OWASP MCP Top 10이란 무엇인가 — MCP01~10을 3분 만에 총람 (2025/2026 버전)
요약
AI 에이전트의 외부 도구 연결 표준인 MCP(Model Context Protocol)의 보안 리스크를 정리한 OWASP MCP Top 10을 소개합니다. 토큰 관리 미흡부터 컨텍스트 주입까지 10가지 주요 위협 모델을 공격 흐름에 따라 분석합니다.
핵심 포인트
- MCP 고유의 보안 리스크 10가지를 정의한 OWASP 프로젝트 소개
- 도구 설명문과 출력값이 검증 없이 컨텍스트에 포함되는 구조적 취약점 지적
- 공격 흐름(입구→심기→실행→확대→유출)에 따른 리스크 재배열
- 보안 사고 탐지를 위한 감사 및 텔레메트리(MCP08)의 중요성 강조
AI 에이전트에 외부 도구를 연결하는 표준 **MCP(Model Context Protocol)**의 보급에 따라, MCP 고유의 보안 리스크를 정리한 OWASP MCP Top 10이 등장했습니다. 본 기사는 해당 MCP01~10을 목록으로 총람하는 색인입니다. 각 리스크의 심층 분석 기사 및 장(Chapter)으로의 이동은 여기서 가능합니다.
OWASP MCP Top 10은 OWASP의 공식 프로젝트(2025년 공개, 집필 시점 beta / Phase 3, 프로젝트 리드 Vandana Verma Sehgal)입니다. 번호는
MCP01:2025~MCP10:2025입니다. 라이선스는 CC BY-NC-SA 4.0입니다. 본 기사는 이를 참조하여 독자적으로 정리한 것입니다.
우선 전체상 (공격자의 움직임으로 이해하기)
MCP의 구조적인 약점은 「도구의 설명문·출력」이 검증 없이 모델의 컨텍스트(Context)에 들어가며, 그것이 강력한 권한과 직결되어 있다는 점입니다. 자세한 내용은 MCP 위협 모델 개관에 정리해 두었습니다.
공격자의 흐름에 따라 재배열하면 이해가 쉽습니다:
입구(MCP07/09) → 심기(MCP03/04) → 실행(MCP05/06) → 확대(MCP02/01) → 유출(MCP10) → 그리고 알아차리지 못함(MCP08).
MCP01~10 목록
| ID | 리스크 (원제) | 한 줄 요약 |
|---|---|---|
| MCP01 | 토큰 관리 미흡 및 기밀 유출 (Token Mismanagement & Secret Exposure) | 액세스 토큰이나 시크릿이 과도하게 보유·노출되어 악용됨 |
| MCP02 | 스코프 비대로 인한 권한 상승 (Privilege Escalation via Scope Creep) | 도구에 부여된 권한이 조금씩 넓어져 예상치 못한 조작이 가능해짐 |
| MCP03 | 도구 포이즈닝 (Tool Poisoning) | 도구의 설명문에 숨겨진 지시를 심어 모델을 유도함 (→ 상세 기사) |
| MCP04 | 공급망 공격 및 의존성 변조 (Software Supply Chain Attacks & Dependency Tampering) | 의존 패키지나 배포처의 오염으로 MCP 서버 자체가 장악됨 |
| MCP05 | 커맨드 인젝션 및 실행 (Command Injection & Execution) | 검증되지 않은 입력이 셸/커맨드로 전달되어 RCE(원격 코드 실행)로 이어짐 |
| MCP06 | 의도 흐름 교란 (Intent Flow Subversion) | 사용자의 본래 의도가 도중에 다른 동작으로 바꿔치기됨 |
| MCP07 | 인증·인가 미흡 (Insufficient Authentication & Authorization) | 접속 대상·호출처의 검증이 허술하여 사칭/부정 이용을 허용함 |
| MCP08 | 감사 및 텔레메트리 결여 (Lack of Audit and Telemetry) | 「누가·무엇을·어떤 인수로 호출했는지」가 남지 않아 침입을 알아차릴 수 없음 |
| MCP09 | 섀도우 MCP 서버 (Shadow MCP Servers) | 파악되지 않은 MCP 서버에 무단 접속하여 신뢰할 수 없는 경로가 증가함 |
| MCP10 | 컨텍스트 주입 및 과도한 공유 (Context Injection & Over-Sharing) | 불필요한 정보를 컨텍스트에 섞거나 너무 많이 공유하여 유출·유도됨 |
SOC의 관점에서는 MCP08이 급소
구현만으로 전부 막을 수는 없습니다. 그렇기에 「막지 못했을 때 어떤 로그로 알아차릴 것인가」가 핵심이며, 대부분의 자작 MCP는 MCP08(감사 로그의 결여)에서 한계에 부딪힙니다. 각 리스크의 「안전한 구현」뿐만 아니라 「SOC 관점의 탐지·감사 로그 설계」와 「자택 랩(Proxmox)에서의 격리 재현」까지를 유료 도서 『OWASP MCP Top 10 구현·탐지·격리 가이드』에서 장별로 해설하고 있습니다 (전 10개 리스크 MCP01~10 + 실전 랩을 망라한 총 13장 / 구매 후 업데이트·추가된 장은 무료).
관련 기사
출처: OWASP MCP Top 10 (CC BY-NC-SA 4.0). 번호·제목은 beta 버전이므로 개정될 수 있습니다 (참조: 2025년판 / 취득 2026). 도움이 되었다면 Zenn의 배지로 응원해 주시면 업데이트에 큰 힘이 됩니다🙏
Discussion
AI 자동 생성 콘텐츠
본 콘텐츠는 Zenn AI의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기