MCP 보안 1년 — 19개 사건으로 본 4가지 결함 패턴
목차
- 사건 개요 — 무엇이 시점이 되었는가
- 1년간 19개 사건의 타임라인
- 사건 패턴 분석 — 4가지 결함 패턴
- 패턴 1 — STDIO 인터페이스 RCE (5건)
- 패턴 2 — Tool Poisoning (2건)
- 패턴 3 — 공급망 공격 (2건)
- 패턴 4 — 인증/격리 부재 (7건)
- 사건에서 보는 3가지 전환점
- 1. Postmark MCP (2025.09): 첫 in-the-wild 공급망 공격
- 2. Anthropic 공식 Git MCP (2025.12): “공식 = 안전”의 붕괴
- 3. 60일간 30+ CVE (2026.01~02): 개별 패치에서 아키텍처 문제로
- 참고: MCP 외부 위협 — 멕시코 정부 침해 (2025.12 ~ 2026.01)
- 커뮤니티 반응 — 현 시점 스냅샷
- 출처 (Primary Sources)
이 글은 2025년 4월부터 2026년 4월까지 공개된 MCP 보안 사건 19건(실제 침해, CVE 취약점 공개, 연구·정책 대응 포함)을 시간순으로 정리하고, 반복되는 결함 패턴을 분류한다. 추측을 배제하고, 인용한 모든 수치와 사건은 본문 내 1차 출처(벤더 발표, CVE DB, 보안 연구 보고서) 링크로 검증할 수 있다.
사건 개요 — 무엇이 시점이 되었는가
애플리케이션 보안(AppSec) 전문 회사 Ox Security의 연구팀은 2026년 4월 15일, MCP(Model Context Protocol)의 STDIO 전송 구조에 SDK 차원의 설계 결함이 존재한다고 Infosecurity Magazine을 통해 공개했다. Ox Security는 이스라엘 텔아비브 기반 회사로, 소프트웨어 공급망 공격 참조 표준인 OSC&R(Open Software Supply Chain Attack Reference) 프레임워크의 창립 멤버다. 핵심은 단순하다.
- MCP 서버를 로컬 서브프로세스로 실행할 때, 명령어 문자열이 검증 없이 그대로 OS에 전달된다
- 서버가 정상 시작되면 핸들을 반환하지만, 실패해도 명령은 이미 실행된 뒤에 에러를 반환한다
- 즉 악성 명령을 주입하면 서버 인스턴스 생성 실패와 무관하게 코드가 실행된다
The Register 보도에 따른 영향 범위는 다음과 같다.
| 지표 | 수치 |
|---|---|
| 영향 SDK | Anthropic 공식 4종 (Python, TypeScript, Java, Rust) |
| 총 다운로드 | 약 1.5억 |
| 공개 서버 | 7,000+ |
| 취약 인스턴스 추정 | 최대 20만 |
| 관련 CVE | 10건 (9건 Critical) |
다만 “20만 대가 즉시 익스플로잇 가능”으로 해석하면 곤란하다. Ox Security가 말하는 건 SDK를 사용하는 인스턴스 모집단이며, 상당수는 로컬 개발 환경(외부 노출 없음)이거나 내부망 서버다. 실제 공격이 성립하려면 사용자 입력 경로 또는 신뢰되지 않은 도구 마켓플레이스 연결이 필요하다.
Ox Security는 2025년 11월부터 수차례 패치를 요청했으나 Anthropic은 해당 동작을 “expected behavior”로 분류하며 거절했다. 이 발표가 주목받는 이유는 새로운 사실의 폭로가 아니라, 지난 1년간 누적된 패턴에 이름을 붙였기 때문이다.
