leangnews
Command Palette
Search for a command to run...
2026년 01월 29일 09:01
인증 없이 출하된 MCP, Clawdbot가 왜 위험한지 증명했다
기사 요약
- MCP가 의무 인증 없이 배포돼 기본값이 취약했고, 플러그인·에이전트 조합만으로도 높은 악용 가능성이 확인됐다.
- Clawdbot 확산으로 인터넷에 노출된 서버가 급증했고, 스캔 결과 인증 없이 응답하는 1,862대가 발견됐다.
- 잇단 CVE와 프롬프트 인젝션 사례가 구조적 결함을 입증해, 인증 강제·네트워크 제한·휴먼 승인 등 즉각적 통제가 요구된다.
개요
Model Context Protocol(MCP)에 구조적 보안 문제가 드러났다. 플러그인 10개만 배포해도 악용 확률이 92%에 달한다는 연구가 나왔고, 의무 인증 없이 출하된 설계가 근본 원인으로 지목된다. 권한·인증 프레임워크는 대중적 배포가 이뤄진 뒤에야 뒤늦게 정비됐다.
왜 문제가 되었나
MCP의 인증 부재와 불안한 기본값
초기 사양은 인증을 선택 사항으로 두었고, 다수 개발자가 이를 불필요한 단계로 취급했다. 그 결과 최소권한 원칙이 적용되지 않은 채 플러그인과 에이전트가 운영 환경에 연결되면서, 단일 플러그인만으로도 의미 있는 위험이 발생하는 상황이 반복됐다.
Clawdbot 확산이 바꾼 위협 모델
이메일 정리부터 야간 코드 작성까지 자동화하는 개인 비서형 에이전트 Clawdbot은 전부 MCP 위에서 동작한다. 문서 한 장의 프롬프트 인젝션만으로도 공격이 촉발될 수 있고, 보안 문서를 읽지 않은 채 VPS에 띄운 수천 개 인스턴스가 개방 포트와 무인증 상태로 노출됐다. 실제 인터넷 스캔에서는 1,862대가 확인됐고 표본 119대를 점검한 결과 모두가 자격 증명 없이 응답했다.
구체적 취약점과 사례
세 가지 CVE가 보여준 구조적 결함
6개월 사이 세 가지 중대 취약점이 보고됐다. CVE-2025-49596(CVSS 9.4): 웹 UI와 프록시 간 무인증 통신 노출로 악성 웹페이지를 통한 시스템 장악이 가능했다. CVE-2025-6514(CVSS 9.6): OAuth 프록시인 mcp-remote에서 명령 삽입이 가능해, 악성 서버 연결만으로 시스템 탈취가 일어났다. CVE-2025-52882(CVSS 8.8): 인기 코드 확장 기능이 무인증 WebSocket 서버를 노출해 임의 파일 접근과 코드 실행이 가능했다. 서로 다른 벡터지만 공통 원인은 인증이 선택 사항이었던 점이다.
공격면 확장: 구현 취약점과 악용 시나리오
주요 구현을 점검한 결과 43%에서 명령 삽입, 30%에서 무제한 URL 페치, 22%에서 디렉터리 탈출성 파일 노출이 발견됐다. 셸 접근이 가능한 서버는 측면 이동, 자격 증명 탈취, 랜섬웨어 전개에 악용될 수 있으며, 트리거는 에이전트가 처리하는 문서 속 프롬프트 인젝션처럼 사소해 보이는 입력일 수 있다.
알려진 취약점, 뒤로 미뤄진 대응
파일 유출과 프롬프트 인젝션
지난해 공개된 파일 유출 취약점은 에이전트가 민감 데이터를 공격자 계정으로 전송하도록 속일 수 있음을 보여줬다. 같은 문제가 대중형 협업 에이전트에서도 즉시 악용 가능함이 입증됐고, 완화 권고는 “의심스러운 행동을 사용자가 주의 깊게 관찰하라”는 수준에 머물렀다. 사용자는 자신이 실제로 무엇을 위임·승인하는지 충분히 이해하지 못한 채 계정·메시지·파일·코드 실행 권한을 에이전트에 부여하고 있다.
보안 책임자를 위한 5가지 조치
노출 자산 파악과 인증 강제
일반 EDR은 정상 앱이 띄운 node·Python 프로세스로만 보아 위협으로 분류하지 않는 경우가 많다. MCP 서버를 식별하는 전용 가시화/탐지 도구를 마련하고, 사양이 권고하는 OAuth 2.1 등 인증을 배포 시점부터 강제해야 한다. SDK에 기본 인증이 없다는 점을 전제로 운영 표준을 수립하라.
네트워크 최소 노출과 권한 설계
원격 접속이 꼭 필요하고 인증이 갖춰지지 않았다면 서버 바인딩을 로컬호스트로 제한하라. 프롬프트 인젝션은 “발생하고, 성공한다”는 가정하에 접근 권한을 설계해야 한다. 클라우드 자격 증명·파일 시스템·배포 파이프라인을 래핑한다면, 에이전트가 침해된 상태를 기준으로 블라스트 레디우스를 제한하고, 외부 이메일 송신·데이터 삭제·민감 정보 접근 같은 고위험 행위에는 사람의 명시적 승인을 요구하라. 에이전트를 빠르지만 글자 그대로 지시를 따르는 주니어 직원으로 대하라.
거버넌스 격차와 지금 필요한 일
개발 속도 vs. 보안 통제
보안 업계는 위험을 일찍 상업화했지만, 다수 기업의 거버넌스는 뒤처졌다. 2025년 4분기 Clawdbot 채택이 폭증했지만 2026년 계획에는 에이전트 통제가 거의 없다. 지금의 격차는 공격자에게 열린 시간 창이다. 조직이 스스로의 MCP 노출을 먼저 통제할 것인지, 아니면 누군가가 대신 악용할 것인지가 남은 질문이다.