MCP 패키지 보안 스캔 결과, 확인 절차 없이도 광범위한 파괴적 기능이 드러났습니다.

한 보안 연구원이 npm의 2,386개 MCP(Model Context Protocol) 패키지를 스캔한 결과, AI 에이전트가 외부 도구와 상호작용하는 방식에 중대한 보안 위험이 있는 것으로 확인되었습니다. MCP 패키지는 Claude Code가 외부 도구에 연결할 수 있게 하며, 설치 시 셸, 파일, 네트워크, 환경 변수를 포함한 전체 시스템 접근 권한을 얻습니다.

스캔 결과 주요 발견 사항

가장 우려되는 발견은 63.5%의 패키지가 인간의 확인 없이 파괴적인 작업을 노출한다는 점입니다. 이러한 작업에는 파일 삭제, 데이터베이스 삭제, 코드 배포 등이 포함됩니다. 누군가가 도구 응답에 악성 프롬프트를 주입하면, AI 에이전트는 허가 없이 이러한 파괴적인 작업을 실행하게 됩니다.

추가 보안 문제

• 전체적으로 49%의 패키지에 보안 문제가 있음
• 402개의 치명적 심각도 취약점
• 240개의 높은 심각도 취약점
• 122개 패키지가 npm install 시 코드를 자동 실행
• 실제 사례에는 SSH 키 도난, 유니코드 프롬프트 주입, 지연 백도어 등이 포함됨

연구원은 모든 발견 사항이 악성 소프트웨어를 의미하는 것은 아니며, 대부분이 "안전 장치 없는 위험한 기능"이라고 지적했습니다. 그러나 63.5%의 패키지는 "한 번의 프롬프트 주입만으로 실제 피해가 발생할 수 있는" 상태입니다.

탐지 및 대응

스캔 도구는 99.4%의 정밀도와 39.9%의 재현율을 달성했는데, 이는 거의 오탐지가 없지만 아직 모든 것을 포착하지는 못한다는 의미입니다. 악성 패턴은 탐지 규칙으로 변환되었으며, 피해 당사자들에게 책임 있는 공개가 이루어졌습니다.

연구원은 이러한 위협을 탐지하기 위한 개방형 표준으로 ATR(Agent Threat Rules)을 구축했습니다. 61개의 탐지 규칙이 MIT 라이선스로 공개되었으며, 특정 도구에 종속되지 않습니다. 누구나 이러한 규칙을 사용하여 MCP 패키지를 스캔할 수 있습니다.

아무것도 설치하지 않고 panguard.ai에서 모든 스킬을 스캔할 수 있습니다. GitHub URL을 붙여넣으면 3초 안에 보고서를 받을 수 있습니다. 전체 연구 보고서는 panguard.ai/research/mcp-ecosystem-scan에서 확인할 수 있습니다.