모델 컨텍스트 프로토콜: 보안 위험 및 완화

AI 채택은 빠르게 진행되고 있으며, 파일럿 프로젝트에서 인프라 수준의 일상적 실무로 전환되고 있습니다. 예산 곡선은 이러한 변화를 반영합니다. Gartner는 기대하고 있습니다 2026년 전 세계 AI 지출이 $2.52T에 도달할 것으로 예상되며, 이는 44% 연간 증가율을 나타냅니다. 동시에, 2026년 AI 사이버 보안 지출은 90% 이상 증가할 것으로 예상되어 AI가 비즈니스 운영에 깊이 통합될수록 공격 표면도 더 커진다는 명확한 신호입니다.

조직이 LLM을 운영화함에 따라, 실제 도전 과제는 대응 품질에서 안전한 실행으로 이동합니다. 이제 모델이 할 일을 설명하는 것만으로는 충분하지 않습니다. 많은 환경에서 가치는 행동을 취하고, 적절한 컨텍스트를 가져오고, 작업이 일어나는 시스템과 상호 작용하는 데에서 나옵니다. 여기에는 코드 저장소, 티켓팅 플랫폼, SaaS 도구, 데이터베이스 및 내부 서비스가 포함됩니다.

모델 컨텍스트 프로토콜 이전에는 모든 도구 통합이 모든 장치에 대해 다른 맞춤형 케이블을 구축하는 듯했고, 각 LLM 공급업체가 약간 다른 플러그를 사용한다는 것을 발견했습니다. MCP는 커넥터와 메시지 형식을 표준화합니다. 따라서 도구는 한번 능력을 노출하고 여러 모델이 이를 일관되게 사용할 수 있습니다. 결과적으로 개발 속도가 빨라지고, 맞춤형 통합이 줄어들고, 채택이 생태계 전반에 걸쳐 확산됨에 따라 장기적인 유지보수가 감소합니다.

이러한 변화는 사이버보안 특화 AI 어시스턴트에서 이미 뚜렷하게 나타나고 있습니다. 예를 들어, SOC Prime의 Uncoder AI는 MCP 도구를 기반으로 구동되며, LLM을 맥락을 이해하는 사이버보안 코파일럿으로 전환해 더 쉬운 통합, 벤더 유연성, 사전 구축된 커넥션, 그리고 보다 통제된 데이터 처리 방식을 지원합니다. 예를 들어, MCP는 Threat Detection Marketplace 전반에 걸쳐 시맨틱 검색을 가능하게 해 특정 로그 소스나 위협 유형에 대한 룰을 빠르게 찾을 수 있도록 하며, 수작업 검색 시간을 줄여줍니다. 이러한 모든 기능은 프라이버시 및 보안을 핵심에 두고 설계되었습니다.

그러나 일반적으로 MCP가 에이전트와 중요한 시스템 사이의 공통 경로가 되면 모든 서버, 커넥터, 권한 범위가 보안에 관련됩니다. 과도한 토큰, 약한 분리 및 불완전한 감사 기록은 편의를 데이터 노출, 의도하지 않은 작업 또는 횡적 이동으로 바꿀 수 있습니다.

이 가이드는 MCP의 작동 방식을 설명한 후 실용적인 보안 위험과 완화책에 중점을 둡니다.

MCP란 무엇입니까?

Model Context Protocol은 2024년 11월 Anthropic이 공개하고 오픈 소스로 배포한 이후, AI 에이전트와 이들이 의존하는 도구, API, 데이터 사이를 연결하는 커넥티브 레이어로서 빠르게 주목을 받으며 확산되고 있습니다.

MCP의 핵심은 LLM을 구동하는 애플리케이션이 외부 시스템과 일관되고 통제된 방식으로 통신할 수 있는 표준화된 방법입니다. 이는 AI 어시스턴트가 정적인 훈련 시간 지식을 넘어 신선한 컨텍스트를 검색하고 승인된 인터페이스를 통해 행동을 수행할 수 있게 합니다. 실제 결과는 실제 운영 데이터를 활용할 수 있기 때문에 더 정확하고 유용한 AI 에이전트입니다.

