MCP 도구 호출과 AI 에이전트 실행 경로를 위한 보안
MCP는 AI 에이전트가 외부 도구와 데이터에 접근하는 표준 연결 지점을 제공합니다. 그래서 서버 신뢰, 도구 설명, 권한 범위, 자격증명, 컨텍스트 조작, 감사 가능성이 핵심 보안 문제가 됩니다.
MCP 보안이란?
MCP 보안은 Model Context Protocol 클라이언트, 서버, 도구, 컨텍스트, 자격증명, 실행 경로를 무단 접근, 컨텍스트 조작, 안전하지 않은 도구 노출, shadow server, 공급망 위험, 감사 공백으로부터 보호하는 실무입니다.
이 페이지가 답하는 검색 의도
MCP를 내부 업무 시스템과 연결할 때 필요한 보안 검토 항목
- MCP 보안은 무엇인가?
- MCP 도구 호출을 어떻게 거버넌스하는가?
- Shadow MCP server를 어떻게 발견하고 제한하는가?
- MCP 서버와 AI 에이전트 권한을 어떻게 감사하는가?
MCP 위험 영역
MCP 보안은 API 보안에 더해 모델 컨텍스트, 도구 의미, 에이전트 신원, 위임 권한까지 포함
| 위험 | 중요한 이유 | Rutile 대응 |
|---|---|---|
| Shadow MCP servers | Unapproved servers expose tools or data outside formal governance. | Discovery, registry, owner assignment, and lifecycle status. |
| Tool poisoning | Tool metadata or behavior misleads the model into unsafe actions. | Tool allowlist, policy checks, and runtime telemetry. |
| Credential exposure | Tokens or secrets are over-shared across clients, servers, and tools. | Temporary scoped access and permission brokering. |
| Context over-sharing | Sensitive context is made available to tools or models beyond intended scope. | Resource and data boundary evaluation. |
Rutile MCP 통제
Rutile은 MCP 도구 실행 전에 에이전트 신원, 정책, 권한, 리스크를 확인
| 통제 | 구현 패턴 | Rutile 기능 |
|---|---|---|
| Server inventory | Identify MCP servers, owners, tools, credentials, and data scopes. | Agent Discovery & Registry. |
| Tool authorization | Decide whether a specific agent can call a specific tool for a specific task. | MCP/A2A Tool Proxy. |
| Just-enough access | Replace standing tool privileges with scoped grants. | JIT/JEA Broker. |
| Audit and response | Preserve tool-call evidence and revoke risky sessions. | Runtime Monitoring and Audit Logs. |
주요 1차 출처
MCP 보안은 OWASP MCP 및 에이전트 보안 자료 기준으로 정리했습니다.
OWASP MCP Top 10
Maps security concerns for Model Context Protocol enabled systems, including shadow MCP servers and context manipulation.
OWASP AI Agent Security Cheat Sheet
Provides practical guidance for securing autonomous and tool-using AI agents.
Google's Secure AI Framework
Frames AI development, deployment, and operation through a security lens.
관련 AI 보안 토픽
MCP 보안 FAQ
MCP 보안은 API 보안과 같은가요?+
일부는 겹치지만 같지 않습니다. MCP는 도구 설명, 모델 컨텍스트, 에이전트 위임, 런타임 의사결정까지 포함합니다.
Rutile은 MCP 서버를 어떻게 통제하나요?+
Rutile은 Agent Registry, Policy Proxy, JIT/JEA 권한, 감사 로그를 통해 MCP 도구 호출을 승인, 제한, 추적하도록 설계됩니다.