💌 후속 콘텐츠, 계속 받아보세요 ▶

인공지능(AI) 기술이 사이버 보안 환경을 혁신하고 있지만, 동시에 예측하지 못한 거대한 위험을 동반하고 있다. 특히, AI 에이전트 간의 효율적인 상호작용을 위해 개발된 MCP와 A2A 프로토콜은 개발 생산성과 자동화 수준을 전례 없이 높여주는 강력한 혁신으로 주목받고 있지만, 이는 과거 웹의 취약점을 AI라는 새로운 맥락으로 재현하며 거대한 공격 표면을 만들어내는 '양날의 검'이 되고 있다. 이에 상호운용성에만 집중하여 보안을 간과한 채 도입된 이 프로토콜들은 이제 방어자에게는 편리한 도구, 공격자에게는 강력한 무기가 되고 있다. 따라서 이 새로운 기술을 어떻게 안전하게 통제하고 활용할 것인지에 대한 깊이 있는 논의가 시급한 시점이다.

01. MCP, A2A 등 Agent Interoperability Protocols에 대해 알아보자.

오늘날의 사이버 보안 환경은 점점 더 복잡하고 동적인 구조로 진화하고 있다. 서로 다른 벤더 기술을 바탕으로 다양한 보안 시스템들이 독립적으로 구성되면서, 이기종 시스템 간 통합과 협업의 문제가 보안 대응의 새로운 과제로 떠올랐다. 이에 따라 사용자나 AI Agent, 또는 보안 구성요소 간 상호운용성을 보장하고 협력적 자동화를 가능하게 해주는 Agent Interoperability Protocol의 필요성이 부각되고 있다. 대표적으로 MCP(Model Context Protocol)와 A2A(Agent-to-Agent) 프로토콜이 그러한 역할을 수행한다. 여기에서는 가장 대표적인 MCP에 대해서 알아보자.

1) MCP는 AI를 위한 USB-C

MCP(Model Context Protocol)는 2024년 말 앤트로픽(Anthropic)에서 개발한 프로토콜로, LLM이 API를 통해 외부 서비스와 상호 작용하는 표준 방식을 정의한다. API에는 이메일 클라이언트, 클라우드 스토리지, 콘텐츠 관리시스템(CMS) 또는 API가 있는 사실상의 모든 것이 포함되어 있다.
많은 기업과 벤더들이 MCP를 빠르게 도입하고 Asna, Strip 등의 서비스가 이 프로토콜을 구현하면서, 생태계는 기하급수적으로 성장하고 있다.

위 그림은 앤트로픽(Anthropic)에서 MCP를 설명할 때 USB-C 포트에 빗대어 설명한 그림이다. 이와 같이 MCP는 AI를 여러 데이터나 도구 등과 쉽게 연결할 수 있게 해주는 규칙과 같은 것이다. 쉽게 설명해 보겠다.

“우리 집에는 여러 전자기기가 있는데, 예전에는 USB-A, USB-B처럼 기기마다 포트 모양이 달라서 매번 다른 케이블을 준비해야 하는 번거로움이 있었다. 그러나 이제는 모든 기기가 USB-C 포트처럼 같은 포트를 쓰게 바뀌어 케이블 하나만 있으면 전부 연결할 수 있게 되었다. MCP도 마찬가지다. AI가 여러 가지 정보나 도구를 쓸 때마다 매번 다르게 연결할 필요 없이, MCP라는 하나의 규칙만 알면 어떤 AI든지 쉽게 연결할 수 있게 해준다”

구글은 지난 2025년 4월 9일 Google Cloud Next 행사에서 A2A(Agent to Agent) 프로토콜을 발표하였고, 구체적인 발표 문서는 Google DevFest 2025에서 공개하였다. A2A는 50개 이상의 기술 파트너(세일즈포스, SAP, 랭체인, 딜로이트 등)와의 협력 하에 개발됐다. A2A의 주요 목적은 서로 다른 개발자, 프레임워크, 벤더가 만든 AI 에이전트들이 서로 안전하게 협업하고 소통할 수 있도록 하는 것이다.

2) MCP, A2A 프로토콜 비교

MCP와 A2A는 모두 클라이언트-서버 모델을 기반으로 하지만, 설계 원칙과 아키텍쳐 측면에서 몇 가지 중요한 차이점을 지닌다. 두 프로토콜의 기술적 아키텍처와 접근 방식을 비교해 보자.