핵심 구성 요소

Model Context Protocol 아키텍처는 LLM이 외부 기능을 탐색하고, 적절한 컨텍스트를 가져오며, 연결된 시스템과 구조화된 요청 및 응답을 주고받는 방식을 조율하는 간단한 구성 요소 세트를 중심으로 설계되었습니다.

• MCP 호스트. LLM이 실행되는 환경입니다. AI 구동 IDE나 제품에 내장된 대화 인터페이스가 예입니다. 호스트는 사용자 세션을 관리하고 외부 컨텍스트나 작업이 필요할 때를 결정합니다.
• MCP 클라이언트. 프로토콜 통신을 처리하는 호스트 내의 구성 요소입니다. MCP 서버를 발견하고, 사용 가능한 기능에 대한 메타데이터를 요청하고, 모델의 의도를 구조화된 요청으로 번역합니다. 또한 응답을 애플리케이션이 사용할 수 있는 형태로 다시 호스트에 반환합니다.
• MCP 서버. 맥락과 능력을 제공하는 외부 서비스입니다. 내부 데이터 소스, SaaS 플랫폼, 전문적인 보안 도구 또는 독점 워크플로에 접근할 수 있습니다. 이곳이 보통 조직들이 시스템 특정 권한 부여, 데이터 필터링, 운영 가드레일을 시행하는 곳입니다.
  
  

레이어

• 데이터 레이어. 이 내부 레이어는 JSON-RPC 프로토콜을 기반으로 하며 클라이언트-서버 통신을 처리합니다. 생명주기 관리와 MCP가 노출하는 핵심 기본 요소를 포괄하며, 여기에는 도구, 자원, 프롬프트 및 알림이 포함됩니다.
• 운송 레이어. 이 외부 레이어는 메시지가 클라이언트와 서버 사이에 어떻게 이동하는지를 정의합니다. 운송 전용 연결 설정, 메시지 프레이밍 및 권한 부여를 포함한 통신 메커니즘과 채널을 명시합니다.
  
  

개념적으로 데이터 레이어는 계약과 의미를 제공하고, 운송 레이어는 안전한 교환을 위한 연결성 및 집행 경로를 제공합니다.

MCP는 어떻게 작동합니까?

MCP는 LLM과 에이전트가 사용할 외부 시스템 사이에 위치합니다. 모델이 데이터베이스, SaaS 애플리케이션 또는 내부 서비스에 직접 접근하게 하는 대신, MCP는 승인된 기능을 도구로 노출하고 이를 호출하는 표준 방법을 제공합니다. LLM은 요청을 이해하고 다음에 무엇을 할지를 결정하는데 중점을 둡니다. MCP는 도구 검색, 실행 및 결과를 예측 가능한 형식으로 반환하는 작업을 처리합니다.

일반적인 흐름은 아래와 같을 수 있습니다:

• 사용자가 질문을 하거나 작업을 지시합니다. 권유문이 MCP 호스트라고도 불리는 AI 애플리케이션에 도착합니다.
• 도구 검색. MCP 클라이언트는 이 세션에 사용 가능한 도구가 무엇인지 확인하기 위해 하나 이상의 MCP 서버를 점검합니다.
• 컨텍스트 주입. MCP는 관련 도구 세부 정보를 프롬프트에 추가하여 LLM이 사용할 수 있는 도구와 호출 방법을 알게 합니다.
• 도구 호출 생성. LLM은 기본적으로 매개변수가 있는 함수 호출인 구조화된 도구 요청을 작성합니다.
• 다운스트림 서비스에서의 실행. MCP 서버는 요청을 받고 대개 REST와 같은 API를 통해 대상 시스템에서 실행합니다.
• 결과 반환 및 활용. 출력은 AI 애플리케이션으로 돌아옵니다. LLM은 이를 이용해 다른 요청을 하거나 최종 응답을 작성할 수 있습니다.
  
