인공지능 프로토콜에서 치명적인 취약점이 발견되었으며, Anthropic은 이를 해결하지 않을 것이라고 발표했다

사이버 위협이 MCP 프로토콜에서: 어떻게 보이고 무엇을 해야 할까요

MCP란?
- 2024년에 Anthropic이 발표한 공개 표준입니다.
- AI 모델이 외부 도구, 데이터베이스 및 API에 연결할 수 있게 해줍니다.
- 작년에는 이 프로토콜이 Linux Foundation의 Agentic AI Foundation으로 이전되었으며 현재는 OpenAI, Google 및 대부분의 AI 도구에서 사용 중입니다.

취약점 동작 방식
1. STDIO 인터페이스
- 요청이 추가 검증 없이 바로 명령 실행 지점에 전송됩니다.
2. 위험 상속
- MCP를 사용하는 모든 개발자는 자동으로 이 취약점을 갖게 됩니다.

잠재적 악용 경로 (4군집)
| 번호 | 공격 유형 | 해커가 수행하는 일 |
|------|-----------|-------------------|
| 1 | 인증 없이 UI에 코드 삽입 | 자동 실행되는 악성 코드를 작성합니다. |
| 2 | “보호된” 플랫폼(Flowise)의 방어 우회 | 내장 보안 메커니즘을 회피하기 위해 취약점을 사용합니다. |
| 3 | IDE 환경(Windsurf, Cursor)에서의 악성 요청 | 사용자 개입 없이 명령을 실행합니다. |
| 4 | MCP를 통한 악성 패키지 배포 | 다른 사용자에게 자동으로 로드되는 악성 코드를 게시합니다. |

- 테스트: 연구원들은 11개의 MCP 레지스트리 중 9개에 페이로드를 성공적으로 삽입하고 상업용 플랫폼 6곳에서 명령 실행 가능성을 입증했습니다.

추가로 발견된 취약점
| 애플리케이션 | CVE | 상태 |
|--------------|-----|------|
| LiteLLM | CVE-2026-30623 | 폐쇄됨 |
| Bisheng | CVE-2026-33224 | 폐쇄됨 |
| Windsurf | CVE-2026-30615 “메시지 수신” (로컬 코드 실행) | 동일 상태 |

Anthropic의 대응
- OX Security 권고:
- 요청을 매니페스트에서만 허용하도록 제한합니다.
- SDK에 허용된 명령 목록을 도입합니다.
- 회사 답변: 프로토콜 변경 거부 및 취약점 공개에 대한 이의 없음.

현재 상황
| 이벤트 | 현재 상태 |
|--------|-----------|
| Mythos 모델 유출 | Anthropic이 내부 조사를 진행 중입니다. |
| Claude Code 노출 | 이전에 서비스 소스 코드가 유출되었습니다. |
| MCP 관리 | Linux Foundation으로 이전되었으나 Anthropic은 여전히 취약한 SDK를 지원합니다. |

개발자가 해야 할 일
- STDIO 인터페이스가 수정될 때까지 입력 데이터 필터링을 자체적으로 구현해야 합니다.
- SDK 버전을 확인하고 최신 패치를 적용하세요(가능할 경우).
- 애플리케이션 수준에서 명령 검증 및 제한 메커니즘 도입을 고려하십시오.

결론
MCP의 취약점은 수백만 사용자에게 심각한 위협이 됩니다. Anthropic이 프로토콜 변경을 거부했음에도 불구하고, 개발자들은 공식 패치가 이루어질 때까지 시스템 보호 조치를 취해야 합니다.