MCP-in-SoS: Risk assessment framework for open-source MCP servers

이 논문은 오픈소스 MCP 서버의 대규모 정적 코드 분석을 통해 취약점을 식별하고 위협 패턴을 매핑하여, 신뢰할 수 있는 에이전트 배포를 위한 새로운 위험 평가 프레임워크를 제안합니다.

핵심

🏠 비유: "집에 초대된 무수한 자동화 로봇들"

상상해 보세요. 인공지능 (AI) 이 당신의 집을 관리하는 로봇이라고 가정해 봅시다.
이 로봇이 혼자서 할 수 있는 일은 제한적입니다. 하지만 이 로봇에게 "냉장고 열기", "문 잠그기", "비상금 꺼내기" 같은 구체적인 명령을 내릴 수 있는 **도구 (MCP 서버)**들을 연결해 준다면 어떨까요? 로봇은 이제 당신의 집 전체를 자유롭게 다닐 수 있게 됩니다.

이 논문은 바로 이 **'도구들 (MCP 서버)'**이 얼마나 안전한지, 그리고 우리가 이 도구들을 믿고 맡겨도 될지 조사한 보고서입니다.

🔍 문제: "누가 만든 도구를 믿을 수 있을까?"

최근 개발자들이 이 '도구'들을 만들어서 인터넷 (오픈소스) 에 무료로 공유하고 있습니다. 마치 레고 블록을 만들어서 누구나 가져다 쓸 수 있게 한 것과 비슷하죠. 문제는 이 레고 블록을 만든 사람이 안전 장치를 제대로 달지 않았을 수도 있다는 것입니다.

예를 들어, "냉장고 열기" 도구를 만들었는데, 비밀번호 없이 누구든 열 수 있게 만들었다면? 혹은 "비상금 꺼내기" 도구에 해커가 몰래 숨겨진 문 (보안 구멍) 을 만들어뒀다면? AI 로봇이 그 도구를 사용하면 당신의 집은 털릴 수 있습니다.

🕵️‍♂️ 연구 방법: "자동화된 안전 검사관"

저자들은 222 개의 이런 '도구' (오픈소스 MCP 서버) 를 모아서 **자동화된 검사관 (코드 분석 도구)**을 투입했습니다.

1. 현장 조사 (정적 분석): 코드를 실행하지 않고도, 코드의 구조를 훑어보며 "여기에 잠금장치가 없네?", "누가 들어와도 열 수 있게 되어 있네?" 같은 **약점 (CWE)**을 찾아냈습니다.
2. 위험도 매핑 (CAPEC): 찾아낸 약점이 실제로 해커에게 어떻게 이용될지 (공격 패턴) 를 분석했습니다. 마치 "이 문이 열려 있으면, 도둑이 어떻게 들어와서 무엇을 훔칠지" 시뮬레이션하는 것과 같습니다.
3. 점수 부여: 약점의 심각성과 해커가 이용할 가능성에 따라 위험 점수를 매겼습니다.

📊 주요 발견: "대부분의 도구가 위험하다!"

조사 결과는 놀라울 정도로 심각했습니다.

• 86% 의 도구에 구멍이 있다: 조사한 222 개 도구 중 191 개 (약 86%) 에서 최소 하나 이상의 치명적인 약점이 발견되었습니다.
• 위험 등급: 대부분의 도구가 '높음 (High)' 또는 '매우 높음 (Very High)' 위험 등급을 받았습니다. 즉, 지금 당장이라도 해킹당할 수 있다는 뜻입니다.
• 가장 흔한 구멍:
  • 권한 관리 부재 (CWE-862): "누구나 들어와도 되는 문"이 열려 있는 경우.
  • 정보 유출 (CWE-200): "비밀번호가 적힌 메모"가 공개된 경우.
  • SQL 주입 (CWE-89): "명령어를 조작해서 데이터를 훔치는" 구멍.

🔗 연쇄 반응: "작은 구멍 하나가 큰 재앙을 부른다"

가장 무서운 점은 약점들이 혼자서 존재하지 않는다는 것입니다.

• 비유: 집의 대문 (프로토콜) 잠금장치가 고장 나 있으면, 해커는 안으로 들어와서 **냉장고 (자원)**를 열고, **비상금 (도구)**을 훔쳐갈 수 있습니다.
• 실제 발견: 연구 결과, 해커가 특정 도구를 공격할 때, 대부분 대문 (접근 제어) 의 약점을 먼저 이용했습니다. 대문이 열려 있어야 안의 약점들도 이용 가능한 것입니다.
  • "도구 약점"이 있는 곳의 87% 는 "대문 약점"도 함께 있었습니다.
  • "비밀 정보 유출"이 있는 곳의 88% 는 "대문 약점"도 함께 있었습니다.