  

그것이 Uncoder AI에서어떻게 작동하는지에 대한 간단한 예입니다. 사용자가 “Windows 보안 로그와 함께 작동하는 자격 증명 덤핑 탐지를 찾으십시오.”라고 요청합니다.”

• LLM은 자체 지식만을 사용하는 것이 아니라 탐지 라이브러리에 접근할 필요가 있음을 인식합니다.
• MCP를 통해 Uncoder AI는 SOC Prime의 위협 탐지 마켓플레이스와 연결된 관련 탐지 검색 도구를 호출합니다.
• MCP 서버는 검색을 실행하고 일치하는 탐지 목록을 반환합니다.
• Uncoder AI는 결과를 검토하고 다섯 개의 탐지 규칙으로 깔끔한 요약 목록을 답변합니다.

MCP 위험 및 취약점

모델 컨텍스트 프로토콜은 LLM을 도구, API 및 운영 데이터에 연결하여 할 수 있는 일을 확장합니다. 그 기능은 가치이지만, 또한 위험이기도 합니다. 한 번 어시스턴트가 내부 컨텍스트를 검색하고 연결된 서비스를 통해 행동을 트리거할 수 있게 되면 MCP는 제어 평면의 일부가 됩니다. 보안자세는 모델만으로 정의되는 것이 아니라 신뢰하는 서버, 부여하는 권한 및 도구 사용에 대해 강제하는 가드레일에 의해 정의됩니다.

주요 MCP 보안 사항

MCP 서버는 호스트와 넓은 범위의 외부 시스템, 때로는 신뢰할 수 없거나 위험한 시스템 사이의 접착제로 역할을 합니다. 노출을 이해하려면 서버 경계의 양쪽에 어떤 것이 있는지, 어떤 LLM 호스트 및 클라이언트가 호출하고 있는지, 서버가 어떻게 구성되어 있는지, 어떤 서드파티 서버가 활성화되어 있는지, 그리고 모델이 실제로 어떤 도구를 호출할 수 있는지에 대한 가시성이 필요합니다.

• 혼동된 대리 문제. MCP 서버가 사용자보다 넓은 권한으로 작용할 수 있다면 사용자가 허용되지 않은 작업을 실행할 수 있습니다. 안전한 패턴은 서버가 사용자 대신 명시적인 동의와 최소 권한 영역으로 행동하는 것이며, 포괄적인 서비스 아이덴티티로 행동하지 않는 것입니다.
• 토큰 전달. 고객 토큰을 적절한 검증 없이 하위 API로 전달하는 것은 신뢰 경계를 깨트리고 청중 통제를 무효화할 수 있습니다. MCP 가이드는 이를 고위험 반패턴으로 취급하며, 이는 인증을 모호하게 하고 감사하기 어렵게 만듭니다.
• 세션 하이재킹 및 이벤트 주입. 세션 식별자가 훔쳐지거나 공격자에 의해 재생되거나 다시 시작될 수 있다면 상태 유지 연결이 악용될 수 있습니다. 툴 호출이 단일 요청이 아니라 시퀀스가 되기 때문에 보안 세션 처리가 중요합니다. 공격자는 그 체인의 가장 약한 고리를 겨냥합니다.
• 로컬 MCP 서버 타협. 로컬 서버는 강력할 수 있으며, 그 힘은 양면성을 가집니다. 위험에는 승인되지 않은 코드 실행, 안전하지 않은 시작 동작, 다른 사이트나 프로세스가 접근할 수 있는 로컬 서비스 노출 등이 포함됩니다. 로컬 배포는 샌드박스화, 엄격한 바인딩 및 안전한 기본값이 필요합니다.
• 범위 최소화 실패. 과도한 범위는 폭발 반경을 증가시키고 거버넌스를 약화시킵니다. 규격은 많은 작업을 위해 단일 범위를 오버로드하거나 과도한 범위 지원을 광고하는 등 범위 설계 함정을 강조합니다. 최소 권한 범위와 읽기 및 쓰기 기능의 명확한 분리는 필수적입니다.
  
