배경
MCP(Model Context Protocol) 생태계가 급속히 확장되면서, 이를 둘러싼 보안 우려도 함께 고조되고 있다. 자율 AI 보안 연구원인 Kai는 공식 MCP 레지스트리에 등록된 518개의 서버를 대상으로 한 대규모 독립 스캔을 수행했으며, 이 과정에서 다수의 심각한 보안 취약점을 발견했다. 특히 최근 출시된 Madari와 같은 새로운 MCP 서버 관리 CLI 도구는 설치 및 동기화 과정을 획기적으로 단순화했지만, 역설적으로 사용자가 충분한 검토 없이 코드를 설치하도록 유도할 수 있는 위험을 내포하고 있다. 이는 단순한 도구 설계의 실수를 넘어, MCP 툴링 레이어 전반에 걸친 구조적 결함을 드러내는 사건이다.
2026년 1분기, AI 산업은 OpenAI의 1,100억 달러 역사적 자금 조달, Anthropic의 3,800억 달러 초과 기업 가치 평가, 그리고 xAI와 SpaceX의 합병으로 인한 1.25조 달러 기업 가치 등 거대한 자본과 기술의 집중을 목격했다. 이러한 거시적 배경 속에서 MCP 패키지의 보안 문제는 우연한 사건이 아니다. 이는 AI 산업이 '기술 돌파기'에서 '대규모 상용화기'로 전환하는 과도기적 단계에서 필연적으로 나타나는 공급망 보안의 위기를 상징한다. npm이 수백만 개의 패키지와 개발자를 확보한 후에야 보안 위기를 겪었던 것처럼, MCP는 현재 그 위기를 방지하기 위한 결정적 시점에 서 있다.
심층 분석
Kai가 스캔한 518개 서버의 데이터는 현재 MCP 생태계의 치명적인 보안 공백을 명확히 보여준다. 전체 서버의 58%만이 어떤 형태의 인증을 구현하고 있으며, 무려 41%(214개 서버)는 인증 절차가 전혀 없다. 이는 어떤 에이전트든 자격 증명 없이 연결할 수 있음을 의미하며, 특히 110개의 서버는 인증 없이 셸 실행, 데이터베이스 쓰기, HTTP 요청, 파일 시스템 접근과 같은 고위험 도구를 노출하고 있다. 레지스트리를 통해 노출된 총 1,462개의 도구 중 코드 실행, 이메일, 캘린더 접근 등 민감한 권한을 가진 것들이 허술한 보안 장벽 너머에 존재한다.
현재 MCP 패키지 관리자가 갖춰야 할 네 가지 핵심 결함이 확인되었다. 첫째, 서명 검증 부재로 인해 '타이포스쿼팅(오타를 이용한 사기)' 공격에 취약하다. 예를 들어 'stewards-mcp'와 'stewreads-mcp'는 한 글자 차이일 뿐이며, 현재 도구들은 이 둘을 구분하지 않고 동일하게 설치한다. 둘째, 설치 전 기능 공개가 없어 사용자가 어떤 도구와 권한이 필요한지 알 수 없다. 셋째, 설치 후 모니터링이 부재하여, 한 달 전 설치한 서버가 최신 업데이트를 통해 클립보드 내용을 외부로 유출하는 도구를 추가해도 사용자는 이를 인지하지 못한다. 넷째, 탈취된 계정의 악성 버전을 회수할 수 있는 취소(Revocation) 메커니즘이 전혀 없다.
이러한 문제들은 다른 생태계에서 이미 해결된 과제들이다. npm은 프로비던스 증명(Provenance Attestations)과 패키지 서명을 도입하여 신뢰를 확보했다. MCP 도구들도 Madari에 'madari info'로 설치 전 권한을 확인하고, 'madari verify'로 서명을 검증하며, 'madari audit'으로 버전 간 기능 차이를 비교하는 기본 위생(Hygiene) 기능을 갖추어야 한다. 또한 등록 시 필수 도구 매니페스트 제출과 저자 관리 키를 통한 서명 요구, 그리고 침해된 패키지를 위한 취소 API 도입이 시급하다.
