핵심 요약
- 공격자는 MCP(Model Context Protocol) 도구의 설명 텍스트를 오염시켜, AI 에이전트가 정책 위반 없이 민감 데이터를 외부로 반출하도록 유도할 가능성이 있다고 마이크로소프트 인시던트 응답팀은 분석했다.
- 정상 호출 절차로 위장되므로 기존 룰 기반 탐지와 SIEM 로그 분석만으로 침해를 즉시 판별하기 어려운 사각지대가 존재한다는 분석이다.
- 마이크로소프트 인시던트 응답팀은 도구 설명 무결성 검증과 행위 기반 이상탐지를 핵심 통제로 권고했으며, 에이전트 공급망 거버넌스 강화 필요성도 함께 언급했다.
설명 한 줄로 신뢰 경계가 무너질 수 있는 만큼, AI 에이전트 보안의 초점은 모델 자체보다 도구 카탈로그와 행위 모니터링으로 이동할 필요가 있다.
2026년 6월 30일, The Hacker News는 마이크로소프트 인시던트 응답팀이 공개한 연구를 인용하며 MCP 도구 설명 오염(poisoned tool description) 공격이 기업용 AI 에이전트의 새로운 데이터 유출 경로로 부상하고 있다고 보도했다. 본문은 모델 가중치가 아닌 도구 카탈로그의 메타데이터가 침투 지점이 되는 공급망형 위협의 메커니즘과 통제 방향을 정리한다.
공격 개요 – 도구 설명 한 줄이 데이터 유출로 이어지는 과정
MCP 환경에서의 정상 호출 흐름 복기
MCP는 AI 에이전트가 외부 도구와 데이터를 호출할 때 사용하는 표준 인터페이스 규약이다. 일반적인 흐름에서 에이전트는 (1) 사용자 요청 해석, (2) 카탈로그에서 적합한 도구 선정, (3) 도구 메타데이터와 설명 참조, (4) 매개변수 구성, (5) 도구 호출 및 응답 반환의 5단계를 거친다. 이 가운데 3단계에서 참조되는 설명 필드는 사람이 읽는 문서이자 에이전트의 의사결정 가이드 역할을 동시에 수행하므로, 문구 하나의 변조가 호출 결과 전체를 왜곡할 수 있다.
오염된 설명이 에이전트의 의사결정을 우회하는 메커니즘
공격자는 도구 설명에 위장 문구를 삽입해 에이전트가 내부 파일을 읽고 외부 엔드포인트로 전송하도록 유도하는 시나리오가 보고된다. 에이전트 입장에서는 설명이 카탈로그의 일부이므로 신뢰 가능한 지시로 해석하며, 사용자도 정상 대화 흐름으로 인식한다. 결과적으로 권한 정책과 감사 로그에는 합법적인 호출이 누적되지만, 실제 데이터는 공격자 통제 인프라로 흘러가게 된다. 본 메커니즘은 사용자 프롬프트에 의존하지 않기 때문에 프롬프트 인젝션 필터로 차단되지 않는 점이 특징이다.
왜 기존 보안 통제가 탐지에 실패하는가
룰 위반이 발생하지 않는 침묵의 침해
기존 데이터 유출 방지(DLP) 시스템은 허용되지 않은 도메인으로의 송신, 비정상 프로토콜 사용, 권한 외 데이터 접근 같은 룰 위반을 기준으로 경보를 발생시킨다. 그러나 도구 설명 오염 공격은 에이전트가 보유한 정식 토큰과 정식 호출 경로를 사용하므로, 정책상 차단 사유가 발생하지 않는다. 마이크로소프트 인시던트 응답팀은 이러한 특성을 ‘침묵의 침해’로 분류하며, 전통적 경계 기반 통제의 사각지대를 지적했다.
