AI Agent의 무분별한 도구 실행, MCP Proxy와 승인 레이어로 통제

Context

AI Agent가 MCP server를 통해 외부 도구를 직접 실행하는 구조. 실행 권한 검증 및 정책 평가 단계의 부재로 인한 보안 취약점 노출. 단순한 인증이나 라우팅만으로는 악의적인 쿼리나 위험한 페이로드 실행을 차단하기 어려운 한계.

Technical Solution

• Agent와 MCP server 사이에 요청을 가로채는 MCP Proxy 계층 도입
• 도구 이름 기반의 단순 차단을 넘어 액션 타입, 페이로드 내용, Agent 식별자, 리스크 분류를 종합적으로 판단하는 정책 엔진 설계
• 고위험 작업 발생 시 실행을 일시 중단하고 인간 리뷰어에게 전체 컨텍스트와 Agent의 추론 근거를 전달하는 승인 워크플로우 구축
• 정책 평가 결과, 리뷰어 통지 및 승인 시점, 최종 실행 시각을 모두 기록하는 해시 체인 기반의 감사 추적(Audit Trail) 시스템 구현
• 다양한 MCP server에 범용적으로 적용 가능한 프록시 구조를 통해 런타임 거버넌스 확보

Impact

• 최근 60일간 MCP server 대상 30건의 CVE 발생
• 분석 대상 MCP server 중 38%에서 인증 체계 부재 확인

Key Takeaway

사후 분석을 위한 감사 로그와 사전 통제를 위한 승인 레이어는 서로 다른 목적의 설계 영역임. 가역적이지 않은 위험한 액션을 수행하는 AI 시스템일수록 실행 전 단계의 정책 평가 지점이 필수적임.