  

많은 MCP 위험은 익숙한 보안 기본 원칙에 매핑됩니다. 따라서 MCP 서버는 다른 통합 표면처럼 취급되어야 합니다. 조직은 공급망 통제를 적용하고, 코드 및 종속성을 스캔하며, 버전을 고정하고, 릴리스 전에 변경사항을 검토해야 합니다. 또한 강력한 인증과 권한 부여, 비율 제한, 안전한 기본값으로 엔드포인트를 강화하는 것이 중요합니다. 이러한 관행은 예방 가능한 실패의 많은 부분을 제거합니다.

MCP 규격은 보안 최선의 실천사항목록을 제공하며, 일반적인 공격 패턴 및 MCP 호스트, 클라이언트 및 서버를 구축하거나 운영할 때 적용할 수 있는 실용적인 완화책을 제공합니다.

주요 MCP 보안 위험

목록을 실행 가능하게 만들기 위해 MCP 위협을 실제 배포에서 수비수가 가장 자주 보는 일반적인 위험 패턴으로 그룹화하는 것이 도움이 됩니다.

프롬프트 주입

공격자는 어시스턴트를 위험한 도구 사용이나 민감한 데이터 누출로 밀어 넣는 입력을 조작합니다.

완화 팁: 도구 액세스를 제한하고, 호출 정책을 시행하며, 비정상적인 패턴에 대한 도구 사용을 모니터링하세요.

간접 프롬프트 주입

적대적인 지시가 검색된 콘텐츠를 통해 도착하여 신뢰된 의도로 처리될 수 있습니다.

완화 팁: 비신뢰 콘텐츠를 분리하고, 이를 정화하며, 외부 데이터에서 발견된 지침을 기반으로 도구가 호출되지 않도록 하세요.

도구 중독

도구 설명, 매개변수 또는 기본값이 모델 결정을 유도하도록 조작될 수 있습니다.

완화 팁: 도구 메타데이터를 신뢰할 수 없는 입력으로 취급하고, 코드처럼 도구 정의를 검토하며, 업데이트 전에 무결성 확인을 요구하세요.

도구 그림자 및 도구 이름 충돌

유사한 도구가 정당한 도구로 가장하고 요청을 수집할 수 있습니다.

완화 팁: 승인된 서버와 도구의 허용 목록을 유지하고, 도구의 신원을 검증할 수 없을 때 닫는 상태로 변경하세요.

혼동된 대리 권한 실패

서버가 사용자에 묶인 권한이 아니라 자신의 넓은 권한을 사용하여 작업을 실행합니다.

완화 팁: 명시적 동의를 사용하고, 사용자에 묶인 범위를 시행하며, MCP 권한 안내서에 요구된 대로 토큰을 검증하세요.

토큰 전달 및 약한 토큰 검증

토큰 전달이나 적절한 청중 검증 없이 토큰을 수락하는 것은 인증을 약화시킵니다.

완화 팁: 전달을 금지하고, 토큰 청중을 검증하며, HTTP 전송에 정의된 OAuth 기반 흐름을 따르세요.

세션 하이재킹

공격자는 재개 가능한 세션이나 도난된 식별자를 악용하여 이벤트를 삽입하거나 클라이언트를 가장할 수 있습니다.

완화 팁: 세션을 원활히 연결하고, 식별자를 회전시키며, 시간 초과를 적용하고, 재회 및 이상 현상을 기록하세요.

