본문 바로가기
카테고리 없음

MCP 보안 취약점과 대안, MCP의 숨겨진 위험성 HTTP 스트리밍 방식을 사용한 이유

by memory-log 2025. 5. 11.

요즘 AI 개발 커뮤니티에서 MCP(Model Context Protocol)에 관한 이야기가 뜨겁게 오르내리고 있습니다. 작년 말 Anthropic이 "AI를 위한 USB-C"라고 소개했던 이 기술이 실제로는 어떤 모습인지, 그리고 최근 발견된 보안 취약점은 무엇인지 함께 살펴보겠습니다. 개발자라면 반드시 알아야 할 MCP의 실체와 대안에 대해 깊이 있게 파헤쳐 보겠습니다.

🔍 MCP란 무엇인가? AI와 외부 세계를 연결하는 다리

MCP는 AI 모델이 외부 도구나 데이터 소스와 원활하게 상호작용할 수 있게 해주는 프로토콜입니다. 쉽게 말해 AI가 Google Calendar, Slack, Notion, BigQuery 같은 실제 업무 도구들과 직접 소통하며 작업을 수행할 수 있게 해주는 기술이죠.

 

이 기술이 주목받은 이유는 단순합니다. 마치 USB-C 케이블 하나로 다양한 기기를 연결할 수 있듯이, MCP라는 하나의 표준으로 AI가 다양한 서비스와 쉽게 연결될 수 있다는 점이었습니다. 복잡한 API 통합 없이도 AI가 실무 도구에 접근해 실질적인 업무를 도울 수 있게 된 것이죠.

 

실제로 MCP를 활용한 사례들도 많이 등장했습니다. 예를 들어:

  • Google Calendar와 Meet을 연동해 회의 자동 예약
  • BigQuery와 연결해 자연어로 데이터 분석 요청
  • Slack에서 바로 다양한 업무 자동화

이런 활용 사례들은 AI가 단순히 대화만 하는 것이 아니라 실제 업무 환경에서 생산성을 높이는 도구로 자리매김할 수 있음을 보여주었습니다.

⚠️ MCP의 숨겨진 위험성: 보안 취약점과 설계 문제

그러나 2025년 현재, MCP에 대한 시각은 많이 달라졌습니다. 특히 보안 전문가들이 발견한 심각한 취약점들이 큰 우려를 낳고 있습니다.

툴 포이즈닝 공격(Tool Poisoning Attack)

최근 Invariant 보안팀이 발견한 가장 심각한 취약점은 '툴 포이즈닝 공격'입니다. 이 공격은 겉으로는 정상적으로 보이는 도구 설명에 악의적인 지시사항을 숨겨 AI 모델을 조작하는 방식입니다.

예를 들어, 단순한 계산기 도구처럼 보이는 함수에 숨겨진 지시를 삽입해 사용자 모르게 민감한 데이터를 외부로 유출시킬 수 있습니다.

 

Invariant팀은 실제로 Cursor라는 MCP 클라이언트를 통해 사용자의 중요 설정 파일과 SSH 키까지 탈취하는 데 성공했습니다.

더 심각한 것은 '섀도잉 공격(Shadowing Attack)'입니다. 여러 MCP 서버가 연결된 환경에서 악성 서버가 신뢰할 수 있는 다른 서버의 기능을 몰래 재정의하여 사용자를 속이는 방식입니다. 예를 들어 이메일 전송 기능을 가로채 모든 메일을 공격자에게 보내도록 조작할 수 있습니다.

프로토콜 설계의 문제점

MCP의 또 다른 문제는 통신 방식에 있습니다. MCP는 크게 두 가지 방식으로 통신합니다:

  1. stdio 방식: 로컬 환경에서 사용되는 비교적 단순한 방식
  2. HTTP+SSE 방식: 인터넷을 통한 외부 서비스 연결에 사용되는 방식

특히 두 번째 방식에서 문제가 발생합니다. SSE(Server-Sent Events)는 원래 서버에서 클라이언트로 단방향 통신을 위한 기술인데, MCP는 이를 억지로 양방향으로 사용하려고 합니다. 이로 인해 매번 새로운 연결과 인증 과정을 반복해야 하는 복잡한 구조가 만들어졌습니다.