산업 영향
MCP 보안 문제의 파급효과는 단순한 기술적 결함을 넘어 산업 생태계의 구조적 재편으로 이어지고 있다. 상류 공급망 측면에서, AI 인프라 및 개발 도구 제공자들은 이 사건을 계기로 보안 기능 내장의 중요성을 재인식하게 되었다. 특히 GPU 공급이 여전히 긴박한 상황에서, 보안성이 검증되지 않은 도구를 사용하는 것은 컴퓨팅 자원 낭비이자 리스크로 작용할 수 있다. 하류 개발자와 최종 사용자들에게는 '사용 편의성'만 강조하던 도구 선택 기준에서 '보안 투명성'이 핵심 평가 지표로 부상했다. Claude와 같은 클라이언트에서 예상치 못한 도구가 노출되는 것을 방지하기 위해, 개발자들은 공급사의 장기적 생존 가능성과 생태계 건강도를 더욱 신중하게 고려하게 되었다.
인재 시장에서도 변화가 감지된다. AI 에이전트의 도구 호출과 데이터 접근을 통제할 수 있는 보안 전문가 및 아키텍트의 수요가 급증하고 있다. 톱 AI 연구원들과 엔지니어들은 단순한 모델 성능 향상뿐만 아니라, 안전한 에이전트 프레임워크 구축 능력을 갖춘 인재를 선호하는 추세다. 이는 AI 산업이 모델 경쟁에서 '신뢰할 수 있는 운영' 경쟁으로 초점이 이동하고 있음을 시사한다.
중국 AI 시장에도 간접적 영향을 미치고 있다. DeepSeek, 퉁이치엔원, Kimi 등 중국산 모델의 급부상은 글로벌 경쟁 구도를 변화시키고 있으며, 이는 보안 표준과 생태계 규범을 선점하려는 경쟁으로 이어지고 있다. 중국 기업들이 저비용과 빠른 반복 속도를 강점으로 내세우는 가운데, MCP와 같은 개방형 프로토콜의 보안 취약점은 글로벌 시장 진입 장벽이 될 수도 있다. 따라서 중국 AI 기업들도 국제 표준에 부합하는 보안 인프라를 구축하는 것이 시급한 과제가 되었다.
전망
단기적으로(3-6개월), 이 사건은 경쟁사들의 빠른 대응과 개발자 커뮤니티의 평가 수용을 촉발할 것이다. 주요 AI 기업들은 보안 기능을 강화한 패키지 관리 도구를 출시하거나, 기존 제품의 보안 프로토콜을 업데이트할 가능성이 높다. 투자 시장에서는 보안 취약점이 있는 스타트업의 가치 재평가와, 보안 솔루션에 집중하는 기업들의 투자 유입이 증가할 것으로 예상된다. 개발자들은 Madari와 같은 도구의 보안 기능 개선 여부를 면밀히 관찰하며, 실제 채택 속도에 따라 생태계의 방향성을 판단할 것이다.
장기적으로(12-18개월), MCP 보안 문제는 AI 능력의 상품화를 가속화하는 촉매제가 될 것이다. 모델 성능의 격차가 좁혀짐에 따라, 순수한 모델 능력은 경쟁 우위가 되지 못한다. 대신, 안전한 도구 통합과 신뢰할 수 있는 공급망 관리를 제공하는 플랫폼이 우위를 점할 것이다. 또한 AI 네이티브 워크플로우가 재설계되면서, 보안이 기본 내장된(AI-native security) 도구들이 표준이 될 전망이다.
관찰해야 할 핵심 신호는 주요 AI사의 제품 출시 리듬과 가격 전략 변화, 오픈소스 커뮤니티의 보안 패치 속도, 그리고 규제 기관의 정책 조정이다. 특히 공식 레지스트리의 인증 채택률(현재 58%)과 노출된 도구 수(현재 1,462개)의 증가 추이를 지속적으로 모니터링해야 한다. Kai가 운영하는 스캔 API를 통해 실시간으로 추적 가능한 이 데이터들은, MCP 생태계가 3,000개 이상의 서버 규모로 성장하기 전에 보안 인프라를 어떻게 구축할지 결정하는 중요한 기준이 될 것이다. 생태계가 너무 커져서 수정이 어려워지기 전에, 지금이 규범을 확립하고 보안 기본기를 다져야 할 마지막 기회다.