로컬 서버 타협

로컬 MCP 서버는 파일에 접근하거나 명령을 실행하거나 격리되지 않은 경우 다른 리소스로 피벗할 수 있습니다.

완화 팁: 로컬 서버를 샌드박싱하고, OS 권한을 최소화하며, 파일 시스템 접근을 제한하고, 필요한 것 외에 로컬 서비스를 노출하지 않도록 하세요.

과도한 범위 및 권한 점진

과도한 범위는 의도치 않은 접근을 만들고, 권한은 시간이 지남에 따라 축적됩니다.

완화 팁: 읽기 및 쓰기 도구를 분리하고, 범위를 정기적으로 검토하며, 범위 집합을 최소화하고 작업별로 설정하세요.

감사 불가능 및 약한 사건 대응

프롬프트, 도구 호출, 토큰, 하위 작업을 상관시킬 수 없다면 조사가 추측이 됩니다.

완화 팁: 로그를 중앙 집중화하고, 상관 ID를 첨부하며, SIEM 친화적 형식으로 도구 호출 의도, 매개변수 및 결과를 기록하세요.

실질적인 수확은 MCP가 고충격 통합 계층처럼 보장되어야 한다는 것입니다. 도구 출력을 신뢰할 수 없는 것으로 간주하고, 권한을 최소화하며, 강력한 신원 및 권한을 시행하고, 프롬프트를 도구 호출 및 하위 작업과 연결할 수 있는 모니터링에 초기에 투자하세요.

SOC Prime은 고객을 보호하고 SOC 프라임 플랫폼 및 AI 기반 기능의 신뢰할 수 있는 운영을 보장하기 위해 수립된 보안 및 개인 정보 보호 최선의 실천 사항을 따릅니다. 또한 SOC 프라임 팀은 독립적이고 오픈 소스화된 AI/DR 바스천 시스템을 개발했으며, 이는 악의적인 프롬프트, 주입 공격 및 유해한 콘텐츠로부터 보호하도록 설계된 종합적인 GenAI 보호 시스템입니다. 시스템은 GenAI 애플리케이션에 도달하기 전에 사용자 입력을 분석하고 분류하기 위해 순차적으로 작동하는 여러 탐지 엔진을 결합합니다.

더욱이 SOC 프라임 플랫폼은 AIDEFEND (Artificial Intelligence Defense Framework)와의 통합을 지원하며, 이는 AI/ML 위협에 대한 방어적 대응책의 오픈 에 이케 비중 Uncoder AI에서인 AI 포커스 지식 기반입니다. 이 AIDEFEND-네이티브 MCP는 이 지식을 즉시 실행 가능하게 만듭니다. 보안 전문가는 특정 위협에 대한 방어책을 요청하고, 세부적인 기술 가이드를 가져오거나, 빠른 체크리스트를 생성하거나, 연구 오버헤드를 줄이고 제어를 구현하기 위한 안전한 코드 조각을 추출할 수 있습니다.

MCP 보안의 미래는 무엇입니까?

MCP에 대한 보안 우려는 타당하지만, 표준화는 또한 통제를 개선할 큰 기회를 제공합니다. MCP 채택이 증가함에 따라 조직은 모델 및 하위 시스템마다 다른 맞춤형 통합을 보장하는 대신 동일한 정책과 모니터링을 도구 사용 전반에 적용할 수 있는 보다 일관된 보안 표면을 얻게 됩니다.

앞으로 MCP 보안은 몇 가지 예측 가능한 방향으로 성숙해질 것입니다.

