사회 전반에 깊숙이 침투하고 있는 상황에서, 보안과 안전성을 간과한 채 빠른 배포에만 치중하는 관행은 심각한 사회적 위험을 초래할 수 있다는 경고도 나왔다. MCP를 채택한 다른 AI 기업들도 이번 사건의 여파를 피할 수 없을 전망이다.

OpenAI와 Google DeepMind는 즉각 자사 시스템에 대한 긴급 보안 점검을 실시했으며, MCP 기반 서비스에 대한 임시 사용 제한 조치를 취했다. 업계 관계자들은 이번 사건이 AI 표준 채택 과정에서 보안 검증을 필수 절차로 만드는 계기가 될 것이라고 전망했다. 또한 오픈소스 AI 프로젝트와 표준 개발 과정에서 독립적인 보안 전문가 그룹의 참여를 의무화해야 한다는 목소리도 높아지고 있다.

전문가들의 주장과 비판

한국 AI 업계도 이번 사건에서 자유로울 수 없다. 국내 AI 스타트업과 대기업들 중 상당수가 MCP를 활용한 서비스 개발을 검토하거나 이미 도입한 상태였기 때문이다. 과학기술정보통신부는 국내 AI 서비스 사업자들에게 긴급 보안 점검을 권고했으며, 한국인터넷진흥원(KISA)은 MCP 관련 보안 가이드라인을 마련 중이라고 밝혔다.

국내 보안 전문가들은 글로벌 AI 표준을 무비판적으로 수용하기보다는, 국내 환경에 맞는 독자적인 보안 검증 체계를 구축해야 한다고 강조했다. 기술적 측면에서 이번 취약점의 해결 방안도 논의되고 있다. 보안 전문가들은 MCP 서버에 입력 검증 레이어를 추가하고, 명령 실행 전 샌드박스 환경에서 사전 검증을 수행하며, 화이트리스트 기반의 명령 필터링을 도입해야 한다고 제안했다.

또한 AI 에이전트와 외부 도구 간의 통신 과정에서 최소 권한 원칙(principle of least privilege)을 적용하고, 모든 입출력 데이터를 로깅하여 사후 감사가 가능하도록 해야 한다고 권고했다. Anthropic은 긴급 패치에서 이러한 보안 조치 중 일부를 적용했으나, 근본적인 설계 개선은 시간이 더 필요할 것으로 보인다.

이번 사건은 AI 시스템의 공급망 보안(supply chain security) 문제도 부각시켰다. MCP처럼 여러 기업과 서비스가 공통으로 사용하는 표준이나 라이브러리에서 취약점이 발견될 경우, 그 파급 효과는 단일 기업의 문제를 넘어 전체 생태계를 위협할 수 있다.

전문가들은 AI 공급망 보안을 강화하기 위해 의존성 관리 도구를 활용하고, 정기적인 보안 감사를 실시하며, 취약점 공개 및 패치 프로세스를 투명하게 운영해야 한다고 제안했다. 또한 AI 표준 개발 과정에서 보안 전문가와 AI 개발자 간의 협업을 강화하고, 보안 설계 원칙을 초기 단계부터 반영해야 한다고 강조했다.

Anthropics는 이번 사건 이후 공식 성명을 통해 "보안을 최우선 과제로 인식하고 있으며, 초기 대응 과정에서의 오판을 깊이 반성하고 있다"고 밝혔다. 또한 "외부 보안 전문가 그룹과 협력하여 MCP의 보안 구조를 전면 재검토하고, 유사한 문제가 재발하지 않도록 내부 프로세스를 개선하겠다"고 약속했다.

그러나 업계 일각에서는 이러한 사후 대응만으로는 부족하며, AI 기업들이 보안을 단순한 기술적 과제가 아닌 기업 경영의 핵심 가치로 인식해야 한다는 비판이 이어지고 있다. 장기적으로 이번 사건은 AI 산업의 성숙도를 가늠하는 시금석이 될 전망이다.

AI 기술이 빠르게 발전하고 있지만, 보안과 안전성에 대한 고려가 뒤따르지 못한다면 사회적 신뢰를 얻기 어렵다. 전문가들은 AI 기업들이 단기적인 시장 경쟁보다는 장기적인 신뢰 구축에 집중해야 하며, 이를 위해 보안 투자를 확대하고 투명한 커뮤니케이션을 유지해야 한다고 조언했다.

또한 정부와 규제 기관도 AI 보안 기준을 마련하고, 이를 준수하지 않는 기업에 대한 제재를 강화해야 한다는 목소리도 나오고 있다. 결국 Anthropic의 MCP 서버 취약점 사건은 AI 시대의 보안이 단순한 기술적 문제를 넘어 산업 전체의 지속 가능성과 직결된 핵심 과제임을 분명히 보여주었다.

'기능'과 '취약점'을 구분하지 못한 초기 오판, 20만 대 서버의 무방비 노출, 그리고 뒤늦은 대응은 AI 기업들이 보안에 대한 인식과 대응 체계를 근본적으로 재정비해야 함을 시사한다. 이번 사건을 계기로 AI 산업이 진정한 안전성과 신뢰성을 갖춘 방향으로 진화할 수 있을지 귀추가 주목된다.

FAQ

향후 대응 및 AI 보안의 중요성

Q. Anthropic은 왜 MCP 서버 취약점을 '기능'으로 오판했는가? A.

Anthropic은 MCP의 표준 입출력(stdio) 방식을 의도된 설계로 간주했으나, 입력 데이터 검증 부재로 인한 보안 위험을 초기에 인식하지 못했다. 이는 기능 개발에 집중한 나머지 보안 검증을 소홀히 한 결과로 분석된다. Q.

MCP 취약점으로 인한 실제 피해 사례가 확인되었는가? A.

공식적으로 확인된 대규모 피해 사례는 보고되지 않았으나, 일부 서버에서 악성 코드 삽입 시도가 감지되었다는 비공식 보고가 있었다. Anthropic의 긴급 패치 배포로 추가 피해는 차단된 것으로 보인다.

Q. 국내 AI 서비스 사용자는 어떤 조치를 취해야 하는가?

A. MCP 기반 AI 서비스를 사용 중인 경우 최신 보안 패치 적용 여부를 확인하고, 서비스 제공 기업의 보안 공지를 주시해야 한다. 민감한 정보를 다루는 경우 임시 사용 중단도 고려할 필요가 있다.