이 글은 2026 사이버 위협 지도 시리즈의 2편임. 1편은 공급망 공격을 다루고, 3편은 국가 단위 AI 무기화를 다루는 것임.
평범한 웹사이트에 접속했을 뿐인데, 내 AI 코딩 어시스턴트가 조용히 탈취당하는 상황을 상상해 보면 됨. 악성코드 다운로드도 없고, 피싱 링크도 없음. localhost로의 WebSocket 핸드셰이크 하나면 낯선 누군가가 AI 에이전트를 완전히 장악하는 것임. MCP 보안 취약점은 2026년 가장 빠르게 확대되는 공격 표면이 됐음.
이건 가정이 아님. 실제로 일어난 일임. 이 취약점의 이름은 ClawJacked이며, 패치가 배포되기까지 24시간 동안 모든 OpenClaw 사용자가 위험에 노출됐음 (The Hacker News).
1편에서 우리는 공급망 공격이 벤더 하부 인프라까지 침투하는 방향으로 진화한 과정을 살펴봤음. 이제 모든 것을 연결하는 AI 레이어까지 공격받고 있음. 그 중심에 있는 프로토콜이 바로 MCP — Model Context Protocol임. MCP 보안 위협은 AI 에이전트 스택 전체에 걸친 구조적 공백임.
지난 60일간 MCP에서만 30건의 CVE가 발견됐음. MCP 서버 500개를 스캔하면 38%가 기본 인증조차 없음. 마켓플레이스 스킬 9개 중 1개는 악성임. 이것이 2026년 가장 빠르게 성장하는 공격 표면이며, 대부분의 팀은 그 존재조차 모르고 있음.
TL;DR — MCP 보안: AI의 가장 큰 새로운 공격 표면임.
- ClawHub에서 악성 스킬 341개 발견, MCP 서버 38%가 인증 미적용
- ClawJacked는 WebSocket을 통해 어떤 웹사이트든 로컬 AI 에이전트를 탈취 가능
- Claude Code에서 RCE + API 키 탈취 취약점 발견 (CVSS 8.7)
읽는 시간: 약 6분
MCP 보안 위협의 시작: MCP란 무엇이며, 왜 중요한가
MCP를 AI 에이전트용 ‘범용 USB 포트’라고 생각하면 됨. USB가 어떤 주변기기든 컴퓨터에 연결해주듯, MCP는 코드 어시스턴트, 데이터 분석기, 자동화 봇 같은 AI 도구를 외부 서비스에 연결하는 것임. 데이터베이스, API, 클라우드 스토리지, Slack — 하나의 프로토콜로 모든 것을 연결하는 것임 (Anthropic).
MCP 보안 — 치명적 삼중 위협 (Lethal Trifecta)
Palo Alto Networks 정의: MCP는 민감 데이터 접근 권한을 부여하고, 에이전트를 신뢰할 수 없는 콘텐츠에 노출시키며, 외부 통신을 가능하게 하는 것임 — 이 모든 것이 단일 프로토콜을 통해 이루어지는 것임.
장점은 명확하는 것임. MCP 이전에는 모든 AI 연동이 개별 맞춤 작업이었음. MCP가 이를 표준화했음. 현재 기업의 70%가 AI 에이전트를 프로덕션 환경에서 운영하고 있으며, 23%가 연말까지 추가 배포를 계획하고 있음 (Team8 CISO Village Survey, Orchid Security).
하지만 범용 커넥터의 문제는 여기에 있음. 범용으로 쓸 수 있다는 것은, 범용으로 공격당할 수도 있다는 뜻임. MCP 보안 공격 표면은 세 가지 범주로 나뉩니다: 마켓플레이스 포이즈닝(에이전트가 다운로드하는 스킬), 프로토콜 수준 취약점(MCP 자체가 악용되는 방식), 그리고 ID 사각지대(에이전트가 거버넌스 없이 운영되는 문제)임.
마켓플레이스 포이즈닝: ClawHub와 MCP 보안 사고 341건
보안 업체 Koi Security가 MCP 최대 스킬 마켓플레이스인 ClawHub의 스킬 2,857개를 감사한 결과, 341개가 악성으로 확인됐음. 감염률 11.9%임 (The Hacker News).