비교 요소	Agent2Agent (A2A)	Model Context Protocol (MCP)
개발사	Google (Salesforce 등 50개 이상의 파트너와 협력)	엔트로픽(Anthropic) (Microsoft와 Google 툴킷의 지원을 받음)
기본 아키텍처	클라이언트-서버 모델 (HTTP/JSON-RPC/SSE)	클라이언트-서버 모델 (JSON-RPC)
설계 접근 방식	수평적 오케스트레이션 - 플랫폼 간 에이전트 통신	수직적 통합 - 도구 및 데이터 접근 표준화
핵심 설계 원칙	에이전틱-퍼스트, 기존 표준 활용, 보안 중심, 장기 작업 지원, 모달리티에 구애받지 않음	도구 통합 단순화, 플러그 앤 플레이 통합, 벤더 유연성, 내장된 보안
주요 구성 요소	에이전트 카드, 작업, 메시지/파트, 아티팩트	MCP 호스트, MCP 서버, MCP 클라이언트, 로컬/원격 데이터 소스
통신 방식	양방향 비구조화된 통신, 실시간 상태 업데이트	구조화된 두 방향 통신, API 호출 중심

[표 1] MCP와 A2A 두 아키텍처 비교

A2A는 HTTP, JSON-RPC, Server-Sent Events(SSE)와 같은 널리 채택된 웹 기술을 기반으로 구축되었다. 특히 SSE를 활용하여 실시간 상태 업데이트를 지원하며, 이를 통해 장기 실행 작업의 진행 상황을 추적할 수 있다. 반면 MCP는 JSON-RPC 중심의 클라이언트-서버 모델을 사용하며, 구조화된 API 호출을 통해 외부 도구와 데이터에 접근한다.

A2A의 설계 원칙은 에이전트의 자율성을 존중하는 ‘에이전틱-퍼스트’ 접근 방식을 취한다. 에이전트는 공유 메모리나 도구 없이 독립적으로 작동하며, 필요할 때만 명시적인 통신을 통해 협업한다. 또한, A2A는 처음부터 보안을 핵심 요소로 삼았으며, 다양한 형식의 콘텐츠를 지원한다.

MCP는 ‘플러그 앤 플레이’ 통합을 강조하며, AI 모델이 다양한 외부 도구와 데이터 소스에 쉽게 연결될 수 있도록 한다. 이를 통해 개발자는 각 도구에 맞는 커스텀 연결 방식을 개발할 필요 없이 표준화된 방식으로 모델과 도구를 연결할 수 있다.

아주 간단하게 요약하자면, A2A는 협업을, MCP는 통합을 지향하는 프로토콜인 것이다. 이는 기능적인 측면에서 A2A와 MCP가 서로 다른 문제를 해결하도록 설계되었음을 보여준다. A2A는 여러 에이전트가 마치 팀처럼 함께 일할 수 있게 하는 데 중점을 두며, MCP는 단일 에이전트가 필요한 도구와 데이터에 접근할 수 있도록 하는 데 초점을 맞추고 있다. 이러한 차이로 인해 두 프로토콜은 경쟁 관계보다는 상호 보완적인 관계에 있다고 볼 수 있다.

3) 그러면 어떻게 구성되어 있을까?

MCP는 AI가 외부 데이터와 도구에 쉽게 접근할 수 있도록 표준화된 연결 방식을 제공하도록 구성되어 있다. 해당 구성은 크게 호스트, 클라이언트, 서버, 그리고 로컬 데이터 소스와 원격 서비스로 나눌 수 있다. AI(MCP 호스트라고도 함)는 전체 시스템을 관리하고, MCP 클라이언트는 각 서버와 1:1로 연결해 데이터를 주고받는 역할을 한다. MCP Server는 실제 데이터를 제공하거나 도구 기능을 수행하며, Data Source(보통 로컬 데이터 소스와 원격 데이터 소스로 나눔)는 각각 내 컴퓨터와 인터넷의 정보를 담당한다. 이렇게 역할이 분리되어 있어서 여러 데이터와 도구를 한 번에 쉽게 연결하고, 관리와 보안도 체계적으로 처리할 수 있다.

이를 표로 정리하면 다음과 같다.