로그와 SIEM에서 보이는 정상 호출 패턴의 맹점
SIEM(Security Information and Event Management)에서는 호출 빈도, 대상 IP, 사용자 세션 모두 평소와 유사한 패턴을 보인다. 설명 변조는 코드 변경이 아닌 텍스트 수정으로 처리될 수 있어, 코드 무결성 점검만으로는 탐지가 어려울 수 있다는 분석이다. 결국 사후 탐지는 침해 사실이 외부에서 공개된 뒤에야 가능하다는 분석이 우세하다. 이로 인해 평균 탐지 시간(MTTD)이 길어질 수 있다는 크게 늘리는 요인이며, 손실 규모를 키우는 변수로 작용한다.
마이크로소프트 인시던트 응답팀의 권고안
도구 설명의 무결성 검증 및 서명 절차
권고의 첫 축은 도구 카탈로그의 메타데이터에 대한 무결성 검증이다. 공급자가 배포한 설명 텍스트는 코드 서명처럼 해시 기반 검증 또는 서명 검증 절차를 거쳐야 하며, 변조가 감지되면 즉시 카탈로그에서 격리한다. 마이크로소프트는 도구 등록 단계에서 발행자 신원과 빌드 해시를 강제 확인하는 절차 도입을 제안한 것으로 전해진다. 이는 기존 패키 매니저의 신뢰 모델을 MCP 영역으로 확장한 개념으로 이해된다.
에이전트 행위 기반 이상탐지 모니터링
두 번째 축은 호출 결과에 대한 행위 기반 모니터링이다. 에이전트가 동일 사용자 세션에서 짧은 시간 안에 다수의 문서를 읽고 외부로 송출하는 패턴은 정상 업무와 확연히 구분된다. 사용자 행태 분석(User and Entity Behavior Analytics, UEBA)과 결합하면 설명 변조로 인한 호출 의도 왜곡을 사후에 식별할 수 있다. 마이크로소프트는 이러한 통제를 AI 거버넌스 프레임워크의 필수 요소로 편입해야 한다고 강조한다.
기업 대응 체크리스트와 향후 전망
MCP 도구 카탈로그 점검 항목
즉시 점검 가능한 핵심 통제 항목은 다음과 같다.
- 도구 카탈로그 등록 시 발행자 서명 및 빌드 해시 검증 절차 적용 여부 확인
- 도구 설명 필드 변경 이력에 대한 감사 로그 보관 기간과 무결성 보호 조치 점검
- 민감 데이터 등급별 외부 송신 정책과 에이전트 토큰 범위 비교를 통한 최소 권한 재검토
- SIEM 룰에 에이전트 호출 행위 이상 패턴 시그니처 등록 및 정기 튜닝
- 사고 대응 플레이북에 MCP 도구 오염 시나리오 포함 및 모의 훈련 실시
에이전트 공급망 보안 로드맵
중장기적으로는 도구 카탈로그의 신뢰 등급을 모델의 안전성 등급처럼 제3자가 평가하는 생태계가 필요해질 것으로 전망된다. 마이크로소프트와 같은 대형 클라우드 사업자가 인증 마크와 위협 인텔리전스를 공유하는 형태가 도입되면, 중소기업도 별도의 검증 역량 없이 안전한 도구만 선택할 수 있다. 다만 이러한 거버넌스 체계가 자리 잡기까지는 상당 기간이 소요될 것으로 보이며, 그 사이의 공백기에는 각 기업이 자체 점검과 행위 모니터링을 병행해야 한다. 결과적으로 AI 에이전트 시대의 보안은 모델의 성능 경쟁이 아닌, 도구와 데이터가 만나는 접점의 통제 경쟁으로 무게중심이 이동하고 있다.
핵심 정리
- 도구 설명 오염은 코드 변경 없이 발생하므로, 모델 보안보다 카탈로그 거버넌스가 1차 방어선이다.
- 룰 위반이 없는 침묵의 침해 형태이므로, SIEM 단독 탐지에는 한계가 있으며 행위 기반 모니터링이 필수다.
- 마이크로소프트 인시던트 응답팀의 권고는 무결성 검증과 이상탐지라는 두 축으로 요약된다.
- 에이전트 공급망 신뢰 등급 체계는 향후 수년간 기업 보안 전략의 핵심 과제로 부상할 것으로 전망된다.
참고 출처: The Hacker News 원문 기사, Microsoft Security Research 인용 매체