데모를 넘어 프로덕션으로, Remote MCP 서버 보안 체크리스트

Context

로컬 stdio 기반 MCP 도구를 원격 인프라로 확장하며 보안 위협 증가. 단순 기능 작동 여부보다 권한 남용 및 Prompt Injection으로 인한 피해 범위(Blast Radius) 제어가 핵심 문제로 부상. 인증 부재와 제약 없는 파라미터 입력으로 인한 시스템 노출 위험 존재.

Technical Solution

• 로컬 stdio와 Remote MCP를 서로 다른 신뢰 클래스로 분리하여 네트워크 공격 표면과 공유 인프라 위험을 반영한 보안 모델 설계
• 단순 API 키 방식을 배제하고 Principal 기반의 세밀한 Scope 지정 및 기계 판독 가능한 인증 오류 메시지 체계 구축
• 자유 형식의 문자열 입력을 지양하고 Typed Parameter, Enum, Allowlist를 적용하여 도구 실행 권한의 경계 설정
• 테넌트별 Principal, 할당량(Quota), 감사 로그(Audit Trail)를 완전히 격리하여 멀티테넌시 환경의 상호 간섭 차단
• 무한 루프나 과도한 토큰 소비를 방지하기 위해 쓰기 작업과 비용 발생 지점에 제어 장치(Governors) 도입
• 부분적 실패 이후 호출자가 상태를 재검증할 수 있는 복구 메커니즘 및 Principal 중심의 추적 가능성 확보

Key Takeaway

AI 에이전트 인프라의 완성도는 모델의 성능이 아닌 권한 제어, 테넌트 격리, 피해 범위 제한이라는 전통적인 보안 설계 원칙의 엄격한 적용 여부에 의해 결정됨.