구성 요소	역할과 설명	예시
AI Host (MCP Host)	MCP를 통해 데이터를 사용하려는 메인 프로그램. 여러 클라이언트(연결선)를 관리하고, 전체 흐름을 조율함	Claude Desktop, IDE, AI 도구 등
MCP Client	호스트 안에서 만들어지는 연결선. 각 서버와 1:1로 연결되어 데이터를 주고 받음	Claude Agent, IDE 내부의 연결 모듈 등
MCP Server	실제로 데이터를 제공하거나 도구 기능을 수행하는 경량 프로그램으로 표준 규칙에 따라 특정 기능을 외부에 보여줌	파일 서버, 데이터베이스 서버, 번역 서버 등
Data Source (로컬 데이터 소스)	MCP 서버가 내 컴퓨터에서 안전하게 접근할 수 있는 파일, 데이터베이스, 서비스 등	내 컴퓨터의 문서, 사진, 엑셀 파일 등
Data Source (원격 서비스)	MCP 서버가 인터넷을 통해 연결할 수 있는 외부 시스템(API 등). 인터넷에서 정보를 가져오거나 다른 서비스와 연결	날씨 API, 뉴스 사이트, 이메일 서비스 등

[표 2] MCP 구성 요소

4) 활용 사례와 적용 분야

그럼 이와 같이 MCP, A2A와 같은 Agent Interoperability Protocols의 전반적인 활용 사례와 함께 보안 분야에 적용된 사례에 대해서 살펴보도록 한다. 특히, MCP는 많은 사용자를 확보하기 위해 MCP 서버 목록을 제공하는 다양한 사이트나 커뮤니티들이 존재한다. 대표적으로 Claude MCP, Awesome MCP Servers, GitHub, MCP.so 등이 있다.

서버 목록	내용	주소
Claude MCP	Claude MCP는 Claude MCP 프로토콜에 중점을 둔 커뮤니티 웹사이트로, 프로토콜 상세 정보, 예제 코드, 서버 목록, 모범 사례 등을 제공함	https://www.claudemcp.com/ko
Awesome MCP Servers	Model Context Protocol(MCP) 서버의 큐레이션 리스트로, AI 모델이 다양한 기능을 확장할 수 있도록 지원하는 서버들을 모아둠	https://mcpservers.org/
GitHub MCP Server저장소	Model Context Protocol의 레퍼런스 구현체와 커뮤니티 빌드 서버, 추가 자료 등을 담고 있음	https://github.com/modelcontextprotocol
MCP.so	다양한 MCP 서버를 검색하고 탐색하여 AI 기능을 향상시킬 수 있는 리소스를 제공함	https://mcp.so/

[표 3] MCP 서버 리스트

4-1) 전반적인 활용 사례

MCP와 A2A은 비슷한 형태의 프로토콜이지만, 적용 분야가 다르기 때문에 활용 사례도 약간의 차이가 있다. 전반적으로 다음 같이 활용 및 적용되어 있다.

A2A는 기업 프로세스 자동화, HR 채용 프로세스, 콘텐츠 현지화, 자동차 수리점 사례 등 A2A 프로토콜을 통해 지속적인 서비스와 자동화 등을 구현하고 있다. MCP는 개인화된 AI 어시스턴트, 실시간 데이터 액세스, 코드 개발 지원, 자동차 수리 도구 액세스 등에 사용될 수 있다.

특히, A2A와 MCP 프로토콜의 활용 사례를 비교해 보면, A2A는 여러 에이전트가 함께 작업하여 복잡한 업무 프로세스를 처리하는 데 초점을 맞추는 반면, MCP는 단일 AI 모델이 다양한 도구와 데이터 소스에 접근하여 더 지능적인 결과를 제공하는 데 중점을 둔다. 따라서 두 프로토콜은 함께 사용될 때 더욱 강력한 AI 시스템을 구축할 수 있게 된다.

Google은 A2A를 발표하면서 이 프로토콜이 엔트로픽(Anthropic)의 MCP와 상호 보완적인 관계에 있다고 신중하게 포지셔닝했다. 구글에서 애초에 A2A와 MCP가 충돌 없이 병행 운영될 수 있도록 계층적으로 구조를 설계했다고 밝힌 만큼 둘을 함께 사용했을 때의 긍정적 효과가 기대된다. A2A Github 문서에는 ‘A2A ❤️ MCP’라는 제목의 페이지가 있는 것을 보면 상호 보완적 관계의 포지셔닝이 아직까지는 유지되고 있다.

4-2) 보안 분야에서의 MCP 활용 사례

보안 분야에서도 MCP를 사용함으로써 많은 부분에서 복잡한 명령어나 API 연결이 필요한 부분을 유연하게 적용할 수 있다. 특히, MCP의 강력한 자동화 및 연동 능력은 사이버보안 분야에 빠르게 활용되고 있다. 보안 벤더들은 MCP를 반복적이고, 복잡한 보안 업무를 자동화하고 가속화하는 영역에 활용하고 있다.

