AI 에이전트가 붙는 MCP 서버, 이제 “나중에 보안”이 아닙니다. 지금 당장 공격이 들어오고 있고, 그 충격파는 제품 퍼널로 직행합니다. dev.to의 Kai(자율 보안 리서처)가 공개한 MCP 보안 API 허니팟 데이터는 그걸 숫자로 보여줍니다. 3일간 1,217회 요청, 그리고 ‘자격증명 탈취용 도구’에 대한 실제 호출까지. 이거, 바이럴보다 먼저 터질 수 있는 리스크예요.
핵심 이슈는 간단합니다. MCP 생태계에서 “무인증 서버” 비율이 너무 높습니다. Kai의 스캔 데이터에 따르면 약 518~525개 프로덕션 MCP 서버 중 ‘MCP 레이어 인증이 없는 서버’가 41% 수준이고, 그중 실제로 도구 호출까지 가능한 ‘진짜 오픈’(Tier 1)도 179개로 정리됩니다(패시브 스캔 오분류를 액티브 테스트로 보정). 즉, 공격자는 URL만 알면 ‘도구 목록 → 도구 호출’까지 바로 들어갈 가능성이 큽니다.
맥락을 그로스 관점으로 해석하면 더 선명해집니다. 퍼널에서 신뢰는 전환을 만드는 ‘보이지 않는 UX’인데, MCP는 그 신뢰를 한 번에 깨는 구조를 갖고 있어요. 이유는 두 가지: (1) 에이전트는 사람보다 성급합니다. 허니팟 도구 get_aws_credentials(role="admin")이 공개 후 24~48시간 내에 ‘탐색 없이’ 바로 찍혔습니다. (2) MCP의 tools/list는 공격자에게 “여기서 뭘 하면 돈/인프라/데이터가 움직이는지”를 메뉴판처럼 보여줍니다. 유저가 이탈할 것 같은데… 그 이탈은 온보딩 화면이 아니라 “사고 공지”에서 발생합니다.
공격 패턴도 제품팀이 이해하기 쉬운 형태로 관측됩니다. 3일 로그에서 대부분은 Node.js 기반 에이전트(87%)의 자동 탐색 트래픽이었고, api_ask 같은 도구에는 빈 파라미터 호출이 대량으로 들어옵니다. 이건 ‘버그’가 아니라 에이전트가 도구 시그니처를 학습하기 위해 빈 값을 던져 에러 메시지로 스키마를 캐는 전형적인 리컨(recon)입니다. 더 무서운 건, 공개된 보안 리서치 콘텐츠가 곧 공격 지도(“Cortex 서버 취약하다던데 엔드포인트 뭐야?”)로 재사용됐다는 점입니다. 콘텐츠→정찰→시도까지의 리드타임이 ‘며칠’ 단위로 줄어든 거죠.
시사점은 명확합니다: MCP 보안은 곧 그로스 방어선입니다. 보안 사고는 (전환↓) 결제 직전 이탈, (리텐션↓) 신뢰 하락으로 재방문 감소, (CAC↑) “보안 불안”을 상쇄하기 위한 마케팅 비용 증가로 이어집니다. 특히 에이전트 도입이 늘수록 ‘자동화된 트래픽’이 늘고, 그 트래픽 속에 공격도 섞입니다. 그러면 제품팀은 광고를 아무리 태워도 LTV가 먼저 무너져요.
그래서 실행은 “정책 문서”가 아니라 “체크리스트+실험”으로 가야 합니다. 빠리 테스트해봐야 돼요.
- 1) MCP 레이어 인증을 기본값으로: tools/list 공개는 선택이지만, tools/call은 무조건 인증. API 레이어에서만 막는 Tier 2는 ‘실행은 막아도 스키마 유출(정보공개)’이 남습니다.
- 2) 허니팟 도구로 ‘조기경보’ 만들기: 가짜 get_*_credentials류 도구를 심고 호출 알람을 걸면, 침해사고가 아니라 “사고 직전”을 잡을 수 있습니다. Kai도 48시간 내 히트를 관측했습니다.
- 3) 도구 네이밍 규칙 실험: 진짜 운영 도구에 execute_command, deploy_production 같은 고위험 이름을 노출하지 않기. 이름 자체가 공격자(혹은 무작정 도구를 훑는 에이전트)에게 CTA가 됩니다.
- 4) 로그에서 ‘도구 이름’과 스파이크를 KPI로: 보안팀만 보는 지표가 아니라, 성장팀도 보는 지표로 가져오세요. 특정 도구 호출 급증은 곧 “타깃팅 시작” 신호일 수 있습니다.
전망: MCP는 빠르게 “RCE급 CVE가 나오는 실행 레이어”로 굳어지고 있습니다. Kai는 한 달에만 MCP 서버용 커맨드 인젝션 CVE가 여러 건 떨어졌다고 지적합니다(CVE-2026-0756, -26029, -2178 등). 여기에 무인증 서버가 섞이면, 그건 취약점이 아니라 ‘즉시 원격 실행 API’가 됩니다. 시장은 결국 (1) 레지스트리 등록 단계에서 보안 스캐닝, (2) 도구 위험 등급 표기, (3) MCP 인증을 사실상 표준으로 밀어갈 가능성이 큽니다.
정리하면: MCP 보안은 비용센터가 아니라 전환율 방어 장치입니다. 오픈 MCP 서버는 “발견→탐색→시도”가 자동화돼 있고, 한 번의 사고는 브랜드 신뢰를 태워 CAC를 폭등시킵니다. 그러니 오늘 할 일은 하나예요. 우리 MCP 서버가 Tier 1/2/3 중 어디인지 액티브로 확인하고, tools/call을 잠그고, 허니팟으로 경보선을 깔기. 여기서 Conversion rate가 얼마나 오를까요? 최소한 “떨어질 확률”을 크게 줄입니다. 그게 요즘 그로스입니다.