보안정보

Supply ChainRCEMCPAI

Anthropic MCP 설계 취약점, 원격 코드 실행(RCE) 가능성으로 AI 공급망 위협

분석팀 2026.04.21



Model Context Protocol(MCP) 아키텍처에서 원격 코드 실행(RCE) 취약점이 발견됐다.


이는 의도적으로 설계되어, 인공지능(AI) 공급망에 연쇄적인 영향을 미칠 수 있다. 


해당 결함은 취약한 MCP 구현 환경이 실행되는 모든 시스템에서 임의 명령 실행(RCE)을 가능하게 한다.


이로 인해 공격자는 사용자 데이터와 내부 데이터베이스, API 키, 채팅 기록에 접근할 수 있게 됐다.


보안 업체는 이번 취약점이 MCP 공식 소프트웨어 개발 키트(SDK)에 구조적 취약점이 내재되어 있다고 밝혔다.


이 SDK는 Python, TypeScript, Java, Rust 등 다양한 언어에서 사용된다.


해당 취약점은 총 7,000개 이상의 공개 서버와 소프트웨어 패키지에 영향을 미친다.


누적 다운로드 수는 1억 5천만 건 이상이다.


이번 공격의 핵심은 STDIO(표준 입출력) 전송 인터페이스의 기본 설정 문제다.


안전하지 않은 기본값이 적용된 MCP 구조가 원인이다.


LiteLLM, LangChain, LangFlow, Flowise, LettaAI, LangBot 등 주요 프로젝트에서 총 10개의 취약점이 확인됐다.

- CVE-2025-65720 (GPT 연구원)

- CVE-2026-30623 (LiteLLM) - 패치 완료

- CVE-2026-30624 (Agent Zero)

- CVE-2026-30618 (Fay Framework)

- CVE-2026-33224 (Bisheng) - 패치 완료

- CVE-2026-30617 (Langchain-Chatchat)

- CVE-2026-33224 (Jaaz)

- CVE-2026-30625 (Upsonic)

- CVE-2026-30615 (Windsurf)

- CVE-2026-26015 (DocsGPT) - 패치 완료

- CVE-2026-40933 (Flowise)




[그림 1. MCP STDIO 구조에서의 공격 체인]



취약점은 네 가지 유형으로 분류되며, 모든 유형에서 원격 명령 실행이 가능하다.

1. MCP STDIO 기반 인증 및 비인증 명령 주입 가능

2. STDIO 직접 설정을 통한 비인증 명령 주입 가능

3. 제로클릭 프롬프트 인젝션을 통한 설정 변경 가능

4. MCP 마켓플레이스를 통한 숨겨진 STDIO 설정 트리거 가능


보안 연구진은 Anthropic의 Model Context Protocol이 STDIO 인터페이스를 통해 설정에서 명령 실행으로 직접 이어지는 구조를 가진다고 설명했다. 


이 구조는 프로그래밍 언어와 관계없이 모든 구현에 동일하게 적용된다고 밝혔다.


또한 해당 코드는 원래 로컬 STDIO 서버를 시작하고, LLM에 STDIO 핸들을 전달하기 위해 설계됐다고 설명했다. 


그러나 실제로는 누구나 임의의 OS 명령을 실행할 수 있도록 하는 구조로 동작한다고 덧붙였다.


명령이 STDIO 서버를 성공적으로 생성할 경우, 핸들이 반환된다. 


반면 다른 명령이 입력될 경우, 명령 실행 이후 오류가 반환된다. 


동일한 근본 원인 기반 취약점이 지난 1년간 여러 프로젝트에서 독립적으로 발견됐다.


여기에는 다음과 같은 CVE가 포함된다.

- CVE-2025-49596 (MCP Inspector)

- CVE-2026-22252 (LibreChat)

- CVE-2026-22688 (WeKnora)

- CVE-2025-54994 (@akoskm/create-mcp-server-stdio)

- CVE-2025-54136 (Cursor)


하지만 해당 프로토콜 개발사는 "해당 동작은 예상되는 것"이라고 밝히며, 아키텍처 변경을 거부한 것으로 나타났다.


일부 벤더에서는 패치를 배포했다.


그러나 Anthropic의 MCP 참조 구현에서는 해당 취약점이 그대로 남아 있다.


이로 인해 개발자들이 코드 실행 위험을 그대로 상속받는 구조가 됐다.


이번 조사 결과는 AI 기반 통합이 의도치 않게 공격 표면을 확장할 수 있음을 보여준다.


이러한 위협에 대응하기 위한 방안도 함께 제시됐다.

- 민감 서비스에 대한 공인 IP 접근 차단 

- MCP 도구 실행 모니터링 

- MCP 지원 서비스는 샌드박스 환경에서 실행

- 외부에서 입력되는 MCP 구성 정보를 신뢰할 수 없는 것으로 간주

- 검증된 출처에서만 MCP 서버 설치 


이번 사건은 단일 취약점이 아닌 공급망 수준의 사건으로 분석됐다.


이는 하나의 아키텍처 설계 결정이 모든 프로그래밍 언어와 하위 라이브러리, 해당 프로토콜을 신뢰했던 모든 프로젝트로 전파되었기 때문이다.


구현자에게 책임을 전가하는 방식은 위험을 해소하지 못한다.


오히려 문제의 원인을 불분명하게 만든다는 지적이 제기됐다.




출처

https://thehackernews.com/2026/04/anthropic-mcp-design-vulnerability.html

목록