• MCP 빌딩 블록 보안 확보. MCP 보안은 에이전트가 무엇을 할 수 있는지를 정의하는 프로토콜 기본 요소에 점점 더 집중하게 될 것입니다. 도구는 실행 가능한 함수이며, 엄격한 권한과 명확한 실행 규칙이 필요합니다. 자원은 데이터 컨테이너 역할을 하며 누출과 중독을 줄이기 위한 접근 통제와 검증이 필요합니다. 프롬프트는 행동에 영향을 미치며 주입 및 무단 수정으로부터 AI/DR 바스천과 같은 솔루션으로 보호되어야 합니다.
• 원격 MCP를 위한 ID 필적 추가. 모든 네트워크화된 MCP 서버에 대해서는 인증이 기본 요구 사항으로 취급되어야 합니다. 팀은 누가 전화를 걸고 있는지, 무엇을 허용하는지, 어떤 동의가 부여되었는지를 명확하게 답할 수 있는 신원 모델이 필요합니다. 이는 명세에서 강조된 일반적인 실패, 예를 들어 혼동된 대리업무 행위 및 위험한 토큰 처리 패턴을 방지하는 데도 도움이 됩니다.
• 전체 컨텍스트를 사용한 정책 시행. 허용 목록은 유용하지만, 에이전트 워크플로는 더 풍부한 가드레일이 필요합니다. 프롬프트, 사용자, 선택된 도구, 도구 매개변수 및 대상 시스템이 모두 허용할 것을 영향받아야 합니다. 이 컨텍스트를 통해 위험한 작업을 제한하고, 민감한 데이터 검색을 제한하고, 안전하지 않은 매개변수 패턴을 차단하고, 위험 수준이 높은 경우 추가 검사를 요구할 수 있습니다.
• 모니터링을 핵심 통제로 취급. 에이전트가 작업을 연결할 때 조사는 행동을 끝까지 추적할 수 있는 능력에 의존합니다. 실용적인 기준선은 프롬프트, 도구 선택, 도구 입력, 도구 출력 및 하위 요청을 상관시키는 로깅입니다. 그 링크 없이는 작업을 감사하거나 문제가 발생할 때 빠르게 응답하기 어렵습니다.
• 고충격 작업을 위한 승인 게이트 추가. 생성, 수정, 삭제, 지불 또는 권한 상승을 일으키는 작업에 대해서는 인간 리뷰가 중요합니다. 성숙한 MCP 배포는 사용자가 결정을 확인할 때까지 실행을 일시 중지하는 명시적인 승인 단계를 추가할 것입니다. 이는 악의적인 프롬프트 및 우발적인 도구 오용으로 인한 공격 표면을 줄입니다.
• 서버 검증 및 업데이트 제어. 생태계가 확장됨에 따라 신뢰와 출처는 필수가 됩니다. 조직은 승인된 MCP 서버, 제어된 온보딩 및 업데이트를 위한 엄격한 변경 관리에 점점 더 의존하게 될 것입니다. MCP 서버가 실행 가능한 코드이기 때문에 버전 고정, 무결성 확인 및 종속성 스캔이 중요하며, 도구 행동은 시간이 지나도 변할 수 있으며, 인터페이스가 안정적으로 보일지라도 그렇습니다.
• 기본 사항을 중심에 놓기. MCP 전용 제어 수단이 있더라도 가장 일반적인 보안 실천 사항은 여전히 기본 사항입니다. 최소 권한, 명확한 범위, 안전한 세션 처리, 강력한 인증, 강화된 엔드포인트 및 완전한 감사 로깅은 현실 세계의 위험의 많은 부분을 제거합니다. MCP 보안 최선의 실천 사항 목록을 상시 검사 목록으로 사용하고, 환경과 위험 감수 수준에 따라 통제를 추가하세요.
  
  

MCP가 더 많은 어시스턴트와 도구에 확산되면 보안은 유용한 공동 파일럿과 통제되지 않은 자동화 엔진 사이의 차이가 됩니다. 가장 안전한 경로는 간단합니다: MCP를 특권 인프라로 취급하고, 권한을 조일 것이며, 모든 도구 호출을 가시적이고 추적 가능하게 유지하세요. 그것만 잘하면, MCP는 속도를 위험으로 바꾸지 않고 에이전트 워크플로를 자신 있게 확장할 수 있습니다.