1년간 19개 사건의 타임라인
일차 출처 기준 검증된 사건 타임라인이다. 보도 시점이 아닌 사건 발생/공개 시점 기준이며, CVE 번호가 부여된 건 함께 표기한다. 분류 태그는 침해(실제 피해 발생)·CVE(취약점 공개)·연구(보안 조사)·정책(규제·행정 조치)으로 구분한다.
| 시점 | 분류 | 사건 | 내용 |
|---|---|---|---|
| 2025.04 | 침해 | WhatsApp MCP | tool poisoning 익스플로잇으로 전체 대화 기록 탈취 |
| 2025.05 | 침해 | GitHub MCP | 악성 이슈를 통한 프롬프트 주입, private repo 데이터 유출 |
| 2025.06 | CVE | Anthropic MCP Inspector | localhost 인증 부재로 RCE, 개발자 자격증명 노출 |
| 2025.07 | CVE | mcp-remote (CVE-2025-6514) | OS 명령 주입, 43만 다운로드 영향 |
| 2025.08 | CVE | Anthropic Filesystem MCP (CVE-2025-53109/53110) | symlink 우회로 샌드박스 탈출, 임의 파일 R/W |
| 2025.09 | 침해 | Postmark MCP | 공급망 공격, 모든 이메일에 BCC 삽입 |
| 2025.10 | 침해 | Smithery 레지스트리 | path traversal, 3,000+ 호스팅 서버 인프라 장악 |
| 2025.10 | CVE | Figma/Framelink MCP | 미검증 입력으로 RCE |
| 2025.11 | 침해 | Asana MCP | 샌드박스/디렉토리 격리 미흡, cross-org 데이터 노출 |
| 2025.12 | CVE | Anthropic Git MCP (CVE-2025-68143/68144/68145) | 인자 미검증 3건, mcp-server-git 2025.12.18에서 패치 |
| 2025.12 ~ 2026.01 | 침해* | 멕시코 정부기관 침해 | Claude Code 활용한 단일 공격자, 150GB 정부 데이터 탈취 (별도 섹션) |
| ▼ 변곡점: 산발적 결함 → 구조적 패턴 인식 (CVE 빈도 가속) ▼ | |||
| 2026.01 | CVE | Claude Code (CVE-2025-59536, CVE-2026-21852) | 프록시 redirect로 API 키 탈취, 2.0.65+ 패치 |
| 2026.02 | CVE | MCP 생태계 전반 | 60일간 30+ CVE 누적 (CVSS 9.6 RCE 포함, 50만 다운로드 패키지 영향) |
| 2026.02 | 연구 | Trend Micro 조사 | 인터넷에 인증 없이 노출된 MCP 서버 492개 발견 |
| 2026.02~04 | 정책 | Pentagon 지정 | Anthropic을 "공급망 위험"으로 지정(미국 기업 최초). 03 연방 판사 일시 차단 → 04 해제 요청 기각 |
| 2026.02 | 침해 | Agent marketplace poisoning | 악성 skill 1,184개 마켓플레이스 침투 |
| 2026.03.10 | CVE | Microsoft MCP (CVE-2026-26118) | Patch Tuesday CVSS 8.8 High severity 패치 |
| 2026.03.31 | 침해 | Krisp AI MCP | 동시 요청 race condition으로 타 사용자 콘텐츠 노출 |
| 2026.04.15 | 연구 | Ox Security 발표 | STDIO 설계 결함 공개, 1.5억 다운로드/20만 인스턴스 영향 |
* 멕시코 사건은 MCP 프로토콜 결함이 아닌 AI 도구 악용 사례로, 별도 섹션에서 다룬다.
12개월 동안 평균 월 1.5건의 굵직한 사건이 발생했고, 2026년 1월이 변곡점이다. 이전엔 개별 CVE를 패치하는 식의 대응이 가능했지만, 1월 이후 60일간 30+ CVE가 누적되면서 ‘산발적 결함’에서 ‘구조적 패턴’으로 인식 단계가 바뀌었다. AuthZed의 전체 타임라인 정리에서 더 세부적인 정황을 확인할 수 있다.
