Give Them an Inch and They Will Take a Mile:Understanding and Measuring Caller Identity Confusion in MCP-Based AI Systems

이 논문은 MCP 기반 AI 시스템에서 호출자 신원을 인증하지 않고 서버를 신뢰하는 방식이 근본적인 보안 취약점을 야기하며, 일회성 승인 및 서버 수준의 신뢰가 공격 표면을 확대한다는 점을 대규모 실증 분석을 통해 규명하고, 명시적인 호출자 인증과 세분화된 권한 부여 메커니즘의 필요성을 강조합니다.

핵심

이 논문은 인공지능 (AI) 이 외부 세계와 소통하는 새로운 방식인 **MCP(Model Context Protocol)**의 보안 문제에 대해 다루고 있습니다. 어렵게 들릴 수 있지만, 일상적인 비유를 통해 쉽게 설명해 드리겠습니다.

🏠 핵심 비유: "열린 문과 무심한 집주인"

상상해 보세요. AI(로봇) 가 당신의 집을 관리하는 집주인이라고 합시다. 그리고 이 집주인은 집 안의 다양한 방 (데이터베이스, 파일, 외부 서비스 등) 을 열 수 있는 열쇠를 가지고 있습니다.

1. **MCP(모델 컨텍스트 프로토콜)**는 AI 가 집주인에게 "이 방을 열어줘"라고 요청하는 대화 규칙입니다.
2. 문제 상황: 집주인 (MCP 서버) 은 처음에 AI 가 "열쇠를 보여줘"라고 요청하면 한 번만 확인하고, 그다음부터는 **"아, 이 집주인은 이미 열쇠를 가졌으니, 누구든 요청하면 문을 열어주자"**라고 생각합니다.
3. 위험: 이때, 진짜 AI 가 아니라 해커가 변장해서 "방을 열어줘"라고 요청하면, 집주인은 "아, 이미 열쇠가 있으니 열어주지"라고 생각하며 문을 열어줍니다.

이 논문은 **"한 번 문을 열면, 누구든 들어와도 문이 잠기지 않는 (신원 확인이 안 되는) 시스템의 치명적인 약점"**을 찾아내고, 그 위험을 측정했습니다.

---

🔍 이 논문이 발견한 3 가지 주요 사실

1. "한 번 믿으면 끝"이라는 착각 (Caller Identity Confusion)

• 상황: 집주인 (서버) 은 처음에 AI 가 문을 열 때만 확인을 하고, 그 이후에는 누가 요청했는지 상관없이 문을 열어줍니다.
• 비유: 호텔에 체크인할 때 한 번만 신분증을 확인하고, 그날 밤 내내 누구든 호텔 로비나 객실로 들어오게 허용하는 것과 같습니다.
• 결과: 해커가 AI 가 아닌데도, 이미 로그인된 상태의 서버를 이용해 당신의 파일을 훔치거나, 컴퓨터를 조종할 수 있습니다.

2. "어디서나 찾아낸 위험" (대규모 조사)

• 연구팀은 전 세계에 있는 6,137 개의 MCP 서버를 조사했습니다.
• 결과: 놀랍게도 **46.4%(약 절반)**의 서버가 이 '신원 확인 없는 문 열기' 문제를 가지고 있었습니다.
• 의미: 인기 있는 프로젝트든, 유명한 개발자가 만든 것이든 상관없이 이 문제가 널리 퍼져 있었습니다.

3. "실제 해킹 사례" (무서운 결과)

이론이 아니라 실제로 해킹이 가능하다는 것을 증명했습니다.

• 원격 명령 실행: 해커가 AI 가 아닌데도 서버를 통해 컴퓨터 명령어를 실행해 파일을 삭제하거나 훔칠 수 있습니다.
• 화면 장악: 해커가 AI 가 아닌데도 당신의 컴퓨터 화면을 조작하거나 마우스를 움직일 수 있습니다.
• 타사 서비스 남용: 슬랙 (Slack) 이나 AWS 같은 서비스에 접속할 때, 해커가 당신의 권한을 훔쳐내지 않아도 서버가 이미 로그인된 상태라 해커의 요청도 승인해 줍니다.

---

🛠️ 연구팀이 만든 해결책: "MCPAuthChecker"

이 문제를 찾기 위해 연구팀은 MCPAuthChecker라는 도구를 만들었습니다.

• 비유: 이 도구는 **"문 앞에 서서 '누구세요?'라고 묻지 않고 문을 여는 집주인을 찾아내는 감시관"**입니다.
• 작동 원리:
  1. 서버가 어떤 명령을 실행하는지 경로를 추적합니다.
  2. "이 명령을 실행하기 전에, 요청한 사람의 신원을 다시 확인했는가?"를 분석합니다.
  3. 만약 "아니오, 그냥 열어줘"라고 한다면, 그 서버는 위험하다고 경고합니다.