이는 작은 보안 구멍 하나가 연결되어 거대한 해킹 사슬 (Exploit Chain) 을 만든다는 뜻입니다.

💡 결론 및 제언: "안전한 디자인이 필수다"

이 논문은 우리에게 중요한 메시지를 전합니다.

"AI 가 현실 세계의 도구들을 다룰 때, 그 도구들이 안전하지 않으면 AI 도 위험하다."

지금처럼 오픈소스로 무분별하게 퍼져나가는 도구들은 보안이 뒷받침되지 않으면, AI 를 이용해 해커가 당신의 데이터나 시스템을 마음대로 조종할 수 있게 됩니다.

해결책:

1. 개발자: 도구를 만들 때 처음부터 보안을 설계해야 합니다 (Secure-by-Design).
2. 사용자: 무작정 믿고 연결하기 전에, 그 도구가 안전한지 점검해야 합니다.
3. 커뮤니티: 취약점을 발견했을 때 신고할 수 있는 체계 (SECURITY.md 파일 등) 를 만들어야 합니다.

📝 한 줄 요약

"AI 가 사용하는 새로운 도구 (MCP 서버) 들이 마치 잠금장치가 없는 문처럼 위험하게 퍼져있으며, 작은 보안 구멍들이 연결되어 큰 해킹 재앙을 부를 수 있으니, 개발 단계에서부터 철저히 안전을 챙겨야 한다."

기술 요약

1. 문제 정의 (Problem)

• 배경: 모델 컨텍스트 프로토콜 (MCP) 은 대규모 언어 모델 (LLM) 에이전트가 동적인 실시간 도구와 데이터에 접근할 수 있도록 하는 Anthropic 에서 제안한 개방형 표준입니다. 오픈소스 생태계가 급격히 성장하며 수천 개의 MCP 서버가 배포되고 있습니다.
• 핵심 문제: MCP 서버는 에이전트와 고권한 기능 (파일 시스템, 네트워크, API 등) 사이의 경계에 위치하여 보안상 중요한 choke point(병목 지점) 역할을 합니다. 그러나 현재까지 MCP 서버의 구현 단계에서 발생하는 취약점에 대한 체계적이고 대규모적인 평가 연구는 부재했습니다.
• 위험: 기존 연구들은 MCP 의 위협 분류 (taxonomy) 나 공격 시나리오를 제안했으나, 실제 오픈소스 코드에서 어떻게 취약점이 나타나는지, 그리고 이것이 어떻게 다단계 공격 체인으로 이어지는지에 대한 실증적 데이터가 부족했습니다.

2. 방법론 (Methodology)

저자들은 MCP-in-SoS라는 자동화된 분석 파이프라인을 제안하여 222 개의 GitHub MCP 서버 리포지토리를 대상으로 정적 코드 분석을 수행했습니다. 파이프라인은 4 단계로 구성됩니다.

1. 정적 코드 분석 (Static Code Analysis):
   • 각 MCP 서버 리포지토리에 대해 CodeQL, Joern, Cisco AI Defender MCP Scanner 등 3 가지 도구를 실행하여 잠재적 취약점 후보를 추출합니다.
   • 특히 Python 기반 MCP 서버를 위해 2025 년 CWE Top 25 에 기반한 54 개의 Joern 쿼리를 개발하여 적용했습니다.
2. 메타데이터 준비 (Metadata Preparation):
   • MITRE 의 CWE(Common Weakness Enumeration, 취약점) 및 CAPEC(Common Attack Pattern Enumeration and Classification, 공격 패턴) 데이터베이스를 통합합니다.
   • 데이터 결측치를 처리하고, 각 CWE-CAPEC 쌍에 대해 위험 지수 (Risk Index) 를 계산하기 위한 메타데이터 (발생 확률, 영향도 등) 를 전처리합니다.
3. 정규화 (Normalization):
   • 여러 도구의 분석 결과를 통합하여 중복을 제거하고, 표준화된 CWE 식별자로 매핑합니다.
   • 리포지토리 단위별로 각 CWE 의 발생 빈도를 집계합니다.
4. 위험 점수 산정 (Risk Scoring):
   • 위험 지수 (Risk Index) 모델: 위험도 = 가능성 (Likelihood) × 영향도 (Impact) 공식을 기반으로 합니다.
     • 가능성: CAPEC 의 공격 확률 (LA), CWE 의 악용 확률 (LE), 그리고 소프트웨어에 취약점이 도입될 수 있는 모드 수 (MI) 를 곱합니다.
     • 영향도: CAPEC 의 전형적 심각도 (TS) 와 CWE 의 공통 결과 (CC) 수를 곱합니다.
   • 리포지토리 점수: 개별 취약점 점수를 빈도 가중치로 합산하고, 심각도 프로필 (RMS) 및 발견된 취약점 수 (로그 스케일) 를 고려하여 최종 리포지토리 위험 점수 (Roverall) 를 산출합니다.