사건 패턴 분석 — 4가지 결함 패턴
19개 사건을 결함 유형으로 묶으면 4가지 패턴으로 수렴한다. 표면 형태는 다르지만 공통 구조가 있다. 누가 호출하는지, 무엇을 호출하는지, 어떤 권한으로 호출하는지 — 이 세 가지 검증 게이트가 빠져 있다.
19건 중 16건은 MCP 결함 자체에 속하고, 나머지 3건(멕시코 사건은 MCP 외부, 60일 30+ CVE는 메타 통계, Pentagon 지정은 정책)은 패턴 분류 대상이 아니라 “분류 외”로 묶었다. 분포는 아래와 같다.
건수 기준으로는 인증/격리 부재(7건)와 STDIO RCE(5건)가 양대 축이다. 영향 규모 기준으로 보면 양상이 다르다. STDIO RCE는 SDK 자체의 설계에 속해 SDK로 만든 프로젝트가 자동으로 상속하는 구조이며, Ox Security가 집계한 “1.5억 다운로드·20만 인스턴스”는 이 패턴 한 종에서 파생된다. 한편 패턴 4는 건수는 가장 많지만 개별 사건의 영향 범위는 배포 컨텍스트(외부 노출 여부, 멀티테넌트 여부)에 따라 달라진다. 즉 빈도와 파급력이 같은 축에서 움직이지 않는다.
패턴 1 — STDIO 인터페이스 RCE (5건)
MCP 서버 실행 시 명령어가 검증 없이 OS로 전달되는 문제. SDK 자체의 설계에 속하기 때문에 SDK로 만든 프로젝트가 자동으로 상속하는 구조다. Ox Security가 2026.04에 공식화한 구조적 결함이 이 패턴에 해당한다.
- mcp-remote (CVE-2025-6514, CVSS 9.6) — OS 명령 주입, 43만 다운로드 영향
- Anthropic Git MCP (CVE-2025-68143/144/145) — 공식 레퍼런스 서버의 인자 미검증
- Microsoft MCP (CVE-2026-26118) — Patch Tuesday CVSS 8.8 High severity
- Figma/Framelink MCP — 미검증 입력 RCE
패턴 2 — Tool Poisoning (2건)
도구 설명(tool description)을 LLM이 무비판적으로 신뢰한다는 전제를 악용한다. 악성 도구가 자신을 합법 도구처럼 위장하거나, 정상 도구의 설명에 숨겨진 지시(prompt injection)를 심어 LLM의 판단을 우회하는 형태다. 건수는 적지만, LLM 응답 자체만으로는 의심 신호가 드러나지 않는다는 특성이 있다.
- WhatsApp MCP (2025.04) — tool poisoning 익스플로잇으로 전체 대화 기록 탈취
- GitHub MCP (2025.05) — 악성 이슈 프롬프트 주입으로 private repo 데이터 유출
패턴 3 — 공급망 공격 (2건)
신뢰받던 패키지가 변조되거나, 합법 패키지를 카피한 typosquat이 마켓플레이스에 침투. npm/PyPI 생태계 고유의 공급망 위험이 MCP에도 그대로 이식된다.
- Postmark MCP (2025.09) — 첫 in-the-wild 공급망 공격, 500개 조직 일평균 1.5만 이메일 BCC 탈취
- Agent marketplace poisoning (2026.02) — 악성 skill 1,184개 마켓플레이스 침투
패턴 4 — 인증/격리 부재 (7건)
MCP 서버가 localhost 인증을 요구하지 않거나, 멀티테넌트 환경에서 디렉토리/세션 격리를 하지 않는 결함. 19개 사건 중 건수 기준으로 가장 많지만, 영향 범위는 개별 배포 컨텍스트에 따라 달라진다.