341개 악성 스킬 중 335개는 동일한 페이로드를 배포했음: Atomic Stealer(AMOS). macOS 전용 인포스틸러로, 브라우저 비밀번호, 암호화폐 지갑 시드, 세션 토큰을 탈취하는 것임. 이 캠페인의 이름은 ClawHavoc임 (Koi Security).
위장은 그럴듯했음. 암호화폐 포트폴리오 추적기, YouTube 자막 다운로더, Google Workspace 연동 도구, 심지어 ‘자동 업데이트’ 스킬까지 — 업데이트한다면서 악성코드를 심어주는 것이었음.
Straiker가 별도로 3,505개 스킬을 스캔한 결과 71개의 추가 악성 항목을 발견했음. 합치면 MCP 생태계에 400개 이상의 오염된 스킬이 유통되고 있는 셈임.
더 우려스러운 발견은 에이전트 간 공격 벡터였음. BobVonNeumann이라는 스킬이 Moltbook 소셜 네트워크에서 활동하면서 다른 AI 에이전트에게 악성 스킬을 추천했음. 한 건의 추천이 AI를 속여 Solana 지갑 키를 평문으로 저장하게 만들었음 — 기계가 기계에게 말을 걸어 자동으로 실행된 암호화폐 탈취임 (Koi Security).
이것은 npm/PyPI 포이즈닝 플레이북과 정확히 같은 패턴임 — 1편에서 다룬 공급망 공격과 동일한 구조인데, 이제 ‘패키지를 다운로드하는 개발자’ 자체가 AI인 에이전트 생태계 안에서 벌어지고 있음.
MCP 보안 위협 현황 (2026)
341
악성 스킬 발견
38%
인증 미적용 서버
30
CVE (60일간)
프로토콜 취약점: MCP 보안 아키텍처가 무너질 때
마켓플레이스 포이즈닝은 사용자(또는 에이전트)를 속여 나쁜 스킬을 설치하게 만드는 것임. 프로토콜 취약점은 더 심각하는 것임: MCP 자체의 작동 방식을 악용하기 때문임.
ClawJacked가 대표적인 사례임. 작동 원리는 이렇음: 악성 웹사이트의 JavaScript가 localhost WebSocket — MCP 게이트웨이가 사용하는 채널 — 에 연결하는 것임. 브라우저는 HTTP 요청처럼 교차 출처 WebSocket 요청을 차단하지 않음. Rate Limiting이 없었기 때문에, 공격자는 게이트웨이 비밀번호를 무차별 대입으로 풀고, 신뢰 기기로 등록한 후, AI 에이전트의 완전한 제어권을 획득할 수 있었음 (Oasis Security, The Hacker News).
피해자는 누구였을까요? AI 에이전트를 로컬에서 실행하는 동안 잘못된 웹페이지를 방문한 모든 사람임. 클릭도, 다운로드도, 경고창도 없었음.
OpenClaw는 ClawJacked를 24시간 내 패치했지만(v2026.2.25), 이 사건은 더 깊은 아키텍처 문제를 드러냈음: 프롬프트 인젝션을 통한 로그 포이즈닝으로 에이전트 추론을 조작하는 것, 그리고 RCE, SSRF, 인증 우회, 경로 탐색을 포함한 7개 추가 CVE임.
Microsoft의 권고는 단도직입적이었음: “OpenClaw를 영구 자격 증명이 있는 비신뢰 코드 실행 환경으로 취급할 것. 격리된 환경에서만 배포할 것.”
Claude Code: 내 코딩 어시스턴트의 MCP 보안 취약점
위협은 마켓플레이스 도구에 국한되지 않음. Check Point Research가 Anthropic의 AI 코딩 에이전트인 Claude Code에서 3건의 MCP 보안 취약점을 발견했음 (The Hacker News, Check Point).
| 취약점 | CVSS | 공격 벡터 |
|---|---|---|
| 프로젝트 훅 코드 인젝션 | 8.7 | 악성 저장소의 훅 파일이 사용자 동의 없이 임의 코드 실행 |
| MCP 서버 자동 셸 (CVE-2025-59536) | 8.7 | MCP 서버 초기화 중 셸 명령이 자동 실행 |
| API 키 탈취 (CVE-2026-21852) | 5.3 | ANTHROPIC_BASE_URL을 변조하여 API 트래픽을 리다이렉트, 키 유출 |
공격 시나리오는 잔인할 정도로 단순하는 것임. 악성 저장소를 클론하는 것임. Claude Code를 실행하는 것임. 끝임. 프로젝트 훅이 발동되고, API 키가 공격자 서버로 빠져나가며, 모든 인증된 트래픽이 리다이렉트될 수 있음.