 

MCP팀은 이 문제를 해결하기 위해 'Streamable HTTP'라는 새로운 방식을 도입했지만, 여전히 내부적으로는 복잡한 구조를 유지하고 있습니다.

🤔 왜 WebSocket을 사용하지 않았을까?

많은 개발자들이 의문을 제기하는 부분이 바로 이것입니다. WebSocket은 2011년부터 표준으로 자리 잡은 기술로, 실시간 양방향 통신에 최적화되어 있습니다. 한 번의 연결로 지속적인 통신이 가능해 속도도 빠르고 관리도 쉽습니다.

 

그런데 왜 MCP는 이 검증된 기술 대신 복잡한 HTTP 스트리밍 방식을 고집했을까요?

가장 현실적인 이유는 MCP가 주로 사용되는 환경(Vercel Functions, AWS Lambda, Cloudflare Workers 등)의 제약 때문입니다. 이런 서버리스 환경에서는 WebSocket 지원이 제한적이거나, 장시간 연결 유지 시 비용이 크게 증가하는 문제가 있습니다.

 

반면 HTTP 스트리밍 방식은 특별한 설정 없이도 서버리스 환경에서 작동하고, 방화벽을 쉽게 통과할 수 있어 운영이 편리합니다. 또한 MCP의 일반적인 사용 패턴(질문 전송 후 답변 스트리밍 수신)에는 지속적인 양방향 연결이 필수적이지 않다는 판단도 있었을 것입니다.

아이러니하게도, 일부 MCP 서비스 제공업체들은 내부적으로 WebSocket을 사용하면서도 겉으로는 MCP 표준을 따르는 모습을 보이기도 합니다.

📊 MCP의 한계와 실제 성능

MCP가 가진 또 다른 문제는 AI 모델의 도구 활용 정확도입니다. 연구 결과에 따르면, AI 에이전트의 도구 호출 정확도는 약 50% 수준에 그치는 것으로 나타났습니다. 즉, 절반 정도의 확률로 잘못된 도구를 호출하거나 부적절하게 사용할 수 있다는 의미입니다.

 

또한 MCP는 사용하기에 다소 복잡한 형태를 띠고 있어, MCP 서버를 실행하고 도구를 연결하는 과정이 개발자들에게도 까다로운 편입니다. 공식 문서나 가이드도 불친절하고 불충분해 시행착오를 겪는 경우가 많습니다.

 

도구 수가 많아질수록 AI의 응답 품질이 떨어지는 문제도 있습니다. 많은 도구 호출로 인한 문맥 과부하가 발생하고, 같은 도구라도 AI 모델에 따라 작동 여부가 달라질 수 있습니다.

🌐 MCP의 대안과 경쟁 기술

MCP가 표준을 지향했지만, 현재는 여러 경쟁 기술이 등장하면서 상황이 복잡해졌습니다. IBM의 ACP, Google의 A2A 등 비슷한 목적의 기술들이 각자 "내가 표준이다"라고 주장하고 있습니다.

 

이는 마치 과거 각 휴대폰 제조사마다 다른 충전기를 사용하던 시절을 연상시킵니다. 표준이 여러 개라면 그것은 더 이상 표준이라고 할 수 없습니다.

 

그럼에도 불구하고 MCP 생태계는 계속 확장되고 있습니다. 2024년 첫 분기에만 MCP 관련 스타트업들이 총 32억 달러의 투자금을 유치했으며, 이는 AI 분야 전체 투자의 약 18%에 해당하는 규모입니다.

