실제 MCP 서버에서의 설명-코드 불일치: 측정, 탐지 및 보안적 함의

Model Context Protocol (MCP)은 대규모 언어 모델 (LLMs)이 외부 도구를 사용할 수 있도록 지원하는 중요한 표준으로 부상했습니다. 이 생태계에서 LLMs는 함수를 선택하고 실행하기 위해 MCP 서버가 제공하는 자연어 설명 (natural language descriptions)에 의존합니다. 이러한 상호작용은 도구의 설명이 그 기저의 구현 (implementations)을 충실히 반영한다는 것을 암묵적으로 가정하지만, 실제로는 이 가정이 의무적으로 검증되지 않습니다. 그 결과, MCP 배포 환경에서는 도구의 기능 및 보안 경계에 대한 설명이 실제 코드가 수행하는 동작과 일치하지 않는 '설명-코드 불일치 (Description-Code Inconsistency, DCI)'라고 불리는 문제로 인해 어려움을 겪을 수 있습니다. 본 논문에서는 실제 MCP 서버에서의 DCI에 대한 포괄적인 연구를 제시합니다. 우리는 이 문제를 공식적으로 정의하고, 기능적 불일치 (functionality inconsistencies)와 미선언된 부작용 (undeclared side effects)을 아우르는 포괄적인 분류 체계 (taxonomy)를 제안합니다. 이 분류 체계를 바탕으로, 우리는 구조 인식 정적 분석 (structure-aware static analysis)과 Direct-Reverse-Arbitration 프롬프팅 방법을 결합하여 도구 설명과 실제 코드 구현을 교차 검증하는 자동화된 프레임워크인 DCIChecker를 개발합니다. 우리는 2,214개의 실제 MCP 서버에서 추출한 19,200개의 설명-코드 쌍으로 구성된 대규모 데이터셋에 이 프레임워크를 적용합니다. 우리의 측정 결과에 따르면 DCI는 광범위하게 퍼져 있으며, 해당 쌍의 9.93%가 불일치를 보였습니다. 나아가 우리는 DCI가 운영 실패부터 은밀한 악의적 동작에 이르기까지 다양한 위험을 용이하게 함으로써 심각한 방어 사각지대를 생성한다는 것을 입증합니다. 마지막으로, 우리는 의미론적 일관성 (semantic consistency)을 강제하고 새롭게 등장하는 에이전트 생태계 (agentic ecosystem)의 신뢰성을 향상시키기 위한 완화 전략을 제안합니다.