앤트로픽의 방관 속 기하급수적으로 번지는 ‘MCP’ 공급망 보안 위협
https://www.boannews.com/media/view.asp?idx=143295&page=1&kind=3
기사의 내용을 요약하면 다음과 같다.
보안기업 옥스 시큐리티는 엔트로픽이 만든 MCP에 설계 단계부터 존재한 결함이 발견되어 패치를 권고했으나 엔트로픽은 설계상 의도된 동작이라며 거절하여 공급망 보안에 비상이 결렸다.🚨
여기서 다루어 지는 MCP에 대해서 조금 알아보자.
MCP (Model Context Protocol)🛠️
간단히 말해 AI모델과 외부 데이터/도구를 연결하는 공용 인터페이스(규격)이다.
LLM의 발전에 따라 AI가 여러가지 작업을 수행하기 위해 AI가 직접 호출해 사용하는 여러가지 외부 도구가 존재한다. 개발자가 새로운 도구를 추가할때 마다 새로운 코드를 작성해야 하는 불편함이 있었다.
그래서 이를 프로토콜로 표준 규격을 정의해 한 번만 MCP 서버를 구축해두면 어떤 AI모델이든 그 서버를 통해 데이터를 가져올 수 있다.
MCP는 다음과 같이 3가지 구성요소가 있다.
- MCP 호스트 : AI 모델이 구동되는 클라이언트
- MCP 클라이언트 : 호스트 내부에 존재하며 서버와 통신하는 매개체
- MCP 서버 : 실제 데이터나 기능을 제공하는 곳
여기서 문제가 되는부분은 서버이다. 기사에서도 다음과 같이 서술되어 있다.
옥스 시큐리티는 실험을 통해 11개의 공식 AI 서버 저장소 중 9곳에 가짜 악성 서버를 심는 데 성공해, AI 생태계 전체가 가짜 서버로 뒤덮일 수 있다고 경고했다.
MCP 생태계가 활성화되면서 개발자들은 Github이나 MCP 전용 저장소에서 필요한 서버를 내려받아 사용한다. 이때 공격자는 가짜서버를 심어서 유명 서비스를 사칭하거나, 기능은 수행하되 악성코드도 삽입시켜 악의적인 행동을 수행하는 방식이다.
악성코드를 이용해서 원격코드실행(RCE), 혹은 공급망 공격으로 연계되어질 수 있다는 점을 시사하고 지적하였지만 엔트로픽은 설계상 의도된 동작이라고 답하였다.
의도된 동작?🤔
보안 위협을 지적하였을때 서비스 제공자측에서 의도된 동작이라고 주장하는 경우가 종종 있다. 기사에서는 자세히 언급되어 있지 않지만 GPT와 얘기를 나누면서 다음과 같이 요약할 수 있다.
MCP의 본질은 AI가 도구를 대신 조작할 수 있도록 만든것이다. 그 도구의 표준을 제공한 것이지, 어떤 도구를 사용할지는 AI나 사용자가 결정하는 것이다.
비유를 하자면 고속도로에 음주운전 사고가 났어도, 고속도로를 만든 한국도로공사에게 책임을 물을 수는 없다는 것이다. 얼핏 보면 그럴듯 하지만 그래도 현 상황을 방치하고 방관하는 자세는 올바르다고 할 수는 없는것 같다.
대응방안은? 🔐
1. 샌드박싱 및 컨테이너화
- 설령 악성 서버가 원격 코드를 실행하더라도 공격범위를 한정지어서 실제 호스트에 접근할 수 없도록 제한하는 방법이 있을 수 있겠다.
2. 망 분리 및
- 악성코드 실행은 어쩔수 없지만 데이터 탈취가 목적이라면 망 분리 및 Egress필터링으로 제한할 수 있다.
3. 실시간 모니터링 및 로깅
- 효율적이지는 않지만 데이터의 흐름을 모니터링 하거나 유출후 사고를 분석하기 위해 로깅을 수행한다.
4. 제로 트러스트 모델 도입
- 신뢰기반구조를 사용하지 않고 제로트러스트 모델을 도입해 인증된 MCP서버만 이용한다.
5. 화이트박스 검증
- MCP 서버는 주로 오픈소스로 제공되므로 설치 전 소스코드를 분석해 악의적인 행동을 수행하는지 파악한다.
결론 🧑💻
요즘 LLM발전이 엄청난 속도로 발전해오고 있기 때문에 AI툴이 우후죽순으로 생겨나고 있다. 하지만 이에 맞춰서 정보보안도 발맞춰 발전해야하지만 이뤄지지 않는게 안타까울 따름이다.
