피드로 돌아가기
The MCP Rug Pull - When the Tool You Trusted Yesterday Becomes Malicious Today
Dev.toDev.to
Security

런타임 Manifest 변조를 통한 MCP Rug Pull 공격 및 방어 설계

The MCP Rug Pull - When the Tool You Trusted Yesterday Becomes Malicious Today

Nawi2026년 6월 3일8advanced

Context

전통적인 Supply-chain 보안 도구는 설치 시점의 Artifact 해시 검증에 집중함. 반면 Model Context Protocol(MCP)은 런타임에 Tool Manifest를 동적으로 업데이트하는 구조를 가져, 바이트 수준의 변경 없이도 AI Agent의 권한을 확장하는 새로운 공격 표면을 생성함.

Technical Solution

  • Manifest Pinning을 통한 Schema Rug Pull 차단 및 업데이트 프로세스의 명시적 이벤트화
  • 실행 경계(Execution Boundary)에서의 Per-call Authorization 도입을 통한 페이로드 검증
  • 정규표현식의 한계를 극복하기 위해 AST-parsing 기반의 실행 그래프 분석으로 은폐된 Shell 커맨드 탐지
  • Argument Shape Analysis를 통한 평소 대비 50배 이상의 과도한 입력값 또는 비정상적 URL 포함 여부 필터링
  • 민감 정보(Private Key, SSH Path 등) 유출 패턴 감지 시 즉시 Call 거부 및 경고 생성
  • 모든 Tool Call, Argument, Response에 대한 Full Logging 체계 구축으로 사후 Forensic 경로 확보

- MCP 서버의 Manifest 제공 방식(Static vs Remote) 전수 조사 - Unbounded 권한(Arbitrary Shell 등)을 가진 도구의 격리 환경(Separate Machine/User) 배치 - Tool Schema 변경 시 기존 승인 버전과의 Diff 분석 및 Incident Scope 확정 프로세스 수립 - 입력값 검증 단계에 단순 문자열 매칭이 아닌 AST 분석 단계 도입 검토

원문 읽기