- Anthropic MCP Inspector (2025.06) — localhost 인증 부재로 RCE
- Anthropic Filesystem MCP (CVE-2025-53109/110) — symlink로 샌드박스 탈출
- Smithery 레지스트리 (2025.10) — path traversal로 3,000+ 호스팅 서버 장악
- Asana MCP (2025.11) — cross-org 데이터 노출
- Claude Code 프록시 (CVE-2025-59536, CVE-2026-21852) — redirect로 API 키 탈취
- Trend Micro 관측 (2026.02) — 인증 없이 노출된 서버 492개
- Krisp AI MCP (2026.03) — race condition으로 cross-user 콘텐츠 노출
Practical DevSecOps의 분석은 이 4가지 패턴을 더 작은 단위로 쪼개 4가지 공격 벡터(비인증 명령 주입, 하드닝 우회, 설정 기반 프롬프트 주입, 네트워크 기반 주입)로 다룬다.
이 사건들이 이미 검증된 보안 인프라를 갖춘 조직(Anthropic, GitHub, Asana 등)에서 발생했다는 점도 주목할 만하다. MCP의 STDIO 동작은 로컬 서브프로세스로 실행되어 네트워크 시그니처가 없고, LLM이 도구를 선택하므로 기존 RBAC/IAM의 인가 모델과 맞지 않는다. 즉 EDR·WAF 같은 전통적 보안 계층의 가시성 밖에서 동작한다.
사건에서 보는 3가지 전환점
타임라인 19건 중, 생태계 인식을 단계적으로 바꾼 마일스톤 3가지를 짚는다. 나머지 사례는 앞의 패턴 분석에서 대표 사례로 이미 호출했다.
1. Postmark MCP (2025.09): 첫 in-the-wild 공급망 공격
Snyk와 The Hacker News가 보도한 MCP 생태계 최초의 악성 서버 사례다. 공격자가 합법 Postmark MCP를 복사해 npm에 게시하고, 버전 1.0.16부터 모든 발송 이메일에 BCC를 삽입했다. 약 500개 조직, 일평균 3,000~15,000건의 이메일이 노출됐다 (Dark Reading, Koi.ai).
2. Anthropic 공식 Git MCP (2025.12): “공식 = 안전”의 붕괴
The Hacker News 보도. CVE-2025-68143·68144·68145 세 건. 공식 레퍼런스 서버조차 인자 검증 미비로 RCE 위험에 노출됐다.
3. 60일간 30+ CVE (2026.01~02): 개별 패치에서 아키텍처 문제로
CVSS 9.6 RCE를 포함한 Critical 등급 CVE가 두 달 사이 30건 이상 공개됐고, 50만 다운로드 패키지가 영향권에 들었다. Trend Micro는 인증 없이 인터넷에 노출된 MCP 서버 492개를 확인했고, Pentagon은 Anthropic을 미국 기업 최초로 “공급망 위험”으로 지정했다.
참고: MCP 외부 위협 — 멕시코 정부 침해 (2025.12 ~ 2026.01)
이 사건은 MCP 프로토콜 결함이 아닌 AI 도구 악용 사례다. 에이전트 권한 모델의 위험을 보여주는 배경 맥락으로 포함한다.
Bloomberg 보도. 단일 공격자가 “버그 바운티 수행 중”이라는 pretext로 Claude Code의 안전 장치를 우회하고, 멕시코 연방 세무청·선거관리원 등 7개 기관에서 150GB의 정부 데이터를 탈취했다 (SecurityWeek, Security Affairs). Anthropic은 인지 후 계정 차단 및 Claude Opus 4.6에 misuse detection probe를 도입했다.
커뮤니티 반응 — 현 시점 스냅샷
Ox Security 발표(2026.04.15)에 대한 공식 커뮤니티 토론은 아직 형성 단계다. HN 상위 스레드 규모:
- HN 47805168 — The Register “Anthropic won’t own MCP design flaw”(2026.04.16) 기사에 대한 스레드. 3점·댓글 0
- HN 47356600 — heyuan110 “30 CVEs in 60 Days” 글에 대한 스레드. 2점·댓글 4개. 댓글은 실무 대응 도구 공유 성격으로,
protect-mcp(정책 제어·Ed25519 서명), MCP Gateway(OAuth 2.1·RBAC·감사 추적), CVE-2025-6514 스캔 권고 등이 언급됨
표준 MCP 보안 스캐너가 아직 없어, 커뮤니티는 Snyk·Socket.dev 같은 일반 패키지 스캐너와 The Vulnerable MCP Project 커뮤니티 DB를 보조 수단으로 활용하고 있다.