첫째, 위협 인텔리전스 강화에 사용될 수 있다. AI가 MCP 서버를 통해 Shodan, VirusTotal과 같은 외부 위협 인텔리전스 플랫폼에 실시간으로 접속하여 최신 정보를 분석하고 위협을 탐지할 수 있다.

둘째, 자동화된 취약점 분석 분야에서도 MCP를 사용하여 자동화와 유연성을 강화하고 있다. AI가 MCP 서버를 통해 자동화된 스캐닝 도구를 실행하여 웹 애플리케이션이나 네트워크의 취약점을 분석하고 보고서를 생성한다. 현재, Nessus, Nmap, Contrast Security 등에서도 MCP Server를 제공하고 있다.

셋째, 사고 대응 및 분석에 사용할 수 있다. 보안 사고 발생 시, AI가 MCP 서버를 통해 관련 시스템 로그, 네트워크 트래픽 데이터 등을 신속하게 수집하고 분석하여 사고의 원인과 영향을 파악한다.

클래로티(Claroty)의 xDome MCP 서버는 AI 모델을 운영기술(OT) 및 산업 제어 시스템(ICS) 보안 데이터에 직접 연결한다. 이를 통해 대화형 자산 검색, 경보 상관분석을 통한 위협 탐지 강화, 사전 예방적 노출 관리, 사고 대응 간소화 등 다양한 활용 사례를 구현할 수 있다.

넷째, 보안 관제 효율화(SecOps)에 사용될 수 있다. 보안 분석가가 자연어(채팅)로 AI에게 요청하면, AI가 MCP 서버를 통해 여러 보안 장비(SIEM, EDR 등)의 데이터를 통합 분석하여 결과를 제공함으로써 관제 업무의 효율을 높인다.

체크포인트(check point)의 MCP 서버는 방화벽 정책, 객체, 로그 등에 대한 자연어 질의를 가능하게 한다. 예를 들어 보안 엔지니어는 스크립트를 작성하거나 관리 콘솔을 직접 탐색할 필요 없이 “알 수 없는 소스로부터의 인바운드 트래픽을 허용하는 모든 방화벽 규칙을 나열해 줘”라고 질문하고 구조화된 답변을 받을 수 있다. 이는 운영 효율성을 극적으로 향상시키는 것을 보여준다.

02. 이러한 프로토콜은 보안에 안전할까?

그럼 지금까지 이야기한 MCP, A2A와 같은 Agent Interoperability Protocols은 안전할까? 자세히 살펴보면 “양날의 검”이라는 특성을 명확히 보여준다. 방어자에게는 강력하고 편리한 접근성을 제공하는 그 메커니즘이 공격자에는 똑같이 강력한 공격 표면을 제공하기 때문이다. 특히, MCP는 벤더에 구애받지 않고 빠르게 채택되므로, 기업 기술 스택 전반에 새로운 표준화 계층을 형성하고 있다

또한, 이 계층은 방화벽, OT, 네트워크, 데이터베이스 등 민감 시스템들을 횡단하는 통일된 통신 규격이 되고 있다. 따라서 MCP 표준 자체나 널리 사용되는 서버 구현체에서 발견된 단 하나의 취약점이나 공격기법이 광범위하고 다양한 기업의 타겟에 즉시 적용되어 시스템적 위험에 처하게 된다. 이는 지금까지 있는 단일 독점 어플리케이션 취약점하고는 다른 파급력을 지니게 된다. 이 세션에서는 MCP 프로토콜이 보안 분야에서의 필요성과 그로 인한 MCP 프로토콜에 대한 위협 사례 및 취약점에 대한 사례를 살펴본다.

1) 이러한 프로토콜이 보안 분야에 왜 필요한가

MCP, A2A와 같은 Agent Interoperability Protocols은 서로 다른 소프트웨어 에이전트 또는 자동화 도구 간의 데이터 공유, 역할 분담, 행동 조정, 작업 위임 등을 가능하게 하는 표준화된 프로토콜이다. 따라서 서로 다른 소프트웨어 에이전트들이 공통된 방식으로 통신하고 협업하기 위해서는 꼭 필요하다.

보안 체계는 일반적으로 SIEM, SOAR, 위협 인텔리전스 플랫폼, 취약점 스캐너, 행위 기반 탐지 시스템, 방화벽과 같은 방어 수단 등 다양한 컴포넌트로 구성된다. 이들 각각은 고유의 기능을 수행하지만, 연동이 원활하지 않으면 조치의 중복, 이벤트 누락, 탐지의 비효율성과 같은 문제가 발생할 수 있다. 이러한 구조에서는 각 컴포넌트가 수집한 정보와 의도를 효율적으로 공유하고, 협력적 판단과 조치를 수행할 수 있는 구조적 연결고리가 필요하다. 바로 이 지점에서 Agent Interoperability Protocol의 역할이 중요해진다.

