筆者가 5개 MCP 서버 운영 중 에이전트의 무확인 자동 작업으로 민감 데이터 접근이 발생하는 보안 취약 사례를 공유한다

Context

MCP는 AI 에이전트에 외부 도구 호출 기능을 제공하는 프로토콜이다. 구조화된 API, 데이터베이스, 서비스 접근을 허용하지만 기본적으로 확인 절차가 없어 에이전트가 의도치 않은 작업을 자동 실행할 수 있다.

Technical Solution

• workflow-automation 서버는 create_workflow, update_workflow, delete_workflow 등 15~20개 작업을 노출한다
• database 서버는 execute_sql로 임의 SQL 실행 권한을 부여한다
• allow-list 기반 읽기 권한 자동 승인, 쓰기 권한 수동 확인 설정으로 동작 분리
• curl, wget, ssh, python3, node 등 bash 명령을 deny-list로 차단했다
• PreToolUse 훅 3개로 데이터 유출 패턴 감시, .env/.ssh 접근 차단, 보안 규칙 자체 수정 방지
• Docker 컨테이너와 API 키 인증으로 네트워크 격리

Impact

1개 세션에서 수십 개 워크플로우, 복수 데이터베이스, 전체 코드베이스 동시 관리 가능해졌다.

Key Takeaway

에이전트 권한 설계 시 쓰기 작업의 수동 확인 게이트가 필수이며, 도구 반환값이 프롬프트 주입 표면이 될 수 있다.