개요

MCP 보안에서 가장 중요한 측면은 신뢰입니다. 신뢰할 수 있다고 확신하는 MCP 서버에만 CrewAI 에이전트를 연결해야 합니다.
CrewAI 에이전트에 MCP(Model Context Protocol) 서버와 같은 외부 서비스를 통합할 때 보안이 가장 중요합니다.
MCP 서버는 노출한 도구를 기반으로 코드를 실행하거나 데이터에 접근하거나 다른 시스템과 상호작용할 수 있습니다.
응용 프로그램과 데이터를 보호하기 위해 그 영향력을 이해하고 모범 사례를 따르는 것이 매우 중요합니다.

위험

  • 에이전트가 실행 중인 머신에서 임의의 코드를 실행할 수 있습니다(특히 서버가 실행되는 명령어를 제어할 수 있는 Stdio 전송 방식을 사용할 경우).
  • 에이전트나 그 환경에서 민감한 데이터가 노출될 수 있습니다.
  • 예기치 않은 방식으로 에이전트의 동작이 조작되어, 본인 동의 없이 API 호출이 이루어질 수 있습니다.
  • 정교한 프롬프트 인젝션 기법(아래 참조)을 통해 에이전트의 reasoning 프로세스가 탈취될 수 있습니다.

1. MCP 서버 신뢰하기

신뢰할 수 있는 MCP 서버에만 연결하십시오.
MCPServerAdapter를 MCP 서버에 연결하도록 구성하기 전에 다음을 반드시 확인하십시오:
  • 서버 운영자는 누구입니까? 신뢰할 수 있는 잘 알려진 서비스이거나 여러분이 직접 제어하는 내부 서버입니까?
  • 어떤 도구를 노출합니까? 도구의 기능을 이해해야 합니다. 공격자가 제어권을 얻거나 서버 자체가 악의적이라면 이 도구들이 오용될 수 있습니까?
  • 어떤 데이터를 접근하거나 처리합니까? MCP 서버에 전송되거나 처리될 수 있는 민감한 정보가 있는지 반드시 파악하십시오.
특히 에이전트가 민감한 작업이나 데이터를 처리하는 경우, 알 수 없거나 검증되지 않은 MCP 서버에는 연결하지 마십시오.

2. Tool Metadata를 통한 보안 프롬프트 인젝션: “Model Control Protocol”의 위험성

중요하면서도 미묘한 위험 중 하나는 툴 메타데이터를 통한 프롬프트 인젝션 가능성입니다. 그 과정은 다음과 같습니다:
  1. CrewAI 에이전트가 MCP 서버에 연결하면, 일반적으로 사용 가능한 툴 목록을 요청합니다.
  2. MCP 서버는 각 툴에 대한 메타데이터를 이름, 설명, 파라미터 설명과 함께 응답합니다.
  3. 에이전트의 언더라이잉 Language Model(LLM)은 해당 메타데이터를 활용해 언제, 어떻게 툴을 사용할지 이해합니다. 이 메타데이터는 LLM의 시스템 프롬프트나 컨텍스트에 포함되는 경우가 많습니다.
  4. 악의적인 MCP 서버는 툴의 메타데이터(이름, 설명 등)에 숨겨진 또는 노골적인 명령어를 삽입할 수 있습니다. 이러한 명령은 프롬프트 인젝션으로 동작하여, LLM에게 특정 방식으로 동작하라고 지시하거나, 민감한 정보를 공개하게 하거나, 악의적인 행동을 수행하게 만들 수 있습니다.
중요하게도, 이 공격은 에이전트가 해당 툴을 실제로 사용하지 않더라도 단순히 악성 서버에 연결해 툴 목록을 조회하는 것만으로도 발생할 수 있습니다. 악의적인 메타데이터에 노출되는 것만으로도 에이전트의 행동이 손상될 수 있습니다. 완화 방안:
  • 신뢰되지 않은 서버에 대한 극도의 주의: 반복합니다. 완전히 신뢰하지 않는 MCP 서버에는 절대 연결하지 마십시오. 메타데이터 인젝션의 위험성 때문에 이 점이 매우 중요합니다.