출처 (Primary Sources)
핵심 보고서
- Ox Security 발표 (Infosecurity Magazine, 2026.04.15): https://www.infosecurity-magazine.com/news/systemic-flaw-mcp-expose-150/
- The Register — Anthropic 200K 서버 위험 (2026.04.16): https://www.theregister.com/2026/04/16/anthropic_mcp_design_flaw/
사건 분석
- AuthZed — MCP 보안 사건 전체 타임라인: https://authzed.com/blog/timeline-mcp-breaches
- Practical DevSecOps — MCP 취약점 가이드: https://www.practical-devsecops.com/mcp-security-vulnerabilities/
- Palo Alto Unit42 — 샘플링 기반 공격: https://unit42.paloaltonetworks.com/model-context-protocol-attack-vectors/
개별 사례
- Bloomberg — 멕시코 정부 침해: https://www.bloomberg.com/news/articles/2026-02-25/hacker-used-anthropic-s-claude-to-steal-sensitive-mexican-data
- SecurityWeek — Claude Code 멕시코 침해: https://www.securityweek.com/hackers-weaponize-claude-code-in-mexican-government-cyberattack/
- Security Affairs — 150GB 데이터 탈취: https://securityaffairs.com/188696/ai/claude-code-abused-to-steal-150gb-in-cyberattack-on-mexican-agencies.html
- Snyk — Postmark MCP 분석: https://snyk.io/blog/malicious-mcp-server-on-npm-postmark-mcp-harvests-emails/
- The Hacker News — 첫 악성 MCP 서버: https://thehackernews.com/2025/09/first-malicious-mcp-server-found.html
- Dark Reading — Postmark BCC 유출: https://www.darkreading.com/application-security/malicious-mcp-server-exfiltrates-secrets-bcc
- Koi.ai — Postmark 백도어 분석: https://www.koi.ai/blog/postmark-mcp-npm-malicious-backdoor-email-theft
- Check Point Research — Claude Code API 키 탈취 CVE: https://research.checkpoint.com/2026/rce-and-api-token-exfiltration-through-claude-code-project-files-cve-2025-59536/
- The Hacker News — Anthropic Git MCP 3개 결함: https://thehackernews.com/2026/01/three-flaws-in-anthropic-mcp-git-server.html
- Cymulate — EscapeRoute (Filesystem MCP): https://cymulate.com/blog/cve-2025-53109-53110-escaperoute-anthropic/
- PointGuard AI — Microsoft MCP CVE-2026-26118: https://www.pointguardai.com/ai-security-incidents/microsoft-mcp-server-vulnerability-opens-door-to-ai-tool-hijacking-cve-2026-26118
- WSJ — Pentagon, Anthropic을 공급망 위험으로 지정 (2026.03.05): https://www.wsj.com/politics/national-security/pentagon-formally-labels-anthropic-supply-chain-risk-escalating-conflict-ebdf0523
- CNN — 연방 판사, Pentagon 조치 일시 차단 (2026.03.26): https://www.cnn.com/2026/03/26/business/anthropic-pentagon-injunction-supply-chain-risk
- NYT — 연방법원, Anthropic 해제 요청 기각 (2026.04.08): https://www.nytimes.com/2026/04/08/technology/anthropic-pentagon-risk-circuit-court.html
커뮤니티/레퍼런스
- Hacker News 토론 (30 CVEs 스레드): https://news.ycombinator.com/item?id=47356600
- The Vulnerable MCP Project — 취약점 DB: https://vulnerablemcp.info/
- MCP 공식 보안 가이드라인: https://modelcontextprotocol.io/specification/draft/basic/security_best_practices