MCP와 A2A는 단순한 API 호출 수준의 연결이 아니라, 에이전트 간의 ‘의도(intent)’와 ‘맥락(context)’를 중심으로 하는 통신 구조를 지향한다. 예컨대, 한 에이전트가 위협 이벤트를 탐지했을 때, 해당 이벤트의 심각도, 관련 자산, 사용자 행동 등의 문맥 정보를 다른 에이전트에 전달할 수 있어야 한다. 이를 통해 다음 단계 에이전트는 단순히 명령을 수행하는 수준을 넘어, 사건의 의미를 이해하고 상황에 적합한 대응을 판단할 수 있다. 특히 AI 기반 보안 시스템이 확산하면서, 이러한 문맥 중심의 정보 공유는 더욱 중요해지고 있다. AI 분석기는 정량적 데이터뿐만 아니라 상황적 정보를 기반으로 판단을 내리기 때문이다.

또한, 자동화된 보안 대응 시나리오는 정해진 경로로만 흐르지 않는다. 실시간으로 탐지되는 위협의 유형과 위험도에 따라 대응 절차를 유연하게 바꿀 수 있어야 한다. 예를 들어, 동일한 악성 IP라고 해도 외부 시스템에만 탐지된 경우와 내부 자산에서 통신 흔적이 확인된 경우는 전혀 다른 대응 전략이 요구된다. 이때 MCP나 A2A 기반의 상호운용 프로토콜은 에이전트들이 각자의 상황 판단에 따라 책임을 분산하거나 협력적으로 대응 전략을 조정할 수 있게 한다. 이는 기존의 고정된 플레이북 방식 자동화의 한계를 극복하게 해주는 기반이 된다.

무엇보다도 에이전트 간 통신이 구조화된 프로토콜을 따를 경우, 보안 조치의 흐름을 추적하고 감사할 수 있는 기반이 마련된다. 누가 어떤 판단으로 어떤 조치를 수행했는지를 명확하게 기록할 수 있으며, 이는 향후 사고 분석이나 설명가능한 AI 구현, 보안 감사 대응 측면에서도 큰 장점을 제공한다.

결국 MCP, A2A와 같은 Agent Interoperability Protocol은 단순한 연동 기술을 넘어, 분산된 보안 시스템을 하나의 유기적인 지능형 대응체계로 진화시키는 데 핵심적인 역할을 수행하는 것이다. 보안 에이전트가 서로 정보를 공유하고, 역할을 분담하며, 상황에 맞는 행동을 자율적으로 조율할 수 있도록 지원하는 이러한 프로토콜은, 미래형 보안 아키텍처에서 없어서는 안 될 필수 요소로 자리매김하고 있다.

2) MCP 관련된 보안 사고

2025년 6월 4일, SaaS 기반 업무 관리 플랫폼인 아사나(Asana)의 MCP 서버가 공개된 지 한 달 만에 다른 사용자 데이터에 접근할 수 있는 버그가 발견되어 일시적으로 서버 운영을 중단하였다. 보안 기업 업가드(Upgard)가 취약점을 발견하였다. 취약점 내용은 아사나 MCP 사용자 간 프로젝트, 팀, 업무 등 다양한 객체 내 권한 범위 안에서 다른 사용자의 데이터가 노출될 수 있는 위험이 있었던 것으로 나타났다. 아직 이렇다 할 피해는 없지만, 이번 사례와 같이 MCP 프로토콜이 여전히 개발 초기 단계임을 보여주는 하나의 증거라 할 수 있다. MCP와 같은 AI 브로커 에이전트는 사실상 장기간 유지되는 서버와의 TCP 연결이며, 이는 보안상 관리가 어렵다고 할 수 있다. 아래는 최근 발생한 MCP 관련된 위협 사례를 나타내고 있다.

