MCP 서버 82% Path Traversal 취약점 및 RCE 위험 분석

Context

AI Agent와 Tool을 연결하는 MCP 표준의 급격한 확산에 따른 보안 설계 부재 상황. 기능 구현 중심의 개발로 인해 사용자 입력값 검증 및 권한 제어 로직이 생략된 아키텍처의 한계 발생.

Technical Solution

• Input Schema 제약을 통한 공격 표면 최소화: additionalProperties: false 설정 및 정규표현식 패턴 제약으로 비정상 입력 차단
• Shell Execution 방식의 구조적 변경: String Interpolation 기반의 exec 호출을 지양하고 Parameterized Execution(Array-form) 방식으로 전환하여 Command Injection 원천 봉쇄
• Tool Poisoning 방지를 위한 Approval Workflow 도입: Auto-approval 비활성화를 통한 LLM의 비정상적 지시 수행 제어 및 사용자 개입 강제
• Runtime 격리 전략 수립: Read-only Filesystem 및 Default-deny Network Egress 설정이 적용된 Docker 컨테이너 환경에서 서버 구동
• Version Pinning 및 Hash 검증: @latest 태그 사용을 금지하고 특정 버전 고정 및 도구 정의의 Hash 비교를 통한 Rug Pull 공격 탐지

Impact

• Auto-approval 비활성화 시 Tool Poisoning 공격 성공률 84.2%에서 5% 미만으로 급감
• 2,614개 서버 조사 결과 82%의 Path Traversal 및 67%의 Code Injection 위험 식별