급속도로 확산되는 모델 컨텍스트 프로토콜(Model Context Protocol, MCP)이 심각한 보안 리스크를 초래하고 있다는 경고가 나왔다. 사이버 리스크 관리 기업인 비트사이트(Bitsight)는 최근 보고서를 통해 약 1,000여 개의 MCP 서버가 인터넷에 인증 없이 노출된 상태라고 밝히며 기업과 개발자들에게 경각심을 촉구했다.

MCP는 대형 언어 모델 기반 애플리케이션이 외부 도구, API, 데이터베이스, 워크플로 등과 실시간으로 연결할 수 있도록 설계된 오픈소스 표준이다. 이 프로토콜을 통해 AI 시스템은 실제 작동 수준의 명령어 실행, 데이터베이스 조회, 제3자 서비스 호출 등이 가능해진다. 하지만 이와 동시에 강력한 보안 취약점을 구성할 수 있다.

MCP 명세서에는 OAuth 2.1 기반 인증 방식 사용이 권장되고 있지만, 기술적으로 선택사항에 불과하다. 이로 인해 적절한 인증 설정 없이 배포된 서버들이 다수 확인됐고, 상당수는 민감한 백엔드 시스템과 연결되어 있어 치명적인 결과를 초래할 수 있다.

비트사이트 연구팀은 자체 스캔을 통해 HTTP 기반 MCP 서버를 찾아내고 `/mcp`, `/sse` 및 루트 경로 같은 일반적 엔드포인트에 유효한 초기화 요청을 전송해 인증 없이 접근 가능한 서버를 식별했다. 조사 결과 상당수의 서버에서 사용 가능한 도구, 프롬프트, 시스템 자원 목록까지 손쉽게 조회할 수 있었던 것으로 드러났다.

구체적으로는 쿠버네티스 클러스터를 직접 제어하거나, 고객관리시스템(CRM)에 접근하거나, 스팸 메시지를 대량 전송할 수 있는 WhatsApp 도구를 노출한 사례가 보고됐다. 일부 서버에서는 쉘 명령어까지 임의로 실행 가능해, 시스템 전체를 장악할 수 있는 공격 경로가 열려 있는 셈이었다.

전문가들은 이 같은 리스크가 단순 방치가 아닌, 개발자들이 내부 툴을 MCP와 연결하면서 무의식적으로 신뢰 기반의 작동을 전제로 설계하기 때문에 발생한다고 지적한다. 공개된 MCP 서버는 공격자가 이를 중간 서버로 삼아 기존에는 접근이 어렵던 데이터베이스나 스토리지, 유료 API 등에 침투할 수 있는 통로가 될 수 있다.

비트사이트는 보고서 말미에서 "MCP를 실험하거나 운용 중인 조직은 권한 부여를 절대적인 기준으로 삼아야 하며, 선택이 아닌 필수로 적용해야 한다"고 강조했다. MCP 서버 사용 시에는 반드시 내부 네트워크로 제한하고, `stdio` 같은 로컬 통신 방식을 활용하거나 강력한 인증 체계를 필수 적용해야 한다는 권고도 내놨다.

생태계 성장 속도를 따라가지 못한 보안정책이 AI 기반 시스템 전반의 취약성으로 이어지고 있는 지금, MCP의 보안 허점은 단순 구성상의 실수라기보다 산업 전반의 구조적 문제를 드러내는 신호로 해석된다.