3. 주요 기여 (Key Contributions)

• 대규모 취약점 평가: GitHub 의 공개된 Python MCP 서버 리포지토리 222 개에 대한 대규모 정적 분석 수행.
• 재현 가능한 파이프라인: 정적 분석기 (CodeQL, Joern) 와 LLM 보조 검사를 결합하여 취약점을 추출, 정규화, CWE 클래스로 매핑하는 자동화 파이프라인 구축.
• 새로운 쿼리 세트: 2025 년 CWE Top 25 에 정렬된 54 개의 Joern 쿼리 개발.
• CWE-CAPEC 기반 위험 모델: 메타데이터 기반의 정량적 위험 점수 모델 제안 (CWE 수준 및 리포지토리 수준).
• 위협 표면 및 공격 체인 분석: MCP 특화 위협 표면 (Protocol, Tool, Resource, Prompt) taxonomy 와 조건부 공존 (conditional co-occurrence) 분석을 통해 다단계 공격 체인을 규명.

4. 결과 (Results)

• 취약점 보편성: 분석된 222 개 리포지토리 중 **191 개 (86.0%)**에서 적어도 하나의 매핑된 취약점이 발견되었습니다. 총 15,962 개의 취약점 발견 건이 51 개의 서로 다른 CWE 클래스에 걸쳐 있었습니다.
• 위험 수준:
  • 분석된 리포지토리의 47.6% 가 '높음 (High)', 18.3% 가 '매우 높음 (Very High)' 위험 등급에 속했습니다.
  • 상위 5 개 CWE(CWE-862, 200, 306, 287, 89) 가 전체 발견 건의 75.7% 를 차지했습니다.
  • 특히 **CWE-89(SQL Injection)**는 빈번하고 높은 위험도를 보였으며, CWE-732(중요 리소스에 대한 잘못된 권한 할당) 와 CWE-863(잘못된 권한 부여) 도 매우 높은 위험 지수를 기록했습니다.
• 위협 표면 분포:
  • Protocol(프로토콜) 관련 취약점이 발견 건의 56.9%, 위험 노출의 57.1% 를 차지하여 가장 지배적이었습니다. 이는 접근 제어 및 전송 계층 문제가 다른 취약점의 전파를 촉진함을 의미합니다.
  • **Resource(리소스)**와 Tool(도구) 취약점도 상당한 위험 노출을 보였습니다.
• 공격 체인 (Exploit Chains):
  • 취약점은 고립되어 발생하기보다 다단계 공격 체인으로 결합되는 경향이 강했습니다.
  • 주요 발견: 도구 (Tool) 취약점이 있는 경우 87% 의 확률로 프로토콜 (Protocol) 취약점도 함께 존재했습니다. 프롬프트 (Prompt) 취약점이 있는 경우 94% 의 확률로 리소스 (Resource) 취약점이 공존했습니다.
  • 이는 약한 접근 제어 (Protocol) 가 악용될 경우, 하위의 도구 및 리소스 취약점을 통해 데이터 유출이나 권한 상승이 쉽게 이루어질 수 있음을 시사합니다.

5. 의의 및 결론 (Significance)

• 실무적 시사점: MCP 생태계의 현재 상태가 "보안 설계 (Secure-by-design)"가 부재한 상태에서 급성장하고 있음을 실증적으로 입증했습니다.
• 정책 및 개발 가이드: MCP 서버 개발자는 단순한 기능 구현을 넘어, 프로토콜 수준의 접근 제어 강화, 입력값 검증, 권한 관리 등 구현 단계의 취약점을 제거해야 함을 강조합니다.
• 연구적 기여: MCP 서버의 구현 수준 취약점을 체계적으로 평가하고, 이를 CAPEC 공격 패턴과 연결하여 실제 공격 시나리오를 예측할 수 있는 프레임워크를 최초로 제시했습니다.
• 한계: 현재 분석은 Python 기반 서버에 국한되어 있으며, 위험 점수는 메타데이터에 의존하므로 실제 배포 환경의 맥락에 따라 차이가 있을 수 있습니다.

이 논문은 MCP 생태계의 성숙도를 높이기 위해 보안 취약점의 정량적 평가와 위험 관리 프레임워크의 필요성을 강력하게 주장하며, 향후 안전한 AI 에이전트 배포를 위한 기초를 마련했습니다.