MCP, 보안이 걱정이라고요?
미리 대응해 놓았습니다.
MCP는 편리한 만큼 위험도 따라옵니다. 하지만 알려진 공격은 게이트웨이에서 기본 차단되고, 외부 키는 AI에도 다른 고객사에도 닿지 않습니다.
알려진 MCP 공격, 전부 기본으로 막습니다.
업계에서 MCP의 대표 위협 10가지를 정리한 표준 목록(OWASP MCP Top 10, 2025)이 나왔습니다. 그 위협을 하나하나, 우리가 실제로 막는 방법과 나란히 짝지었습니다.
겉보기엔 멀쩡한 도구 설명 안에 몰래 숨긴 지시문으로 AI를 마음대로 움직이려는 공격입니다.
한 번 허락받은 뒤 도구 내용을 슬쩍 바꿔 권한을 빼가는 공격입니다(MCPoison · CVE-2025-54136).
데이터나 도구 응답 속에 명령을 심어 AI의 다음 행동을 조종합니다. AI 보안 위협 1위입니다.
민감한 데이터와 외부로 보내는 통로, 믿을 수 없는 내용이 한자리에 모이면 정보가 새어 나갑니다.
외부 서비스에 접속하는 열쇠(API 키)가 AI나 다른 고객사, 기록으로 새어 나가는 사고입니다.
로그인 절차의 빈틈을 노려, 발급되는 접속 권한을 중간에서 가로채려는 공격입니다.
서버를 속여, 외부에 노출되면 안 되는 내부망이나 클라우드 설정 정보를 빼내려는 공격입니다.
도구나 서버에 쓰지도 않을 권한까지 잔뜩 열려 있는 상태가 그 자체로 위험입니다.
다른 사람의 접속 정보를 훔쳐, 그 사람인 척 올라타는 공격입니다.
믿고 쓰던 외부 서버가 변조돼, 데이터를 몰래 외부로 빼돌리는 사고입니다.
| 이런 공격이 | 이렇게 막힙니다 |
|---|---|
| 악성 도구가 AI를 조종 | 연결할 때와 쓸 때 양쪽에서 도구를 검사해, 숨겨진 지시문을 걸러냅니다. |
| 승인 뒤에 도구가 몰래 바뀜 | 도구가 처음과 달라지면 즉시 막고, 관리자에게 다시 확인받습니다. |
| 끼워 넣은 지시로 AI 오염 | 도구 정의를 검사해 숨겨진 지시문·제어문자를 걸러내고, 승인 후 바뀐 도구는 즉시 막습니다(재승인 전까지 차단). |
| 민감정보 + 외부전송이 겹칠 때 | 데이터는 한 방향으로만 흐르고 허용된 목적지로만 나갑니다 — 새어 나갈 통로 자체를 막습니다. 원문은 그대로 전달하고, 민감정보 처리는 데이터를 쓰는 클라이언트(필요 시 corepin 옵트인)가 맡습니다. |
| 열쇠(키) 유출 | 열쇠는 서버 안에 숨겨 두고, AI에도 다른 고객사에도 절대 넘기지 않습니다. |
| 로그인 권한 가로채기 | 권한은 처음 요청한 곳에만 정확히 발급하고, 엉뚱한 목적지로는 보내지 않습니다. |
| 내부망·서버 정보 탈취 | 외부로 나가는 연결을 통제해, 내부 주소나 클라우드 설정 경로로는 못 가게 막습니다. |
| 필요 이상으로 넓은 권한 | 기본은 모두 꺼져 있고, 관리자가 켠 것만 작동합니다. |
| 남의 접속 가로채기 | 접속 정보는 발급받은 본인에게만 묶이도록 했습니다. |
| 믿었던 서버의 변조 | 허용한 목적지로만 보내고, 내용이 바뀐 게 감지되면 차단합니다. |
보안을 직접 떠안지 마세요. 이미 켜져 있습니다.
도구를 직접 붙이면 위 열 가지 위험이 전부 내 몫이 됩니다. 우리는 이 방어를 기본값으로 켜 두었습니다. 켜고 끄거나 설정을 빼먹어서 생기는 빈틈이 없습니다 — 안전한 쪽이 기본입니다.
