Anthropic MCP 취약점 공개: 20만 AI 서버 위험에 노출

최근 보안 연구팀 OX Security가 Anthropic의 핵심 아키텍처 중 하나인 모델 컨텍스트 프로토콜(Model Context Protocol, MCP)에서 심각한 원격 코드 실행(Remote Code Execution, RCE) 취약점을 발견하고 이를 공개했습니다. 이 취약점은 단순히 한 서비스에 국한되지 않고, Python, TypeScript, Java, Rust 등 다양한 언어로 구현된 공식 SDK 전반에 걸쳐 영향을 미치는 구조적 결함입니다.

MCP는 Anthropic이 2024년 말에 만든 개방 표준으로, AI 모델들이 외부 도구, 데이터베이스 또는 API와 안전하게 연결할 수 있도록 하는 핵심 메커니즘 역할을 합니다. 이 프로토콜은 이미 Linux Foundation의 Agentic AI Foundation에 기증되었으며, OpenAI, Google을 포함한 대부분의 주요 AI 개발사 및 코딩 툴에서 채택하여 사용하고 있습니다.

취약점의 심각성:
OX Security가 지적한 취약점은 공격자가 시스템 내에서 임의의 원격 코드 실행(arbitrary RCE)을 수행할 수 있게 만듭니다. 이로 인해 영향을 받는 생태계 규모는 매우 거대합니다. 현재까지 1억 5천만 건 이상의 다운로드와 최대 20만 대에 달하는 서버 인스턴스가 잠재적인 위험에 노출되어 있습니다.

Anthropic의 대응 문제:
연구팀은 Anthropic 측에 매니페스트 전용 실행(manifest-only execution)이나 SDK 내 명령어 허용 목록(command allowlist)과 같은 프로토콜 레벨 수정 방안을 여러 차례 권고했습니다. 이러한 조치들은 하위 사용자들을 즉시 보호할 수 있는 근본적인 해결책이었습니다. 그러나 보고서에 따르면 Anthropic은 이러한 제안들을 거부했으며, 연구팀이 보고서를 공개하겠다는 의사를 밝히자 이의를 제기하지 않았습니다.

기술적 원인 및 대응 방안:
취약점의 근본적인 원인은 MCP의 STDIO(Standard Input/Output) 처리 방식에 있습니다. 현재까지 소스 레벨에서 이 부분이 수정되지 않는 한, 프로젝트 유지 관리자들은 자체적으로 입력 값 정제(input sanitization) 로직을 구현하여 취약점을 방어해야 합니다.

흥미로운 점은 이번 취약점 공개가 Anthropic이 다른 조직의 소프트웨어 보안 취약점을 찾아내는 도구인 'Claude Mythos'를 출시한 지 불과 일주일도 채 되지 않아 발생했다는 점입니다. 이는 AI 모델을 활용하여 보안에 대한 높은 기대치를 형성하는 시점에, 그 자체의 핵심 인프라가 심각한 결함을 안고 있음을 보여주는 아이러니한 사례로 해석됩니다.

MCP가 Linux Foundation의 거버넌스 하에 놓여 있음에도 불구하고, 참조 SDK를 유지 관리하는 주체는 여전히 Anthropic이므로, 이 문제를 해결하기 위해서는 Anthropic 측의 적극적인 기술적 개입과 프로토콜 개선이 필수적입니다.