Check Point는 이렇게 표현했음: “AI 개발 환경에서 공급망은 소스 코드에서 시작되지 않음 — 자동화 레이어에서 시작됨.”
이것은 1편의 핵심 논지와 정확히 일치하는 것임. 공급망 공격이 스택 상위로 이동하고 있음 — 패키지에서 빌드 파이프라인으로, 그리고 이제 AI 도구 자체로.
Azure MCP 보안 사고: SSRF 취약점
클라우드 대기업도 예외가 아님. CVE-2026-26118이 Azure MCP Server를 강타했음. Server-Side Request Forgery(SSRF) 취약점으로, 공격자가 MCP 서버를 이용해 내부 네트워크에 요청을 보낼 수 있었음 — 메타데이터 엔드포인트, 내부 API, 시크릿 저장소에 접근할 가능성이 있었음 (Microsoft, 2026-03-10 패치 완료).
타이포스쿼팅 문제와 결합하면 상황은 더 심각해지는 것임. “mcp-server-sqllite”(sqlite에서 한 글자 차이)라는 이름의 스킬이 설치 시 악성 코드를 실행하는 것임. MCP 보안 생태계는 패키지 관리 세계가 지난 10년간 저질렀던 모든 보안 실수를 그대로 반복하고 있음 — 다만 AI 속도로.
ID 다크매터: MCP 보안 거버넌스의 사각지대
기술적 취약점 아래에는 거버넌스 문제가 도사리고 있음. Orchid Security는 이를 “Identity Dark Matter(ID 다크매터)”라고 부릅니다 — 기업 환경에서 운영되면서 기존 ID 및 접근 관리(IAM) 시스템에 보이지 않는 AI 에이전트를 말하는 것임 (Orchid Security).
사람 직원은 HR을 거칩니임. 온보딩되고, 역할이 배정되고, 퇴사하면 오프보딩됨. AI 에이전트는요? 서비스 계정 하나를 받고, 광범위한 권한을 얻고, 퇴직 면담 같은 것은 없음.
Orchid Security가 문서화한 공격 패턴은 익숙한 에스컬레이션 사다리를 따르는 것임: 존재하는 자산을 열거하고, 쉬운 대상부터 시도하고, ‘충분한’ 접근 권한을 확보하고, 조용히 권한을 상승시킨 후, 기계 속도로 운영하는 것임. 다만 이제 공격자가 이것을 몇 주가 아니라 몇 초 만에 해낸다는 것이 차이임.
Gartner의 “Market Guide for Guardian Agents”는 이 격차를 확인하는 것임: 에이전트 도입 속도가 거버넌스 성숙도를 극적으로 앞지르고 있음. 대부분의 기업에는 에이전트 자격 증명 순환 정책이 없고, 에이전트 간 상호작용의 감사 추적이 없으며, 에이전트 폐기 프로세스도 없음 (Gartner).
| MCP 보안 위협 벡터 | 사건 | 영향 범위 | 심각도 |
|---|---|---|---|
| 마켓플레이스 포이즈닝 | ClawHavoc (스킬 341개) | ClawHub의 11.9% | Critical |
| WebSocket 탈취 | ClawJacked | 모든 OpenClaw 사용자 | High |
| AI 코딩 도구 RCE | Claude Code 취약점 | 모든 사용자 (repo 클론) | CVSS 8.7 |
| API 키 탈취 | Claude Code | 개발자 API 인프라 | CVSS 5.3 |
| 클라우드 SSRF | Azure MCP (CVE-2026-26118) | Azure MCP 배포 환경 | High |
| 타이포스쿼팅 | mcp-server-sqllite | 스킬 설치하는 개발자 | Medium |
| 에이전트 ID 드리프트 | Identity Dark Matter | 기업의 70% | Systemic |
이 표를 보면 됨. 모든 레이어가 침해당했음 — 마켓플레이스, 프로토콜, 클라우드 인프라, ID 레이어까지. MCP 보안 취약점은 패치 하나로 해결할 수 있는 단일 버그가 아님. AI 에이전트 스택 전체에 걸친 구조적 공백임.