위에 정리한 열 가지 방어가 모두 기본으로 작동합니다. 모든 호출 기록은 저장하는 순간 암호화되어, 나중에 누가 봐도 내용이 새지 않습니다.
민감한 작업을 실행하기 전에 사람이 직접 한 번 더 승인하는 단계는 곧 추가됩니다. 그 전에도 나머지 방어는 모두 기본으로 작동합니다.
우리 쪽엔 고객 데이터가 남지 않습니다.
기본값이 그렇습니다.
MCP 서버는 외부 업체입니다. AI가 무엇을 보내는지 보이지 않으면, 마케팅·영업 데이터가 어디까지 흘러갔는지 설명할 수 없습니다. 그래서 우리는 요청·응답 원문을 저장하지 않는 것을 기본값으로 두었습니다. 과금에 필요한 호출 메타데이터(누가·언제·무엇을·얼마나)만 남고, 내용 자체는 우리 쪽에 보관되지 않습니다.
별도 신청이나 설정 없이, 처음부터 원문이 저장되지 않습니다. 설정을 빼먹어 데이터가 쌓이는 사고가 생기지 않습니다.
일부 응답 API는 기본 설정에서 보낸 데이터가 30일간 자동 저장됩니다. 우리는 반대입니다 — 기본은 무보존, 보관은 관리자가 명시적으로 켤 때만.
규정상 원문 감사 기록이 필요하면 조직 관리자가 직접 켭니다. 그때만 원문이 암호화되어 보관되고, 그 범위에서 ZDR이 해제됩니다. 켜고 끄는 권한은 관리자에게 있습니다.
참고: MCP 서버로 전송된 데이터는 해당 외부 업체의 보존·상주 정책을 따릅니다. 우리는 우리가 보관하는 범위에서 무보존을 보장하며, 관리자가 감사 로그를 켜면 그 데이터는 보관됩니다.
감사·보존 설정 보기 →데이터를 밖에 열지 않고, 방화벽 안에서 그대로 연결합니다.
공개 엔드포인트도, 고정 IP 등록도 필요 없습니다. 작은 터널 클라이언트가 우리 쪽으로 아웃바운드 HTTPS 연결만 맺고, 인바운드 포트는 0개입니다. 폐쇄망·온프레미스·정부망에 서버를 둔 채로 안전하게 노출하고, 데이터는 그대로 당신 안에 남습니다.
인터넷이 막힌 사내망에서도, 주소 하나만 열면 전부 쓸 수 있습니다.
보안 때문에 인터넷이 막힌 사내 AI는 DART·법령·통계 같은 바깥 데이터에 닿지 못합니다. 소스마다 방화벽을 열면 위험만 쌓이죠. 하지만 주소 하나만 허용하면 폐쇄망 안에서 전 에이전트를 그대로 씁니다.
수십 개 도메인을 일일이 열 필요가 없습니다. agent.store/mcp 하나만 허용하면 끝 — 방화벽 예외도, 보안 검토도 단 한 번입니다.
모든 외부 데이터 호출이 같은 관문을 지납니다. 단일 egress·전체 감사 로그·프롬프트 인젝션 차단·원본 주소 은닉까지 기본입니다.
한 번 허용해 두면 공공·금융 데이터 에이전트 전체를 사내망에서 즉시 씁니다. 새 에이전트가 추가돼도 방화벽을 다시 열 일이 없습니다.
수많은 소스 대신, 게이트웨이 하나만 허용·관리합니다.
모든 호출이 한 곳을 지나, 빠짐없이 기록됩니다.
누가, 어떤 서버를, 어떤 기능을, 언제, 얼마나 호출했는지 전부 되짚을 수 있습니다. 기록은 저장하는 순간 암호화됩니다. 접근 통제, 최소한의 권한, 변경 시 재승인, 열쇠 분리 보관 같은 보안 인증(SOC 2)에 맞춘 통제를 처음부터 설계에 넣었습니다.
출처: OWASP MCP Top 10 (2025) · OWASP LLM Top 10 (2025) · Palo Alto Networks Unit 42 · McKinsey, The State of AI 2025 · Gartner