홈으로 돌아가기

Anthropic의 MCP 취약점: RCE와 이중 잣대

Anthropic MCP 프로토콜에서 원격 코드 실행을 허용하는 치명적인 취약점 분석. 회사는 책임 있는 공개에도 불구하고 이를 수정하기를 거부하고 타인의 취약점을 찾는 도구로서 AI를 계속 홍보하고 있습니다.

Anthropic, 자사 MCP 프로토콜의 RCE를 무시합니다 — 작동 방식은 다음과 같습니다
Advertisement 728x90

Anthropic의 MCP 프로토콜 취약점: 회사가 자체 스택의 RCE를 무시하는 이유

OX Security 연구원들이 Anthropic의 Model Context Protocol (MCP)에서 로컬 서버를 통해 원격 코드 실행(RCE)을 가능하게 하는 심각한 취약점을 발견했습니다. 2025년 11월 이후 30회 이상의 책임 공개 과정을 거쳤음에도 Anthropic은 이 동작을 "예상된 것"으로 치부하며 아키텍처 변경을 거부했습니다. 한편 이 회사는 자사 AI 모델을 타사 프로젝트의 취약점을 찾아내는 도구로 적극 홍보하고 있습니다.

MCP의 핵심에 있는 아키텍처 결함

MCP 프로토콜은 AI 에이전트와 외부 도구 간 상호작용을 위해 로컬 서브프로세스를 실행하도록 설계되었습니다. 문제는 명령 처리 과정에서 발생합니다: 실행 파일 경로를 엄격히 검증하는 대신 프로토콜이 어떤 문자열도 명령으로 받아들이기 때문입니다. 명령이 성공하고 포트를 열 경우 시스템이 이를 유효한 것으로 간주합니다. 실패하면 오류를 반환하지만, 이미 명령이 실행된 후입니다. 이로 인해 추가 검증 없이 호스트 머신에서 임의 코드 실행이 가능합니다.

이 취약점은 모든 공식 Anthropic SDK—Python, TypeScript, Java, C#, Go, Ruby, Swift, PHP, Rust에 영향을 미칩니다. MCP를 사용하는 개발자는 자동으로 이 위험을 물려받습니다. OX Security 추정에 따르면 최대 20만 대 서버와 1억 5천만 건 이상의 SDK 다운로드 생태계가 노출되어 있습니다.

Google AdInline article slot

네 가지 공격 벡터

OX 팀은 이 취약점을 악용하는 네 가지 주요 방법을 확인했습니다:

  • 웹 인터페이스를 통한 직접 접근—인증과 필터링 부재로 인해 공격자가 LangFlow (IBM)와 GPT Researcher 인터페이스를 통해 임의 명령을 실행할 수 있습니다.
  • 화이트리스트 우회—안전한 유틸리티만 허용되더라도(예: npx), 공격자가 명령 인수를 통해 악성코드를 주입할 수 있습니다. Upsonic과 Flowise가 취약합니다.
  • AI 코드 에디터—Cursor, Windsurf, Claude Code, Gemini-CLI, GitHub Copilot 같은 도구가 익스플로잇이 포함된 설정을 자동 적용할 수 있습니다. Windsurf에만 CVE가 발급되었으며, Google과 Microsoft를 포함한 다른 벤더들은 문제를 인정하지 않았습니다.
  • MCP 카탈로그의 악성 패키지—연구원들이 11개 공개 마켓플레이스 중 9곳에 익스플로잇 패키지를 업로드했습니다. GitHub의 관리 레지스트리만 이를 거부했습니다.

보안에서의 이중잣대

Anthropic은 Claude Opus 4.6 모델을 취약점 탐지 분야의 선두주자로 내세웁니다: 회사에 따르면 이 모델은 인기 오픈소스 라이브러리에서 500개 이상의 이전에 알려지지 않은 버그를 찾아냈습니다. 2026년 4월에는 Linux 커널, FreeBSD, OpenBSD, FFmpeg, 주요 브라우저에서 제로데이 취약점을 탐지하는 더 강력한 Mythos 모델로 Project Glasswing이 출시되었습니다.

그러나 이런 주장 속에서 회사는 자체 심각한 결함을 무시하고 있습니다. OX Security의 초기 보고 후 Anthropic은 SECURITY.md 파일에 경고만 추가했습니다: "STDIO 어댑터는 주의해서 사용해야 합니다." 연구원들은 이것이 아키텍처 문제를 해결하지 못한다고 지적합니다.

Google AdInline article slot

권장 사항과 현재 상태

공식 패치가 나올 때까지 OX Security는 다음과 같이 권장합니다:

  • MCP 서비스를 공개적으로 노출하지 마세요;
  • 모든 수신 설정과 명령을 엄격히 검증하세요;
  • 최소 권한의 격리된 환경에서 MCP 프로세스를 실행하세요(예: gVisor나 Firecracker 사용).

여러 프로젝트가 이미 자체 수정 사항을 배포했습니다: LiteLLM, DocsGPT, Flowise, Bisheng. 그러나 LangFlow, Agent Zero, Fay Framework 같은 플랫폼은 여전히 취약합니다. Anthropic은 프로토콜이 의도대로 동작한다고 주장하며 변경 계획이 없습니다.

주요 요약

  • MCP 취약점은 로컬 서버 실행 시 통제되지 않은 명령 실행을 통해 RCE를 가능하게 합니다.
  • 모든 공식 Anthropic SDK가 영향을 받습니다—격리된 문제가 아닙니다.
  • Anthropic은 30회 이상의 책임 공개에도 아키텍처 수정을 거부했습니다.
  • 회사는 타인의 취약점 찾기를 위한 AI를 홍보하면서 자기 취약점은 무시합니다.
  • 개발자는 MCP 프로세스를 격리하고 외부 설정을 신뢰하지 말아야 합니다.

— Editorial Team

Google AdInline article slot
Advertisement 728x90

다음 읽기