인증된 도구 서버 허가: Model Context Protocol에 대한 보안 확장

Model Context Protocol (MCP)는 대규모 언어 모델 (LLM) 에이전트와 외부 도구 서버가 메시지를 교환하는 방식을 표준화하지만, 신뢰(trust)를 표준화하지는 않습니다. 호스트는 서버가 스스로 선언한 도구 목록을 읽고 호출을 전달할 뿐, 어떤 서버를 어느 정도의 민감도로 사용할 수 있는지, 또는 서버의 도구 중 어떤 것이 허용 범위 내에 있는지에 대한 개념이 없습니다. 본 연구는 구체적인 필요성에서 시작되었습니다. 즉, MCP나 Enclawed 자체의 도구 애플리케이션 프로그래밍 인터페이스 (API)를 변경하지 않고도, Enclaved 에이전트가 Google의 외부 운영 MCP 서버(Gmail, Calendar, Drive)를 안전하게 사용할 수 있도록 서버를 허가하고 해당 서버가 구동할 수 있는 도구의 범위를 제한하는 것입니다. 우리가 구축한 메커니즘인 mcp-attested (오픈 소스인 enclaved-oss 배포판과 enclaved 버전 모두에 포함됨)는 다음과 같이 일반화됩니다: 중재되지 않은 제3자 연결을 한 사용자에게 안전하지 않게 만드는 격차는 규제된 배포를 인증 불가능하게 만듭니다. 우리는 세 가지 추가적인 메커니즘으로 이 격차를 해소합니다: (1) 서버가 잘 알려진 Uniform Resource Identifier (URI)에 게시하고, 호스트가 도구 전달 전에 고정된 신뢰 루트(pinned trust root)를 통해 검증하는 작고 오프라인으로 서명된 승인 주장(clearance assertion); (2) 서버별로 기본 거부(deny-by-default) 방식의 도구 허용 목록(allowlist)을 적용하여, 서버를 허가하는 것이 해당 서버의 모든 도구를 신뢰하는 것이 되지 않도록 함; (3) 검사 사항을 경고에서 엄격한 거부로 전환하고 모든 결정 사항을 변조 방지 감사 로그(tamper-evident audit log)에 기록하는 flavor-gated 강제 실행 모드입니다. 우리는 와이어 포맷(wire format), 검증 알고리즘, 보안 분석 및 LLM 기반의 적대적 평가(adversarial evaluation)를 제공합니다. 그런 다음, 이를 새로 발명하는 대신 MCP 부록으로 채택할 수 있도록 규범적인 Request-for-Comments (RFC 2119) 형식—스키마, 검증 규칙, 오류 레지스트리, 잘 알려진 등록, 기계 검사 가능 컨포먼스 벡터(machine-checkable conformance vectors)—으로 설계를 기술합니다. 확장되지 않은 호스트는 잘 알려진 문서를 무시하며 오늘날과 정확히 동일하게 동작합니다.