Stdio 전송 보안

Stdio(표준 입력/출력) 전송은 일반적으로 CrewAI 애플리케이션과 동일한 머신에서 실행되는 로컬 MCP 서버에 사용됩니다.
  • 프로세스 격리: 기본적으로 네트워크에 노출되지 않아 일반적으로 더 안전하지만, StdioServerParameters로 실행되는 스크립트나 명령어가 신뢰할 수 있는 소스에서 왔으며 적절한 파일 시스템 권한을 가지고 있는지 확인해야 합니다. 악의적인 Stdio 서버 스크립트는 여전히 로컬 시스템에 피해를 줄 수 있습니다.
  • 입력값 정제: Stdio 서버 스크립트가 에이전트 상호작용에서 파생된 복잡한 입력을 받는 경우, 스크립트 자체에서 이러한 입력값을 정제하여 명령어 삽입이나 스크립트 논리 내 다른 취약점이 발생하지 않도록 해야 합니다.
  • 리소스 제한: 로컬 Stdio 서버 프로세스는 로컬 자원(CPU, 메모리)을 소모하므로, 반드시 정상적으로 동작하는지, 시스템 자원을 소모하지 않는지 주의 깊게 관리해야 합니다.

혼동된 대리인(Confused Deputy) 공격

혼동된 대리인 문제(Confused Deputy Problem)는 고전적인 보안 취약점으로, MCP 통합에서 특히 MCP 서버가 다른 서드파티 서비스(예: Google Calendar, GitHub)와 OAuth 2.0을 통한 인증을 할 때 프록시 역할을 할 경우 나타날 수 있습니다. 시나리오:
  1. MCP 서버(여기서는 MCP-Proxy라고 부르겠습니다)가 에이전트가 ThirdPartyAPI와 상호작용할 수 있도록 허용합니다.
  2. MCP-ProxyThirdPartyAPI의 인증 서버와 통신할 때 자체의 단일 고정 client_id를 사용합니다.
  3. 사용자(즉, 여러분)는 정당하게 MCP-Proxy가 여러분을 대신해 ThirdPartyAPI에 접근할 수 있도록 승인합니다. 이 과정에서 ThirdPartyAPI의 인증 서버는 여러분의 브라우저에 MCP-Proxyclient_id에 대한 동의 쿠키를 설정할 수 있습니다.
  4. 공격자는 악의적인 링크를 만듭니다. 이 링크는 MCP-Proxy와의 OAuth 플로우를 시작하지만, ThirdPartyAPI의 인증 서버를 속이도록 설계되어 있습니다.
  5. 여러분이 이 링크를 클릭하고, ThirdPartyAPI의 인증 서버가 이미 존재하는 MCP-Proxyclient_id에 대한 동의 쿠키를 확인하면, 다시 동의를 묻지 않고 건너뛰기 할 수 있습니다.
  6. 그러면 MCP-Proxy가 (공격자에게) 인증 코드를 전달하도록 속거나, 공격자가 여러분을 가장해 MCP-Proxy에 사용할 수 있는 MCP 인증 코드를 받게 될 수 있습니다.
대응 방안(주로 MCP 서버 개발자용):
  • 다운스트림 서비스를 위해 정적 client ID를 사용하는 MCP 프록시 서버는 각 클라이언트 애플리케이션 또는 에이전트별로 명시적인 사용자 동의를 반드시 받아야 합니다. 이 동의는 서드파티 서비스와의 OAuth 플로우 시작 이전에 이루어져야 하며, MCP-Proxy 자체가 동의 화면을 표시하도록 해야 합니다.
CrewAI 사용자 주의사항:
  • MCP 서버가 여러 번 OAuth 인증을 위해 리디렉션하는 경우, 특히 예상치 않거나 요청된 권한이 과도하게 넓다면 주의해야 합니다.
  • 자신과 프록시할 수 있는 서드파티 서비스의 구분을 명확하게 하는 MCP 서버를 선호하는 것이 좋습니다.

원격 전송 보안 (SSE & Streamable HTTP)

Server-Sent Events(SSE) 또는 Streamable HTTP를 통해 원격 MCP 서버에 연결할 때, 표준 웹 보안 관행이 필수적입니다.

