ShareLock: MCP를 대상으로 하는 은밀한 멀티 툴 임계값 오염 공격 (Multi-Tool Threshold Poisoning

LLM(대규모 언어 모델) 기반 에이전트의 급격한 진화와 함께, LLM과 외부 도구(external tools)를 연결하는 개방형 프로토콜인 MCP(Model Context Protocol)는 현대 에이전트 생태계의 근간으로 빠르게 자리 잡았습니다. 그러나 MCP의 채택이 확대됨에 따라, LLM-서버 간의 상호작용을 악용하여 악성 프롬프트를 주입하는 도구 오염 공격(Tool Poisoning Attack, TPA)과 같은 새로운 보안 우려도 등장했습니다. 기존의 오염 기법들은 일반적으로 단일한 평문 임베딩(monolithic plaintext embedding) 패러다임을 채택하고 있으며, 이는 수동 검사나 자동 탐지기를 견뎌내지 못합니다. 현재 연구는 여러 도구가 협력적으로 악용되어 탐지 위험을 분산시킬 수 있는 멀티 툴 오염(multi-tool poisoning)에 대한 체계적인 분석이 여전히 부족한 실정입니다. 본 논문에서는 Shamir의 임계값 방식(Shamir's threshold scheme)을 활용하여 탁월한 은밀성과 결함 허용(fault tolerance)을 보장하는 멀티 툴 임계값 오염 프레임워크인 ShareLock을 소개합니다. ShareLock은 악성 지침을 여러 도구 설명(tool descriptions)에 걸쳐 무해해 보이는 비밀 공유(secret shares)로 분산시켜, 정보 이론적 비밀성(information-theoretic secrecy)과 적당한 감사(auditing)에 대한 공격 견고성을 모두 달성합니다. 서버 업데이트 중에 은밀한 재구성 트리거(covert reconstruction trigger)가 심어진 후, 집계된 공유 값들은 숨겨진 지침을 재구성하여 시스템 자산이나 개인 데이터의 심각한 침해를 초래합니다. ShareLock의 현실적인 위협을 평가하기 위해, 우리는 네 가지 멀티 툴 시나리오를 포함하는 포괄적인 벤치마크를 구축하였으며, 두 개의 서로 다른 MCP 클라이언트에서 주요 LLM들을 대상으로 광범위한 실험을 수행했습니다. 실험 결과, ShareLock은 도구 설명 기반 탐지에서 기존의 단일 툴 오염 전략보다 성능이 현저히 뛰어나면서도, 90%를 상회하는 평균 공격 성공률을 유지함을 입증했습니다.