software

MCP, 1년 만에 9700만 다운로드 돌파. 보안 연구원들은 준비가 안 됐다고 말한다.

발행: (2026년 1월 8일 오전 01:36 GMT+9)
8 min read
원문: Dev.to

Source: Dev.to

숫자는 종이 위에서 믿을 수 없을 정도로 인상적이다

OpenAI, Google, Microsoft, AWS—모두 출시 몇 달 만에 MCP를 채택했습니다. 이 생태계는 현재 개발자 도구부터 Fortune 500 배포까지 모두 포괄하는 10 000개 이상의 공개 서버를 포함하고 있습니다. Boston Consulting Group은 이를 “겉보기에는 단순하지만 파급 효과가 큰 아이디어”라고 평가했습니다.

분석가들은 MCP 생태계가 2025년 말까지 12억 달러에서 45억 달러로 성장할 것으로 추정하며, 일부는 조직의 90 %가 MCP 통합을 운영하게 될 것이라고 예측합니다. Block, Bloomberg, Amazon 및 수백 개의 기업 고객이 이미 이를 프로덕션에 배포했습니다.

보안은 두 번째

2025년 4월, Palo Alto Networks의 보안 연구원들은 다섯 가지 중요한 공격 벡터를 확인했습니다:

  1. 프롬프트 인젝션
  2. 도구 섀도잉
  3. 권한 상승
  4. 데이터 유출
  5. “러그 풀” 공격 – MCP 도구는 설치 후 정의를 조용히 변경할 수 있어, 월요일에 무해해 보이던 도구가 금요일에는 도난당한 API 키를 전달하는 통로가 됩니다.

공식 MCP 사양에는 “항상 인간이 개입해야 SHOULD 한다”고 명시되어 있습니다. Strobes의 보안 전문가들은 단호하게 답했습니다: 그 SHOULDMUST로 간주하라.

2025년 6월에는 mcp-remote(437 000회 이상 다운로드된 인기 OAuth 프록시)에서 CVE‑2025‑6514라는 심각한 취약점(CVSS 9.6)이 발견되었습니다. 이 결함은 패치되지 않은 모든 설치를 공급망 백도어로 전환시켜, 공격자가 LLM 호스트를 악성 엔드포인트로 지정하기만 하면 임의 명령 실행, 클라우드 자격 증명 탈취, SSH 키 획득 등을 할 수 있게 했습니다.

Red Hat의 분석에 따르면 MCP 서버는 Gmail, Google Drive, 기업 리소스와 같은 서비스의 OAuth 토큰을 저장합니다. 하나의 서버가 침해되면 모든 서비스에 대한 키를 손에 넣는 셈입니다. 기존 계정 침해는 알림을 발생시키지만, MCP를 통한 토큰 탈취는 종종 정상적인 API 접근처럼 보입니다.

12월 피벗이 게임을 바꾸다

2025년 12월 9일, Anthropic은 Linux Foundation 산하에 새로 설립된 Agentic AI Foundation(AAIF)에 MCP를 기부했습니다. OpenAI, Google, Microsoft, AWS, Block, Bloomberg, 그리고 Cloudflare가 창립 멤버로 참여했습니다.

기업들은 단일 공급업체가 제어하는 프로토콜보다 투명한 거버넌스를 갖춘 오픈 표준을 선호합니다. Linux Foundation 전무 이사인 Jim Zemlin은 이렇게 요약했습니다:

“이 프로젝트들을 AAIF 아래에 모음으로써, 오직 오픈 거버넌스만이 제공할 수 있는 투명성과 안정성을 바탕으로 성장할 수 있게 됩니다.”

이 사양은 점차 성숙해지고 있습니다—2025년 6월 업데이트에서는 OAuth 2.1 원칙을 채택했으며, 11월 릴리스에서는 장기 실행 작업을 위한 새로운 프리미티브가 추가되었습니다. 그럼에도 불구하고 한 연구자는 “오늘날 웹에 존재하는 수백 개의 MCP 서버가 잘못 구성되어 AI 앱 사용자를 사이버 공격에 불필요하게 노출시키고 있다”고 경고했습니다.

이것이 귀하의 AI 전략에 의미하는 바

MCP 도입은 더 이상 선택 사항이 아닙니다. BCG는 MCP 없이 AI 에이전트가 조직 전체에 퍼질수록 통합 복잡성이 제곱적으로 증가하고, MCP를 사용하면 선형적으로 증가한다는 사실을 발견했으며, 이는 상당한 운영상의 이점을 제공합니다.

문제는 채택 여부가 아니라 새로운 공격 표면을 만들지 않고 어떻게 구현하느냐입니다.

고려해볼 만한 세 가지 사항

  1. 배포 전에 모든 MCP 서버를 감사하고 허용 목록을 구현하십시오. 커뮤니티에서 만든 서버는 품질과 보안 수준이 크게 다릅니다.
  2. 조용히 변경되는 도구 정의를 신뢰하지 마십시오. 모든 MCP 클라이언트는 서버 정의가 변할 때 사용자에게 경고해야 합니다. 그렇지 않다면 이는 위험 신호입니다.
  3. 인간‑인‑루프 가이던스를 선택이 아닌 필수로 취급하십시오. 프로토콜의 유연성은 명시적인 동의 메커니즘 없이 자율 에이전트 행동이 위험해지는 정확한 이유입니다.

MCP는 AI 시스템이 엔터프라이즈 도구와 연결되는 방식을 근본적으로 바꾸는 기술입니다. 성장 추세는 부인할 수 없지만, 채택 속도와 보안 성숙도 사이의 격차는 모든 기술 리더가 멈춰 서서 고민하게 만들 것입니다.

귀 조직은 MCP 보안을 어떻게 접근하고 있습니까? 채택 전략에 방어 장치를 구축하고 있나요, 아니면 뒤처지기 위해 서두르고 있나요?

출처

  • Linux Foundation AAIF 발표:
  • MCP 공식 블로그 – 1주년 기념:
  • Palo Alto Networks MCP 보안 연구:
  • Red Hat 보안 분석:
  • eSentire CISO 보안 가이드:
Back to Blog

관련 글

더 보기 »