위협 사례	내용	날짜
mcp-remote 원격코드 실행 취약점	JFrog 등 보안 연구팀이 2025년 7월 대량 사용자 영향을 끼치는 치명적 RCE 취약점을 공개(CVE-2025-6514)	2025-07
Cursor AI IDE 악성 NPM 패키지 통한 민감정보 유출	Hoplon Infosec가 악성 NPM 패키지로 인한 자격증명·기밀 코드 탈취 사례 보고	2025-05
Github MCP 연동 통한 프라이빗 저장소 유출	퍼블릭 이슈를 통한 프라이빗 저장소 정보 자동 유출 사례 상세 분석	2025-05
Shadowing · Rug Pull 공격(변조·신뢰환경 악용)	전문 연구자와 보안 블로그 등에서 실제 실험 및 공급망 악용 사례	2025-04
Tool Poisoning Attack(도구 설명 내 악성 명령)	전문 연구자와 보안 블로그 등에서 실제 실험 및 공급망 악용 사례	2025-04
AI 컨텍스트 누수 및 정보 노출	Red Canary와 Asana 공식 발표에서 내부 데이터가 예기치 않게 유출된 위험성 강조	2025-06

[표 4] MCP 보안 위협 사례

3) Agent Interoperability Protocols 관련 취약점

다음은 해당 프로토콜에 대한 취약점에 대한 설명이다.

취약점	내용
문맥 조작(Context Injection)	공격자가 위조된 문맥을 주입해 LLM이나 에이전트를 악의적으로 조작했으며, 이 과정에서 비인가 명령 또는 허가 받지 않은 데이터 접근이 발생
권한 위임 오용(Delegation Abuse)	과도한 인증 위임 또는 인증 체계의 미비로 인해 인가되지 않은 에이전트가 높은 권한 작업을 수행
모델 오작동 유도(Model Misbehavior via Exploitable Context)	비정상적 문맥 구조를 통해 AI 모델의 비의도적 또는 비윤리적 출력을 유도
감사 및 추적 불가(Non-auditable Context Flow)	문맥의 전달 경로가 기록되지 않거나 표준화되지 않아 보안 감시 및 사고 대응이 어려움
Tool Poisoning Attack(TPA)	MCP 도구 설명 내부에 악성 명령을 삽입하고, 사용자는 이를 인지하지 못한 채 실행하여 민감 정보 유출이나 시스템 권한 탈취 등 심각한 피해 발생

[표 5] MCP 주요 취약점 리스트

그럼 이에 대한 사례 중 하나인 Tool Poisoning Attack에 대해서 상세히 알아보도록 하자.

Invariant Labs 보안연구팀이 발견한 Tool Poisoning Attack(TPA)는 AI 모델을 조작하여 민감한 데이터를 탈취하고 사용자 모르게 악의적인 행동을 수행할 수 있는 새로운 형태의 공격이다.

앞의 것 같이 Tool Poisoning Attack은 사용자에게는 보이지 않지만 AI 모델에게는 보이는, 악의적인 명령을 삽입하는 공격이다. 해당 공격은 사용자와 AI 모델 간의 정보 비대칭성을 악용하거나 도구 설명 내부에 숨겨진 악성 명령을 삽입하는 간접 프롬프트 인젝션, MCP 간의 도구 설명 신뢰 가정을 악용하는 신뢰 모델 파괴 등의 원리를 이용한다.

이를 통해 공격자는 사용자가 어떤 주제로 문서 작성을 요청했지만, 악성 서버의 Tool Description이 개입으로 문서 마지막에 명령한 “HACKING_TEST_BY_BK”라는 테스트 문자열이 삽입되어, MCP 요청에 대한 결과에 의도를 반영할 수 있음을 증명하였다.

이러한 공격은 MCP Rug Pull 공격, 인증정보 하이재킹, 탐지 회피 등의 피해를 일으킬 수 있다.

이와 같이 MCP 같은 프로토콜에서 발견되는 보안 결함들은 완전히 새로운 것은 아니다. 이는 서버 측 요청위조(SSRF), 인젝션, 부적절한 접근 통제 등 고전적인 웹 애플리케이션 및 API 취약점들이 AI라는 새로운 맥락에서 재도입된 것이라 할 수 있다. 특히 더욱 중요한 문제는 개발자들이 LLM이 의도된 대로만 도구를 사용할 것이라고 가정하는 "인지적 편향"에 빠져, 기본 도구가 악의적으로 직접 호출될 수 있는 API 엔드포인트라는 사실을 간과하는 것이다. 결국 MCP 도구를 만들려는 성급함이 웹 애플리케이션 보안 커뮤니티가 수십 년간 해결해 온 근본적인 보안 실수를 반복하도록 하게 만든다고 볼 수 있다.