SSE 보안 고려사항

a. DNS 리바인딩 공격 (특히 SSE의 경우)

DNS 리바인딩은 공격자가 제어하는 웹사이트가 동일 출처 정책(same-origin policy)을 우회하여 사용자의 로컬 네트워크(예: localhost) 또는 인트라넷에 있는 서버에 요청을 보낼 수 있도록 합니다. 이는 MCP 서버를 로컬(예: 개발용)로 실행하고 브라우저와 유사한 환경에서 agent를 사용하는 경우(일반적인 CrewAI 백엔드 구성에서는 드물지만) 또는 MCP 서버가 내부 네트워크상에 있을 경우 특히 위험할 수 있습니다. MCP 서버 구현자를 위한 대응 전략:
  • OriginHost 헤더 검증: MCP 서버(특히 SSE 서버)는 Origin 및/또는 Host HTTP 헤더를 검증하여 요청이 예상되는 도메인/클라이언트로부터 오는지 확인해야 합니다.
  • localhost(127.0.0.1)로 바인딩: 개발을 위해 MCP 서버를 로컬에서 실행할 때는 0.0.0.0 대신 127.0.0.1로 바인딩하세요. 이를 통해 네트워크의 다른 기기에서 접근하지 못하도록 막을 수 있습니다.
  • 인증(Authentication): MCP 서버가 공개된 익명 접근을 목적으로 하지 않는 한 모든 연결에 대해 인증을 요구하세요.

b. HTTPS 사용

  • 전송 중 데이터 암호화: 원격 MCP 서버의 URL에는 항상 HTTPS(HTTP Secure)를 사용하세요. 이는 CrewAI 애플리케이션과 MCP 서버 간의 통신을 암호화하여 도청 및 중간자 공격으로부터 보호합니다. MCPServerAdapter는 URL에 제공된 스킴(http 또는 https)을 그대로 따릅니다.

c. 토큰 패스스루(Token Passthrough) (안티 패턴)

이 문제는 주로 MCP 서버 개발자들에게 해당되지만, 이를 이해하는 것은 안전한 서버를 선택하는 데 도움이 됩니다. “토큰 패스스루”란, MCP 서버가 CrewAI agent로부터 받은 액세스 토큰(예를 들어 ServiceA를 위한 토큰일 수도 있음)을 별도의 적절한 검증 없이 다른 하위 API(ServiceB)로 그대로 전달하는 것을 의미합니다. 특히, ServiceB(또는 MCP 서버 자체)는 명시적으로 자신들을 위해 발급된 토큰만 받아야 합니다(즉, 토큰 내의 ‘audience’ 클레임이 해당 서버/서비스와 일치해야 함). 위험성:
  • MCP 서버나 하위 API의 보안 제어(예 : 속도 제한, 세밀한 권한 부여 등)를 우회할 수 있습니다.
  • 감사 추적 및 책임성을 저해할 수 있습니다.
  • 탈취된 토큰의 악용을 허용할 수 있습니다.
대응 방안 (MCP 서버 개발자용):
  • MCP 서버는 명시적으로 자신을 위해 발급된 토큰만 받아야 합니다. 토큰의 audience 클레임을 반드시 검증해야 합니다.
CrewAI 사용자에게 미치는 영향:
  • 사용자가 직접적으로 제어할 수는 없지만, 보안 모범 사례를 준수하는 잘 설계된 MCP 서버에 연결하는 것이 중요함을 강조합니다.

인증 및 인가

  • 신원 확인: MCP 서버가 민감한 도구 또는 비공개 데이터에 대한 액세스를 제공하는 경우, 클라이언트(귀하의 CrewAI 애플리케이션)의 신원을 확인하기 위해 강력한 인증 메커니즘을 반드시 구현해야 합니다. 이는 API 키, OAuth 토큰 또는 기타 표준 방법을 포함할 수 있습니다.
  • 최소 권한 원칙: MCPServerAdapter에서 사용하는 자격 증명(있는 경우)은 필요한 도구에 접근하는 데 꼭 필요한 권한만 가지고 있도록 해야 합니다.

d. 입력 검증 및 정제

  • 입력 검증은 매우 중요합니다: MCP 서버는 에이전트로부터 받은 모든 입력을 처리하거나 도구에 전달하기 전에 철저하게 검증해야 합니다. 이는 많은 일반적인 취약점에 대한 1차 방어선입니다:
    • 명령어 삽입: 도구가 입력을 기반으로 셸 명령, SQL 쿼리 또는 기타 해석형 언어 문장을 구성하는 경우, 서버는 악의적 명령어 주입 및 실행을 방지하기 위해 이 입력을 꼼꼼하게 정제해야 합니다.
    • 경로 탐색: 도구가 입력 매개변수에 따라 파일에 접근하는 경우, 서버는 미허가 파일 또는 디렉터리에 접근하지 못하도록 이 경로를 검증 및 정제해야 합니다(예: ../ 시퀀스 차단).
    • 데이터 타입 및 범위 검사: 서버는 입력 데이터가 기대하는 데이터 타입(예: 문자열, 숫자, 불리언)에 부합하는지, 허용 범위 내에 있거나 정의된 형식(예: URL에 대한 정규식)에 맞는지 확인해야 합니다.
    • JSON 스키마 검증: 모든 도구 매개변수는 정의된 JSON 스키마에 엄격하게 맞춰 검증되어야 합니다. 이를 통해 잘못된 요청을 조기에 차단할 수 있습니다.
  • 클라이언트 측 인지: 서버 측 검증이 가장 중요하지만, CrewAI 사용자는 특히 신뢰도가 낮은 또는 새로운 MCP 서버와 상호작용할 때 자신의 에이전트가 MCP 도구에 전달하도록 설계된 데이터에 각별히 유의해야 합니다.

