전체메뉴

[애플경제 엄정원 기자] 악성 MCP(Model Context Protocol) 서버가 모든 사용자의 이메일을 훔쳐 외부로 누출하는 일이 벌어지고 있어 지구촌 산업 생태계에 큰 위협이 되고 있다. MCP는 대규모 언어 모델이 외부 데이터와 시스템을 좀더 효과적으로 활용할 수 있게 하는 연결 프로토콜이다. 이는 마치 LLM과 AI모델의 USB와 같은 역할을 한다.

MCP 서버는 AI 에이전트가 이메일을 처리하고, 데이터베이스 쿼리를 실행하는 데 널리 사용되므로 모든 이메일 트래픽에 접근할 수 있다. 이는 전체 이메일 접근 권한과, 데이터베이스 연결, API 권한 등 AI 에이전트와 동일한 권한을 갖고 있다. 자산 목록에는 나타나지 않고, 공급업체 위험 평가를 거치지 않으며, 이메일 게이트웨이 등 모든 보안 시스템을 우회한다.

그러나 “누군가 자신의 AI에이전트가 몇 달 동안 외부 서버로 이메일을 ‘숨은 참조’로 조용히 유출했다는 사실을 깨달았을 때쯤이면 피해는 이미 치명적일 것”이라고 ‘코이’사는 밝혔다.

보안 전문가들은 ‘포스트마크’가 공식적으로 관리하는 동일한 이름의 완전히 합법적인 깃허브 저장소가 있다고 지적했다. 그러나 공격자는 저장소에서 합법적인 코드를 가져와 악성의 ‘숨은 참조’ 줄을 추가한 후 동일한 이름으로 npm(자바스크립트 프로그래밍 언어를 위한 패키지 관리자)에 게시했다.

이는 세계 최초로 실제 악성 MCP 서버가 발견된 사례로 알려졌다. 즉 ‘엔드포인트’ 공급망 공격의 영역이 이젠 기업을 겨냥한 가장 큰 공격 대상으로 점차 자리 잡고 있음을 보여주는 대목이기도 하다.

매일 3,000개에서 15,000개의 이메일이 기프트샵.클럽(giftshop.club으로 직접 유입되고 있다. 그럼에도 개발자는 아무것도 해킹하지 않았다. 제로데이 취약점을 악용하지도 않았고, 정교한 공격 벡터를 사용하지도 않는다. 그저 개발자가 키를 건네받고, 모든 코드를 실행할 수 있는 권한을 지니며, AI에이전트가 하루에 수백 번 사용할 수 있도록 했다.

‘코이’사의 경고 이후 악성 MCP 서버는 삭제되었지만, 사용자는 여전히 위험에 노출되어 있다. npm에서 해당 패키지가 즉시 삭제되었다. 그러나 이미 해당 패키지를 사용하고 있는 조직은 계속 영향을 받을 것으로 보인다.

‘코이’사는 ‘1.0.16’ 버전 사용자는 즉시 해당 패키지를 제거하고 노출되었을 수도 있는 모든 자격 증명을 교체해야 한다고 경고했다. 또한 사용 중인 모든 MCP 서버를 검증, 공식 저장소인지 확인하고, 소스 코드를 검토하며, 모든 업데이트의 변경 사항을 확인해야 한다.

‘코이’는 “이번 발견으로 MCP 보안에 대한 더 광범위한 우려가 제기되었다”고 덧붙였다. “‘postmark-mcp’ 백도어는 단순히 한 명의 악의적인 개발자나 매주 1,500건의 침해된 설치에 대한 문제가 아니다”고 밝히며 “이는 MCP 생태계 자체에 대한 경고 사격”이라고 강조했다.

그러면서 이 업체는 “현재 알지도 못하고, 검증할 수도 없고, 신뢰할 이유도 없는 사람들이 만든 도구에 사용자들은 최고 권한을 부여하고 있다”며 “이는 단순한 npm 패키지가 아니다. 가장 민감한 운영으로 이어지는 직접적인 파이프라인이며, AI에이전트가 이를 의심 없이 수천 번 사용할 자동화된 도구”라고 그 위험성을 경고했다.