MCP 서버 분석을 위한 Dynamic vs Static Analysis 아키텍처 비교 분석

Context

MCP 서버의 Tool Description 추출을 위해 서버를 직접 실행하는 Runtime Analysis 방식의 보안 취약점 발생. 특히 신뢰할 수 없는 설정 파일 실행 시 악성 페이로드가 직접 구동되는 Supply Chain Attack 위험 존재.

Technical Solution

• Snyk의 Runtime Analysis: Config의 command array를 실행하여 MCP Protocol로 연결 후 실시간 데이터를 추출하는 동적 분석 구조 설계
• Bawbel의 Static Analysis: 서버 실행 없이 Manifest 파일과 텍스트 기반으로 정적 분석을 수행하여 실행 리스크를 완전히 제거한 설계
• Snyk의 보완책: 사용자 동의 flow 도입 및 CI/CD용 --dangerously-run-mcp-servers 플래그를 통한 명시적 실행 제어 구현
• Bawbel의 탐지 로직: 121개 Detection Rule을 적용하여 48가지 AVE Attack Class를 식별하는 정적 스캔 엔진 구축
• 하이브리드 전략: 신뢰 기반의 런타임 감사(Audit)와 배포 전 게이트웨이(Gate) 역할의 정적 스캔을 분리하여 Threat Surface 최적화