---

💡 결론: 왜 이것이 중요한가요?

이 논문은 **"AI 가 세상을 다스리기 전에, AI 가 누구에게 문을 열어주는지 확인하는 시스템이 필요하다"**고 경고합니다.

• 기존 생각: "AI 가 요청했으니까 믿고 열어주자."
• 새로운 생각: "누가 요청했는지, 지금 이 순간에도 그 사람이 맞는지 매번 확인해야 한다."

이 연구는 AI 기술이 발전할수록 보안이 얼마나 중요한지, 그리고 개발자들이 "한 번만 확인하면 된다"는 안일한 생각을 버리고, 매번 신원을 확인하는 철저한 시스템을 만들어야 함을 보여줍니다.

한 줄 요약:

"AI 가 문을 열어줄 때, 한 번만 확인하고 끝내면 해커가 그 틈을 타서 당신의 집 (데이터) 을 다 털어갈 수 있습니다. 매번 '누구세요?'라고 물어보는 것이 안전합니다."

기술 요약

1. 연구 배경 및 문제 정의 (Problem)

배경:

• MCP (Model Context Protocol): 대규모 언어 모델 (LLM) 에이전트가 외부 도구 및 서비스와 상호작용할 수 있도록 하는 개방형 표준 인터페이스입니다. 에이전트의 추론과 시스템 실행을 분리하는 미들웨어 아키텍처로 빠르게 확산되고 있습니다.
• 실행 모델: MCP 기반 시스템에서는 에이전트가 직접 백엔드 리소스에 접근하는 것이 아니라, 독립적인 MCP 서버 프로세스가 도구를 실행합니다. MCP 서버는 백엔드 리소스 (데이터베이스, 파일 시스템 등) 에 대한 자격 증명과 실행 컨텍스트를 보유합니다.

핵심 문제: 호출자 신원 혼란 (Caller Identity Confusion)

• 문제 정의: MCP 서버가 특정 호출자 (에이전트) 를 인증하지 않은 채, 한 번의 승인 (Authorization) 을 영구적인 서버 상태 (Persistent State) 로 유지하고 이를 모든 후속 요청에 재사용하는 취약점입니다.
• 발생 원인:
  1. LLM 에이전트는 종종 상태가 없거나 (stateless) 제 3 자 서비스로 배포되어, 프로토콜 수준에서 명확한 호출자 신원을 전달하지 못합니다.
  2. MCP 서버 개발자들은 사용성을 위해 초기 승인 상태를 캐시하고, 이후 모든 도구 호출에 대해 재인증 없이 실행 권한을 부여하는 방식을 채택합니다.
  3. 이는 "한 번 승인된 MCP 서버는 모든 호출자를 신뢰한다"는 잘못된 가정을 내포합니다.
• 위험성: 공격자가 합법적인 사용자의 승인 상태를 악용하여, 자격 증명을 탈취하거나 직접 인증 우회를 하지 않더라도 원치 않는 호출자 (공격자 에이전트) 가 민감한 작업을 수행할 수 있게 됩니다. 즉, "허락된 1 인치 (승인) 를 받아서 1 마일 (실행 권한) 을 차지하는" 공격이 가능합니다.

---

2. 제안된 방법론: MCPAuthChecker (Methodology)

저자들은 이 취약점을 탐지하기 위해 MCPAuthChecker라는 분석 프레임워크를 설계했습니다. 이는 정적 분석과 동적 검증을 결합한 3 단계 프로세스를 따릅니다.

주요 도전 과제 및 해결 방안:

1. 비표준화된 도구 진입점 (Non-standardized Entry Points): MCP 서버는 고정된 진입점이 없고 동적으로 도구가 등록/전송됩니다.
   • 해결: **실행 트리거 포인트 (Execution-Triggered Tool Entry)**를 식별합니다. 프로토콜 수준의 tools/call 요청이 구체적인 실행 로직으로 전환되는 시점을 분석하여 진입점을 찾습니다.
2. 암시적 및 분산된 승인 의미 (Implicit Authorization Semantics): 승인 로직이 핸들러, 디스패치, 헬퍼 함수 등 코드 전반에 흩어져 있습니다.
   • 해결: **경로 민감성 분석 (Path-Sensitive Analysis)**을 수행합니다. 도구 진입점에서 민감한 리소스 접근까지의 실행 경로를 추적하며, 해당 경로에서 호출자 신원에 기반한 명시적 승인이 수행되는지 확인합니다.
3. 실행 시 승인 상태 혼란 (Stateful Reuse): 정적 분석만으로는 캐시된 승인 상태가 현재 호출자에게 적용되는지 구분하기 어렵습니다.
   • 해결: **선택적 동적 검증 (Selective Dynamic Validation)**을 수행합니다. 승인 로직이 있는 경로에 대해 제어된 도구 호출을 실행하고, 인증 실패 없이 리소스 접근이 성공하는지 관찰하여 실제 실행 시의 취약점을 확인합니다.

