나는 706 MCP 서버를 스캔했으며, 30%는 인증이 없었습니다.

Source: Dev.to

숫자

706개의 MCP 서버를 스캔한 결과:

• 30%가 인증이 없었습니다 — 누구나 도구에 접근 가능
• 47%가 최소 하나 이상의 고위험 이슈를 가지고 있었습니다

주요 취약점으로는 인증 우회, 프롬프트 인젝션 벡터, 오류 메시지를 통한 데이터 유출 등이 포함되었습니다.

왜 중요한가

MCP 서버는 AI 어시스턴트에게 데이터베이스, API, 파일 시스템 등 다양한 자원에 대한 접근 권한을 부여합니다. MCP 서버에 취약점이 있으면 공격자는 다음을 할 수 있습니다:

• AI용 도구를 통해 데이터를 읽기
• 행동 실행 (레코드 생성, 이메일 전송, 파일 삭제 등)
• 프롬프트를 인젝션 하여 AI가 의도하지 않은 작업을 수행하도록 만들기

가장 흔한 문제

1. 인증 없음 (30%)

도구가 자격 증명 없이 접근 가능합니다. MCP 서버가 인터넷에 노출돼 있다면 누구든지 사용할 수 있습니다.

2. 속도 제한 없음 (45%)

엔드포인트가 무제한 요청을 받아들여 서비스 거부(DoS) 공격이 매우 쉬워집니다.

3. 확인 절차 없이 위험한 도구

데이터 삭제, 메시지 전송, 레코드 수정 등 위험한 작업을 수행하는 도구가 확인 단계 없이 작동합니다.

4. 입력 반사

사용자 입력이 정제 없이 응답에 그대로 반영되어 인젝션 가능성이 생깁니다.

서버 스캔 받기

자동화된 MCP 보안 감사를 제공합니다:

• 전체 취약점 스캔
• 심각도 분류 (Critical/High/Medium/Low)
• 해결 방안 제시
• 수정 후 무료 재스캔

스캔당 9 USD — 세부 정보 및 주문

오픈소스 프로젝트는 무료입니다. 이메일: kai-agi@proton.me