MCP 보안 방어: 개발자와 보안팀을 위한 시사점
프로덕션 환경에서 MCP 연결 에이전트를 운영하고 있다면 — 통계적으로 그럴 가능성이 높음 — 다음은 실질적인 MCP 보안 방어 체크리스트임.
스킬을 감사할 것. 마켓플레이스 평점을 신뢰하지 마십시오. 스킬 체크섬을 알려진 정상 해시와 대조할 것. 스킬 패키지에 난독화된 코드가 없는지 확인할 것. 스킬이 네트워크 접근을 필요로 한다면, 그 이유를 물어보면 됨.
자격 증명을 분리할 것. AI 에이전트를 개인 API 키나 프로덕션 서비스 계정으로 절대 실행하지 마십시오. 에이전트마다 최소 권한의 전용 자격 증명을 만드십시오. 문제가 발생했을 때가 아니라, 정기적으로 순환할 것.
localhost를 잠그십시오. MCP 게이트웨이가 localhost WebSocket에서 실행된다면, 연결할 수 있는 오리진을 제한할 것. 적극적으로 사용하지 않을 때는 게이트웨이를 비활성화할 것. ClawJacked 공격은 게이트웨이가 항상 대기 상태였기 때문에 작동한 것임.
저장소를 적대적으로 취급할 것. Claude Code 취약점은 저장소를 클론하는 것 자체가 공격 벡터가 될 수 있음을 의미함. 신뢰할 수 없는 코드에서 AI 코딩 도구를 실행하기 전에 프로젝트 훅 파일을 검토할 것. MCP 서버 초기화 명령의 자동 실행을 비활성화할 것.
에이전트를 인벤토리할 것. 보안팀이 “프로덕션에서 몇 개의 AI 에이전트가 실행 중이고, 어떤 권한으로 어떤 데이터에 접근하는가?”라는 질문에 답할 수 없다면 — 그것이 최우선 과제임. 보이지 않는 것은 보호할 수 없음.
한국 기업에게 특히 중요한 점이 있음. AI 에이전트 도입 곡선이 가속화되고 있음. 삼성SDS가 한국 공공/금융 부문의 에이전트화를 주도하고 있으며, LG CNS, 네이버 클라우드 등 경쟁사들은 아직 에이전틱 AI 솔루션을 출시하지 못한 상태임 (SDxCentral). 이는 MCP 연결 에이전트를 도입하는 한국 기업들이 대부분 해외 플랫폼에 의존하고 있음을 의미함 — 위에 문서화된 모든 MCP 보안 위험을 그대로 안고 가는 것임. 한국판 ClawHavoc이 터지길 기다리지 말고 지금 감사를 시작할 것.
MCP 보안의 더 큰 그림
이 시리즈 1편에서 공급망 공격의 진화를 보여드렸음 — 악성 npm 패키지에서 침해된 빌드 파이프라인까지. MCP 보안 취약점은 그 다음 단계를 나타남: 모든 것을 연결하는 AI 레이어가 이제 공격 표면이 된 것임.
패턴은 일관됨. 개발을 쉽게 만들기 위해 새로운 추상화 레이어를 구축할 때마다, 공격자들은 그 레이어에 내재된 신뢰 가정을 악용하는 것임. 패키지 관리자는 배포자를 신뢰했음. CI/CD 파이프라인은 빌드 스크립트를 신뢰했음. 이제 MCP는 스킬, 서버, 에이전트 ID를 불충분한 검증으로 신뢰하고 있음.
60일간 30건의 CVE는 이상 현상이 아님. 더 많은 연구자들이 MCP에 관심을 돌리면서 가팔라질 취약점 발견 곡선의 시작점임.
질문은 조직이 MCP 보안 관련 사고를 겪을지 여부가 아님. 그 사고가 발생했을 때 가시성과 통제 수단을 갖추고 있을지 여부임.
한줄 코멘트. MCP는 AI 에이전트에게 범용 커넥터를 줬고, 동시에 공격자에게 범용 공격 표면을 안겨줬음. 60일간 CVE 30건, 악성 스킬 341개, 웹사이트가 로컬 에이전트를 탈취하는 프로토콜 — 도입 속도가 MCP 보안을 앞지르면 벌어지는 일임.
