Firecracker MicroVM 및 gVisor 기반 MCP 서버 Isolation 설계

Context

Model Context Protocol(MCP) 도입으로 LLM의 외부 도구 접근성이 확장됨에 따라 Prompt Injection 및 Command Injection 위험 증가. 기존 컨테이너 환경만으로는 호스트 커널 공유로 인한 보안 경계 부족 및 권한 상승 공격 방어에 한계 노출.

Technical Solution

• gVisor Sentry를 통한 User-space Kernel 구현으로 시스템 콜 인터셉트 및 호스트 커널 공격 표면 최소화
• Firecracker 기반 MicroVM 도입을 통한 KVM 하드웨어 가상화 수준의 강력한 Isolation 경계 구축
• MCP Manifest의 declarative tool scopes를 런타임 보안 정책과 연동하여 최소 권한 원칙(Least Privilege) 강제
• Tool-level Rate Limiting 및 Allowed Paths 설정을 통한 SSRF 및 임의 파일 접근 차단
• Protocol-layer permissions, Sandbox Runtime, Network Policy를 결합한 Multi-layered Defense-in-Depth 전략 수립