e. 속도 제한 및 리소스 관리

  • 오용 방지: MCP 서버는 악의적(서비스 거부 공격 등)이든 비의도적(예: 잘못 구성된 agent가 과도한 요청을 보내는 경우)이든 오용을 방지하기 위해 속도 제한을 구현해야 합니다.
  • 클라이언트 측 재시도: 일시적인 네트워크 문제나 서버의 속도 제한이 예상될 경우, CrewAI 작업에서 합리적인 재시도 로직을 구현하되, 서버 부하를 가중시킬 수 있는 과도한 재시도는 피해야 합니다.

4. 보안 MCP 서버 구현 권장 사항 (개발자용)

CrewAI 에이전트가 연결할 수 있는 MCP 서버를 개발하고 있다면, 위의 내용에 추가하여 다음과 같은 모범 사례를 고려하세요:
  • 안전한 코딩 관행 준수: 선택한 언어 및 프레임워크에 대한 표준 안전 코딩 원칙(예: OWASP Top 10)을 준수하세요.
  • 최소 권한 원칙: MCP 서버를 실행하는 프로세스(특히 Stdio의 경우)는 작업에 필요한 최소 권한만 보유하도록 하세요. 툴 자체도 자신의 기능 수행에 필요한 최소한의 권한만으로 동작해야 합니다.
  • 종속성 관리: 운영 체제 패키지, 언어 런타임, 써드파티 라이브러리 등 모든 서버 측 종속성을 최신 상태로 유지하여 알려진 취약점을 패치하세요. 취약한 종속성을 스캔하는 도구를 사용하세요.
  • 안전한 기본값: 서버와 그 도구를 기본적으로 안전하게 설계하세요. 예를 들어, 위험할 수 있는 기능은 기본적으로 꺼져 있거나 명확한 경고와 함께 명시적으로 opt-in 하도록 해야 합니다.
  • 툴에 대한 접근 제어: 인증 및 권한이 부여된 에이전트 또는 사용자만 특정 툴(특히 강력하거나 민감하거나 비용이 발생하는 툴)에 접근할 수 있도록 강력한 메커니즘을 구현하세요.
  • 안전한 오류 처리: 서버는 클라이언트에게 상세한 내부 오류 메시지, 스택 트레이스 또는 디버깅 정보를 노출해서는 안 됩니다. 이러한 정보는 내부 동작이나 잠재적 취약점을 드러낼 수 있습니다. 오류는 서버 측에서 진단을 목적으로 포괄적으로 기록하세요.
  • 포괄적인 로깅 및 모니터링: 보안 관련 이벤트(예: 인증 시도, 툴 호출, 오류, 권한 변경)에 대해 상세하게 로깅하세요. 이런 로그를 모니터링하여 의심스러운 활동이나 악용 패턴을 파악하세요.
  • MCP 인증 사양 준수: 인증 및 권한 부여를 구현할 경우, MCP Authorization specification 및 관련 OAuth 2.0 security best practices를 엄격히 준수하세요.
  • 정기적인 보안 감사: MCP 서버가 민감한 데이터를 처리하거나, 중요한 작업을 수행하거나, 대외적으로 노출된 경우 자격을 갖춘 전문가의 정기적인 보안 감사를 고려하세요.

5. 추가 참고 자료

MCP 보안에 대한 자세한 내용은 공식 문서를 참고하세요: 이러한 보안 고려사항을 이해하고 모범 사례를 구현하면 CrewAI 프로젝트에서 MCP 서버의 강력한 기능을 안전하게 활용할 수 있습니다.
여기서 다루는 내용이 모든 것을 포괄하는 것은 아니지만, 가장 일반적이고 중요한 보안 문제들을 포함하고 있습니다.
위협은 계속 진화하기 때문에 지속적으로 정보를 확인하고 그에 맞춰 보안 조치를 조정하는 것이 중요합니다.