나아가 근본적으로 MCP 프레임워크 내에 AI 에이전트를 위한 고유한 신원(identity) 모델이 없다는 점이 권한 위임 문제나 감사 실패와 같은 여러 개별적인 취약점들의 근본 원인이 되고 있다. 아사나 사건은 권한 위임 오용 문제의 대표 사례이다. 감사 추적의 어려움은 모든 행위가 신뢰할 수 있는 서비스 계정에서 비롯된 것처럼 보여 특정 사용자나 프롬프트의 맥락을 잃기 때문이다. 여러 자료에서 제시하는 해결책은 AI 에이전트에게 검증 가능한 고유의 비인간 신원(non-human identity)을 부여한다. 명확한 신원이 없다면 시스템은 "특정 에이전트가 이 사용자를 대신하여 작업을 수행할 권한이 있는가?"와 같은 세분화된 인가를 수행할 수도 없으며, "어떤 에이전트/사용자/프롬프트가 이 악의적인 활동을 유발했는가?"와 같은 책임 추적도 불가능하다. 따라서 권한 상승이나 포렌식 조사의 어려움은 독립적인 문제가 아니라, 비인간 에이전트를 위한 강력한 신원 및 접근 관리(IAM) 프레임워크가 부재하다는 단일한 구조적 결함의 증상이다.

03. 보안 대책 및 가이드

앞 장에서는 MCP와 같은 에이전트 상호운영 프로토콜(Agent Interoperability Protocols)에 대한 위협 사례 및 취약점에 대해서 살펴보았다. 그렇다면 이를 안전하게 사용하기 위해서는 어떻게 해야 할까?

1) 안전하게 사용하기 위한 가이드

다행스럽게도 다양한 곳에서 구축 환경 실무나 개발에서 실제 참고할 수 있는 보안 가이드 및 체크리스트, 산업규범, 기술 표준 등을 제시하고 있다.

구분	권고, 표준/지침
MCP 체크리스트	MCP Security Checklist
MCP 보안 프레임워크	MCP Security Framework (OWASP, Research)
A2A 보안 가이드	A2A Protocol Security Features/Standards
국제규범/규제	PCI DSS, HIPAA 등
신뢰공유/데이터보안 원칙	Zero Trust, Data Sharing Guide

[표 6] 관련 지침 및 가이드

이를 종합해 보면 다음과 같이 요약할 수 있다.

첫째, 엄격한 인증 및 권한관리가 필요하다.
모든 에이전트, 서버, 도구에 대해 강력한 인증(예: OAuth, mTLS 등)을 시행해 비인가 접근을 차단한다. 또한, 최소 권한 원칙(Principle of Least Privilege)을 적용하여, 각 참여자에게 반드시 필요한 범위 내 권한만 부여한다. 또한, 권한 위임 및 인증 토큰에 만료 기간과 범위 제한을 엄격하게 적용한다.

둘째, 입력 검증 및 문맥에 대한 모니터링을 시행한다.
모든 입력값(프롬프트, API 요청, 외부 문맥)에 대한 철저한 검증을 수행해 악성 코드나 명령이 섞여 들어오는 것을 방지한다. 전달 문맥과 도구 설명에 디지털 서명, 무결성 체크 등을 적용하여 변조를 감지한다.

셋째, 도구 및 서버 신뢰 수준 관리를 수행한다.
신뢰할 수 있는 공식 저장소/공급처에서만 도구 및 서버를 등록하여, 악성 코드나 Shadowing(악의적 변조) 위험을 줄인다. 신규 도구나 서버 승인 시, 설명 및 코드의 검토(리뷰) 프로세스를 거치고, 이후 변경 사항도 지속적으로 모니터링한다.

넷째, 감사와 추적의 표준화
모든 요청, 응답, 문맥 전달 및 권한 변경 이력을 표준화된 감사 로그로 기록한다. 이상 행동을 실시간 탐지(Anomaly Detection)하는 체계를 구현해, 유출/변조 발생 시 즉시 대응이 가능하도록 준비한다.

다섯째, 데이터 최소화 및 분리 보관
외부와 공유되는 문맥에 포함될 데이터를 최소화하고, 민감 데이터는 공유 전 반드시 별도 필터링·마스킹한다. 또한, 불필요하게 AI나 외부 에이전트에 전달되는 데이터가 없는 지(프라이버시 점검) 주기적으로 확인한다.

여섯째, 공급망 및 전이 공격 대비책
신뢰 된 구성요소라도 업데이트, 정책 변경 시 재검증(Continuous Trust Verification) 과정을 거친다. 도구/모듈/스크립트의 해시값, 서명 검증 등으로 공급망 공격을 예방한다. 제외 블랙리스트 및 승인 화이트리스트를 운영해 악성 서버, 도구를 빠르게 차단한다.

