MCP 서버 CVE 노출 매핑 및 공용 API 출시

MCP 서버 보안 분석 및 공개 API

보안 연구자들은 수천 개의 MCP(Model Context Protocol) 서버를 분석하여 알려진 CVE 및 보안 권고사항과 대조해 의존성 트리를 매핑했습니다. MCP 서버를 설치할 때는 해당 서버의 전체 의존성 트리를 상속받게 되며, 여기에는 취약점이 포함될 수 있습니다.

분석 결과 주요 발견 사항

• 상당한 비율의 서버가 알려진 취약점을 보유하고 있음
• 일부 서버는 의존성을 통해 수십 개 또는 100개 이상의 CVE가 누적됨
• 심각도는 크게 다양함 - 높은 CVE 개수가 반드시 높은 위험을 의미하지는 않으며, 낮은 개수도 안전을 보장하지 않음
• MCP 서버 전반에 걸쳐 의존성 확산이 흔함
• 이러한 서버의 상당 부분이 주요 MCP 디렉토리에 여전히 등재되어 있음

공개 API 상세 정보

연구자들은 API 키가 필요 없는 공개 API를 구축했습니다: https://api.mistaike.ai/api/v1/public/cve-index

이 API를 통해 다음과 같은 작업이 가능합니다:

• 저장소 이름 또는 서버 이름으로 검색
• 취약점 심각도별로 결과 필터링
• CVE 개수 또는 취약점 최신순으로 정렬

중요한 주의사항

CVE가 존재한다고 해서 자동으로 악용 가능한 것은 아닙니다. 일부 취약점은 사용되지 않는 코드 경로에 존재하거나, 이미 완화 조치가 취해졌을 수 있습니다. 이 도구는 프로젝트를 안전하지 않다고 표시하기보다는 공급망 위험에 대한 가시성을 제공합니다.

다음 단계: 런타임 동작 분석

연구자들은 현재 MCP 서버가 런타임에서 실제로 수행하는 작업(네트워크 호출 및 외부 의존성 포함)을 분석하고 있습니다. 지금까지 분석된 서버의 일부(~5%)에서는 응답 워터마킹과 일치하는 보이지 않는 유니코드 문자 사용 등 개인정보 보호에 영향을 미칠 수 있는 소수의 동작을 확인했습니다. 이러한 관찰 결과는 아직 검토 중이며, 팀은 프로젝트와 직접 소통하기 전에 진양성과 분석 아티팩트를 구분하기 위해 노력하고 있습니다.