직장인 시사점. 보안 분야에 종사한다면, MCP 보안 전문성은 다음 커리어 가속 엔진임. AI 에이전트를 활용하는 개발자라면, npm 패키지를 검증하듯 MCP 스킬을 감사하는 법을 배우십시오 — 같은 공급망 공격 플레이북이 이제 AI 속도로 작동하고 있음.
3편에서는 국가 행위자가 AI 자체를 무기화하는 양상을 살펴봅니다 — 딥페이크 기반 소셜 엔지니어링부터 자동화된 취약점 발견까지. 위협은 더 이상 범죄 수준이 아님. 지정학적 수준임.
FAQ
MCP란 무엇이며, 왜 MCP 보안 위험이 되나요?
MCP(Model Context Protocol)는 AI 에이전트를 데이터베이스, API, 클라우드 도구 등 외부 서비스에 연결하는 표준 프로토콜임. 민감 데이터에 광범위한 접근 권한을 부여하면서, 에이전트를 신뢰할 수 없는 콘텐츠에 노출시키고 외부 통신을 가능하게 한다는 점에서 MCP 보안 위험이 됨.
웹사이트가 어떻게 로컬 AI 에이전트를 탈취할 수 있나요?
ClawJacked 취약점은 브라우저가 localhost에 대한 교차 출처 WebSocket 연결을 차단하지 않는다는 점을 악용했음. 악성 웹사이트의 JavaScript가 로컬 MCP 게이트웨이에 연결하고, Rate Limiting 없이 비밀번호를 무차별 대입 공격한 후, 신뢰 기기로 등록하여 AI 에이전트의 완전한 제어권을 획득할 수 있었음.
Claude Code의 MCP 보안 취약점은 무엇인가요?
Check Point Research가 세 가지 취약점을 발견했음: 프로젝트 훅과 MCP 서버 초기화를 통한 원격 코드 실행을 허용하는 CVSS 8.7 취약점 2건, 그리고 ANTHROPIC_BASE_URL 환경 변수를 변조하여 API 키를 탈취할 수 있는 CVSS 5.3 취약점 1건임.
MCP 보안 위협으로부터 조직을 어떻게 보호하나요?
설치된 모든 MCP 스킬의 악성 코드 감사, 에이전트 자격 증명과 개인/프로덕션 계정의 분리, localhost WebSocket 접근 제한, 신뢰할 수 없는 코드에서 AI 도구 실행 전 프로젝트 훅 검토, 그리고 환경 내 모든 AI 에이전트와 권한의 인벤토리 관리부터 시작할 것.
AI 에이전트 맥락에서 Identity Dark Matter란 무엇인가요?
Identity Dark Matter는 기업 환경에서 운영되면서 기존 ID 및 접근 관리 시스템에 보이지 않는 AI 에이전트를 말하는 것임. 사람 직원과 달리, 에이전트는 HR을 통해 온보딩되지 않고, 정의된 역할 생명주기가 없으며, 감사 없이 시간이 지나면서 권한이 누적되어 MCP 보안 사각지대를 만드는 것임.
참고 자료
- “ClawJacked — Hijacking AI Agents via MCP WebSocket Vulnerability,” The Hacker News, 2026-02-28
- “ClawHavoc: 341 Malicious Skills Found on ClawHub MCP Marketplace,” The Hacker News + Koi Security, 2026-02-02
- “Claude Code Vulnerabilities Allow RCE and API Key Theft,” The Hacker News + Check Point Research, 2026-02-25
- “AI Agents Are the New Identity Dark Matter,” The Hacker News + Orchid Security, 2026-03-03
- “Gartner Market Guide for Guardian Agents,” Gartner, 2026
- “CVE-2026-26118 — Azure MCP Server SSRF,” Microsoft Security Response Center, 2026-03-10
- “MCP Attack Surface Analysis — 30 CVEs in 60 Days,” Straiker Security Blog, 2026
- Team8 CISO Village Survey — AI Agent Adoption, Orchid Security, 2026-03
이 글은 AI 기반 리서치 파이프라인으로 작성되었으며, 모든 데이터는 공개 출처에서 확인된 정보임. 투자 및 보안 의사결정은 전문가와 상의하는 것이 권장됨.