2026년 MCP 서버 보안 현황 — 68개 패키지에서 118건의 발견
Source: Dev.to
AI 에이전트가 매일 여러분의 머신에 패키지를 설치하고 있습니다. 하지만 그 패키지들은 과연 얼마나 안전할까요?
AgentAudit에서는 AI 에이전트 생태계—MCP 서버, npm 패키지, pip 패키지, 그리고 AgentSkills—를 위한 보안 레지스트리를 구축해 왔습니다. 194개의 패키지를 211개의 독립적인 보안 보고서를 통해 감사한 결과, 다음과 같은 사실을 발견했습니다.
숫자
모든 감사된 패키지에 대해, 우리 다중‑에이전트 감사 시스템은 118개의 보안 발견을 식별했습니다:
| Severity | Count | % of Total |
|---|---|---|
| 🔴 Critical | 5 | 4.2% |
| 🟠 High | 9 | 7.6% |
| 🟡 Medium | 63 | 53.4% |
| 🟢 Low | 41 | 34.7% |
The good news: 192개 중 194개의 패키지가 안전(Trust Score 80–100)으로 평가되었습니다. 단 1개의 패키지는 “caution”으로, 또 1개는 “unsafe”로 표시되었습니다.
The concerning news: 그 14개의 Critical 및 High 발견은 실제로 악용 가능한 취약점이며 — 원격 코드 실행, 자격 증명 탈취, 비정제 명령 주입.
평균 신뢰 점수: 98/100
우리 레지스트리 전체 평균 신뢰 점수는 100점 중 98점입니다. 이는 고무적입니다 — MCP 생태계가 대체로 선의의 의도와 비교적 안전한 패키지로 구성되어 있음을 의미합니다. 하지만 평균은 이상치를 숨기며, 보안에서는 이상치가 전부입니다.
가장 흔한 취약점 패턴
1. 셸 명령어에 대한 비정제 입력 (Critical/High)
MCP 서버가 사용자 제공 입력을 정제 없이 child_process.exec() 혹은 동등한 함수에 직접 전달하는 경우. 공격자는 조작된 프롬프트를 통해 임의의 셸 명령을 삽입할 수 있습니다.
2. 환경 변수 누출 (Medium)
많은 패키지가 API 키, 토큰, 비밀값을 환경 변수에서 읽어오는 것은 정상입니다. 그러나 일부는 실수로 해당 값을 오류 메시지, 로그, 혹은 LLM 컨텍스트 창에 포함시킵니다. 이는 중간 심각도 발견 중 가장 흔한 사례입니다.
3. 과도한 파일 시스템 접근 권한 (Medium)
MCP 서버가 실제로는 특정 디렉터리만 필요함에도 전체 파일 시스템 접근 권한을 요청하는 경우. 이는 최소 권한 원칙을 위반하며, 패키지가 손상될 경우 영향을 받는 범위(블라스트 레이디우스)를 확대합니다.
4. 입력 검증 누락 (Low)
타입 검사, 길이 제한, 형식 검증 없이 파라미터를 받아들이는 경우. 즉시 악용되지는 않지만 공격 표면을 증가시킵니다.
5. 의존성 체인 위험 (Medium)
수십 개의 전이적 의존성을 끌어오는 패키지 중, 유지보수가 중단되었거나 알려진 취약점을 가진 것이 포함될 수 있습니다. 패키지 자체는 안전해 보일 수 있지만, 공급망을 통해 위험이 전파됩니다.
개발자가 할 수 있는 일
-
설치 전에 확인하세요. AgentAudit API 를 사용하거나 AgentAudit Skill을 설치하여 AI 에이전트가 설치 전 패키지를 자동으로 확인하도록 하세요.
curl https://agentaudit.dev/api/check?package=your-package-name -
모든 입력을 정제하세요. MCP 서버가 사용자 입력을 기반으로 명령을 실행하거나 파일 시스템에 접근하거나 네트워크 요청을 한다면—모든 것을 정제하세요. 차단 목록이 아닌 허용 목록을 사용하세요.
-
최소 권한 원칙을 적용하세요. 서버가 실제로 필요한 권한만 요청하세요. 하나의 디렉터리만 읽는 경우 전체 파일 시스템 접근 권한을 요구하지 마세요.
-
의존성을 고정하세요. lockfile을 사용하고 의존성 트리를 감사하세요. 전이적 의존성에 대한 공급망 공격은 자체 코드의 취약점만큼 위험합니다.
-
감사를 제출하세요. 레지스트리는 커뮤니티 기여를 통해 성장합니다. agentaudit.dev 에 패키지를 제출해 감사받으세요—무료이며 전체 생태계에 도움이 됩니다.
더 큰 그림
531 API 체크와 495 보고서 제출이 이미 처리되면서, AgentAudit 레지스트리는 AI 에이전트 생태계를 위한 실시간 보안 인텔리전스 레이어가 되고 있습니다. MCP 채택이 가속화됨에 따라, 에이전트 패키지를 위한 전용 CVE‑유사 데이터베이스는 사치가 아니라 필수입니다.
지금까지 카탈로그화한 118개의 발견은 시작에 불과합니다. 새로운 감사가 진행될수록 생태계는 모두에게 더 안전해집니다.
모든 데이터는 agentaudit.dev/api/stats에서 가져왔습니다. AgentAudit은 오픈 소스이며 무료로 사용할 수 있습니다.