일곱째, 보안 정책 및 절차 문서화
조직 차원에서 에이전트, MCP, A2A 관련 보안 정책 및 인가 흐름을 문서화하고, 구성원에게 주기적으로 교육한다.

2) MCP 기반의 보안점검 도구 및 사이트를 활용하는 방법

지금까지 이야기하였던 것처럼 MCP는 파일을 읽고, 명령을 실행하고, API에 접근할 수 있다. 이 말은 악의적인 공격자 한 명이 AWS 자격 증명을 훔치거나, 프로젝트를 삭제하거나, 그보다 더 심각한 결과를 초래할 수 있다는 것을 말한다. 이에 온라인 사이트에서 MCP의 보안을 점검하고 신뢰성을 제시하는 유익한 사이트에 대해 알아보자.

2-1) MCP HUNT(https://mcp-hunt.com)

MCP Hunt는 MCP 기반의 AI도구와 서버를 한데 모아 제공하는 통합 플랫폼이지만, 실제적인 보안 분석 및 사용통계, 추천해 주는 사이트이다. 보안을 점검하기 위해서 토큰 및 자격 증명 관리, 명령어 주입 방어, 신속한 주입 분석 등 핵심 취약점에 대한 일별 보안분석 리포트를 제공하여 신뢰할 수 있는 MCP 선택에 도움을 준다. 그 외에도 기술 스택 및 연동, 실제 채택 및 트렌드 지표, AI DevOps, 자동화 지원 등을 제공한다.

2-2) MCP-Scan

MCP Scan은 MCP 기반의 AI 시스템에서 흔히 발견되는 보안위협(도구 포이즈닝, 프롬프트 인젝션, Cross Origin Escalation 등)을 자동으로 탐지 분석하는 오픈소스 CLI(명령어 기반) 도구를 말한다. 별도의 복잡한 설정 없이 간단한 명령어(uvx map-scan@lastest) 한 줄로 사용이 가능하며, MCP 서버의 등록된 도구 설정을 분석해 보안위협을 점검한다. 분석결과는 로컬에 남기거나, 보안 API와 연동이 가능하다.

3) MCP와 같은 에이전트 상호운영 프로토콜(Agent Interoperability Protocols) 미래

지금까지 살펴본 바로는 MCP와 같은 에이전트 상호운영 프로토콜(Agent Interoperability Protocols)은 매우 역동적인 것 같다. 다음과 같은 관점의 연구가 더 필요한 영역이기도 하다. 첫째, MCP 환경을 위한 AI 기반 보안 메커니즘. 둘째, 기밀 컴퓨팅을 사용하여 MCP 프로세스 보호. 셋째, MCP 보안 확장을 위한 표준화. 넷째, MCP 보안 태세를 측정하기 위한 정량적 지표 개발.

MCP와 같은 에이전트 상호운영 프로토콜(Agent Interoperability Protocols)은 AI에 혁신적인 잠재력을 제공하고 있다. 그러므로 이에 대한 보안은 뒷전으로 미룰 수 없다. MCP의 고유한 특성에 맞춰 설계된 다층적인 제로 트러스트 접근 방식을 채택함으로써 기업은 MCP의 잠재력을 확신을 가지고 활용하면서 동시에 내재된 위험을 관리할 수 있다. MCP 보안을 AI 거버넌스 전략의 핵심 요소로 간주하는 것이 매우 중요하다. 조직의 준비 상태를 평가하고 강력한 보호 구현에 대한 내부적인 논의가 필요한 시기이기도 한다.

04. 맺음말

결론적으로 MCP와 A2A와 같은 에이전트 상호운용 프로토콜은 AI 기반 자동화를 실현하기 위한 강력한 도구임이 분명하다. 그러나 그 잠재력을 온전히 발휘하기 위해서는 보안을 ‘나중의 문제’로 미뤄서는 안 된다. 아사나 사례를 비롯한 여러 연구 결과에서 확인되었듯이, 이러한 프로토콜은 기존 웹 취약점을 AI 환경에서 증폭시킬 수 있는 ‘양날의 검’이 될 수 있다. 따라서 기업들은 강력한 인증과 권한 관리, 철저한 입력값 검증, AI 에이전트의 고유 신원 부여 등을 포함한 다층적인 제로 트러스트(Zero Trust) 보안 전략을 시급히 구축해야 한다. 선제적이고 체계적인 보안 접근만이 AI 기반 자동화의 무한한 가능성을 안전하게 실현하고, 미래 사이버 보안 환경의 주도권을 확보하는 길임을 명심해야 한다.

💌 후속 콘텐츠, 계속 받아보세요 ▶