Dependency Tree 전수 조사 통한 MCP 서버 내 HIGH 취약점 10건 적출

Context

패키지 매니페스트 기반의 Shallow Scan 방식이 갖는 가시성 한계로 인해 Transitive Dependency의 취약점을 식별하지 못하는 구조적 결함 존재. 특히 MCP(Model Context Protocol) 서버 환경에서 SDK 버전 관리 미흡으로 인한 보안 리스크 노출.

Technical Solution

• Package Manifest 분석 대신 npm ls --json --all 명령어를 통한 전체 설치 트리(Installed Tree) 추출 방식 채택
• 재귀적 트리 순회 알고리즘(walkNPMTree) 구현을 통한 모든 하위 의존성 노드의 패키지명과 버전 쌍 식별
• OSV.dev Batch Endpoint 연동을 통해 추출된 모든 Dependency Record의 알려진 취약점(CVE) 전수 검사
• ReDoS 및 DNS Rebinding과 같이 호출 방향이 일반적인 Inbound HTTP와 다른 MCP 특유의 공격 벡터 분석
• --all 플래그 사용으로 Deduplicated Package로 인한 트리 누락 방지 및 분석 정밀도 확보