워크플로우:

1. 진입점 해결: CodeQL 기반 AST 분석을 통해 MCP 도구 등록 패턴 (데코레이터, API 등) 을 파악하고 실행 진입점을 추출합니다.
2. 승인 분석: 추출된 진입점에서 민감한 연산 (시스템 명령, 파일 접근, 네트워크 등) 까지의 경로를 추적하고, 승인 로직이 호출자별로 적용되는지 평가합니다.
3. 동적 검증: 정적 분석으로 불확실한 경우, 실제 실행을 통해 승인 상태가 재사용되어 공격 가능한지 검증합니다.

---

3. 주요 기여 (Key Contributions)

1. 새로운 취약점 식별 및 형식화: MCP 배포에서 발생하는 **'호출자 신원 혼란 (Caller Identity Confusion)'**이라는 이전에 연구되지 않은 취약점을 정의하고, 이것이 자격 증명 탈취 없이도 어떻게 시스템 침해로 이어지는지 설명했습니다.
2. 실용적 분석 프레임워크 개발: 도구 호출 단위 (Invocation-centric) 로 승인을 분석하는 MCPAuthChecker를 설계하여, MCP 서버의 신원 혼란 취약점을 탐지할 수 있게 했습니다.
3. 대규모 실증 연구: 6,137 개의 실제 MCP 서버를 대상으로 한 대규모 측정을 수행했습니다.
4. 책임 있는 공개 (Responsible Disclosure): 발견된 87 개 주요 오픈소스 프로젝트 중 8 개 프로젝트의 취약점을 개발자에게 보고하여 패치되거나 CVE 를 할당받는 과정을 거쳤습니다.

---

4. 연구 결과 (Results)

측정 결과 (6,137 개 MCP 서버 분석):

• 취약점 비율: 전체 서버의 **46.4% (2,846 개)**가 신원 혼란으로 인한 불안전한 승인 행동을 보였습니다.
• 취약 유형:
  • AuthNone: 아예 승인 체크가 없는 경우.
  • AuthCache: 초기 승인 후 캐시된 상태를 재사용하는 경우 (가장 흔함).
  • AuthRuntime: 런타임에 확인하지만 호출자 신원에 구애받지 않고 상태를 재사용하는 경우.
• 영향 범위:
  • 카테고리: 개발자 도구 (Developer Tools) 에서 가장 취약점이 많았으며 (52%), 데이터 과학, API 통합 등 모든 분야에서 발견되었습니다.
  • 인기 (Stars): 인기 있는 프로젝트 (높은 Star 수) 일지라도 취약점이 존재하여, 인기가 보안의 지표가 되지 않음을 보였습니다.
  • 개발자 집중: 소수의 개발자가 다수의 취약한 서버를 개발하는 경향이 있어, 취약점이 생태계 전반에 빠르게 확산될 위험이 있습니다.

실제 공격 시나리오 (Attack Scenarios):

1. 원격 명령어 실행 (RCE): 인증 없이 Git 명령어를 실행하는 도구를 통해 공격자가 임의의 코드를 실행.
2. 브라우저 및 GUI 제어: 인증 없이 브라우저 조작, 스크린샷 촬영, 키보드/마우스 입력 시뮬레이션이 가능하여 CAPTCHA 우회 및 UI 기반 작업 조작.
3. 제 3 자 API 남용: Slack, AWS 등 고권한 자격 증명으로 초기 승인된 후, 모든 호출자가 해당 권한으로 API 를 남용할 수 있게 됨.

---

5. 의의 및 결론 (Significance)

• 시스템적 위험 경고: MCP 기반 AI 에이전트 시스템에서 "한 번의 승인"이 영구적인 실행 권한으로 오해받는 것이 치명적인 보안 허점임을 밝혔습니다. 이는 메모리 손상이나 자격 증명 탈취와 같은 전통적인 공격 벡터가 아닌, 실행 모델 자체의 설계 결함에서 기인합니다.
• 디자인 원칙 제안: 에이전트 실행 프레임워크의 설계 원칙으로 **'호출자 바인딩된 호출 단위 승인 (Invocation-level, Caller-bound Authorization)'**이 필수적임을 강조합니다.
• 보안 표준화 필요성: MCP 서버 개발 시 승인 상태를 호출자 신원에 명시적으로 바인딩하고, 민감한 작업마다 재승인하거나 컨텍스트를 분리해야 함을 시사합니다.

이 논문은 MCP 생태계의 급속한 성장 속에서 보안이 소홀히 다루어지고 있음을 경고하며, AI 에이전트 시스템의 안전한 배포를 위한 구체적인 분석 도구와 가이드라인을 제공합니다.