주요 기업들의 접근 방식도 다양합니다:

  • 컨텍스트 AI: 실리콘밸리 기반 스타트업으로, 다양한 AI 모델 간 컨텍스트 전송을 위한 오픈소스 프레임워크 개발
  • 네트워크마인드: 한국의 AI 유니콘 스타트업으로, 자연어와 이미지 처리 모델 간 컨텍스트 공유에 특화된 솔루션 제공

🔮 MCP의 미래 전망

MCP가 완벽한 솔루션은 아니지만, AI 시스템의 확장성을 고려할 때 충분한 잠재력을 가진 기술임은 분명합니다. 현재 MCP가 발전해야 할 방향과 예상되는 변화는 다음과 같습니다:

  1. 더 쉬운 설치 및 사용 방식 제공: 현재 MCP의 가장 큰 문제는 초기 설정 및 사용이 어렵다는 점입니다. 향후에는 원클릭 설치 기능 등을 통해 비개발자들도 쉽게 사용할 수 있도록 개선될 가능성이 큽니다.
  2. AI 모델의 성능 향상: 현재 AI 모델이 MCP를 통해 연결된 도구를 100% 활용하지 못하는 문제가 있지만, 향후 AI 모델이 발전하면서 더욱 정교한 도구 활용이 가능해질 것으로 보입니다.
  3. 보안 및 인증 프로토콜 개선: MCP가 실용적으로 사용되기 위해서는 사용자 인증 및 보안 문제도 해결해야 합니다. 특히 여러 도구가 연결되는 환경에서는 데이터 유출이나 악성 도구 연결 등의 보안 리스크가 커질 수 있습니다.

💡 개발자를 위한 MCP 활용 팁

MCP의 문제점에도 불구하고, 적절히 활용한다면 여전히 가치 있는 기술입니다. 개발자라면 다음 사항을 고려해보세요:

  1. 보안 우선: MCP 서버 사용 시 항상 보안을 최우선으로 고려하세요. 특히 외부에서 제공하는 도구는 철저히 검증한 후 사용해야 합니다.
  2. 단순화: 너무 많은 도구를 연결하기보다는 꼭 필요한 도구만 선별적으로 사용하는 것이 좋습니다. 도구가 많을수록 AI의 성능이 저하될 수 있습니다.
  3. 대안 검토: 프로젝트의 특성에 따라 MCP 외에도 다른 대안 기술을 검토해보세요. 모든 상황에 MCP가 최선의 선택은 아닐 수 있습니다.
  4. 최신 동향 파악: MCP는 빠르게 발전하는 기술입니다. 보안 업데이트와 새로운 기능을 지속적으로 확인하는 것이 중요합니다.

결론: MCP, 신중하게 접근해야 할 기술

MCP는 분명 AI와 외부 세계를 연결하는 혁신적인 기술이지만, 현재로서는 여러 문제점과 한계를 가지고 있습니다. 특히 보안 취약점은 실제 업무 환경에서 사용할 때 심각한 위험을 초래할 수 있습니다.

 

개발자와 기업들은 MCP를 도입할 때 이러한 위험성을 충분히 인지하고, 적절한 보안 조치를 취해야 합니다. 또한 MCP가 모든 상황에 최적의 솔루션이 아닐 수 있다는 점을 염두에 두고, 프로젝트의 특성에 맞는 기술을 선택하는 것이 중요합니다.

 

기술은 항상 발전하고 있습니다. 오늘의 한계가 내일에는 해결될 수도 있습니다. MCP도 시간이 지나면서 더 안전하고 사용하기 쉬운 기술로 발전할 가능성이 있습니다. 그때까지는 신중한 접근이 필요합니다.

멋진 기술이라고 무작정 따라 쓰기보다는 내부 구조나 숨겨진 문제를 알고 현실적으로 판단하는 것이 진정한 개발자의 자세가 아닐까요?

저작자표시 비영리 변경금지 (새창열림)

댓글

티스토리툴바