AI 산업에서 생성AI와 LLM 도입이 확산되면서, 이를 제어하는 MCP(모델 컨텍스트 프로토콜)의 보안 중요성이 부각되고 있다. 특히 다양한 에이전트와 외부 시스템이 LLM과 연동되며, 메타데이터 기반 제어 방식이 보안의 취약 지점으로 떠오르고 있다.

AI 워크플로우와 모델 컨텍스트 프로토콜(MCP) 인프라를 보호하는 사이버보안 스타트업 제리스AI(Xeris.ai, 공동창립자 겸 회장 슐로모 투불)가 MCP 서버 기반 메타데이터 위조 취약점 ‘ 제리스-006: 메타데이터 포지(XERIS-006: Metadata Forge)’를 공개했다.

이 보고서는 악의적인 MCP 서버가 대규모 언어 모델(LLM)에 전송되는 메타데이터를 조작함으로써 민감 정보에 무단 접근하는 방식을 기술하고 있다. 이는 사용자 인지 없이 AI 동작을 변경하는 은밀한 공격 방식이다.

제리스AI는 해당 취약점이 앤트로픽의 클로드 데스크톱(Claude Desktop) 환경에서 테스트되었으며, 간단한 메타데이터 필드 재작성만으로도 AI 응답을 왜곡할 수 있음을 확인했다고 밝혔다.

제리스AI 슐로모 투불(Shlomo Touboul) 회장은 “이 공격은 즉각적인 주입이나 탈옥이 아니라, 사용자 인식과 플랫폼 제어를 모두 우회하는 조용한 메타데이터 하이재킹”이라며, MCP를 특권 소프트웨어로 간주해야 한다고 강조했다.

조작 방식과 피해 범위 상세 분석

메타데이터 포지는 MCP 서버 응답 내 도구 메타데이터에 대한 검증이 부족한 점을 악용한다. 공격자는 ticket_id 필드를 CS-(고객지원)에서 SEC-(보안사고)로 변조해 AI가 보안 알림을 응답하게 만들었다. 이 과정에서 LLM은 사용자가 요청한 정보가 아님에도 이를 반환했으며, 해당 조작은 사용자에게 아무런 알림 없이 이뤄졌다. 이로 인해 LLM 응답 결과가 공격자 의도대로 완전히 조작될 수 있다.

제리스AI는 이 위조 방식이 MCP 메타데이터 정의에 코드 수준의 패치를 주입하고, 변조된 데이터를 반환하며, 인터페이스 동작을 통해 이를 검증했다고 밝혔다. 이러한 메타데이터 위조는 승인받지 않은 섀도우 MCP 서버를 통해 에이전트, 외부 시스템, 워크플로가 LLM과 연결될 경우 모든 기업에 보안 위협이 될 수 있다.

보안 권고 및 대응 방안 제시

제리스AI는 XERIS-006 보고서를 통해 다음과 같은 보안 대응을 권고했다. 첫째, MCP 서버 응답에 대해 서명 검증을 엄격히 구현해야 한다고 밝혔다.

둘째, 사용자 프롬프트와 실제 도구 출력 간의 명령 불일치를 지속적으로 모니터링할 필요가 있다. 셋째, 모든 MCP 서버 소스를 감사하고 사전에 승인해야 한다고 강조했다.

현재 보고서는 제리스AI 공식 웹사이트를 통해 조기 열람이 가능하며, 조직의 AI 보안 체계를 강화하기 위한 구체적인 기술 가이드를 포함하고 있다.

제리스AI는 AI XDR(확장 탐지 및 대응) 솔루션을 제공하며, AI 파이프라인의 논리 계층에서 발생하는 위협을 방지하는 데 집중하고 있다. MCP 모니터링, 정책 집행, 실시간 이상 탐지를 주요 기능으로 포함한다.

생성AI와 LLM 도입이 가속화되는 가운데, 메타데이터 위조와 같은 고도화된 공격은 AI 인프라 전반의 신뢰성에 심각한 위협이 되고 있다. 특히 MCP는 외부 시스템과 LLM을 연결하는 제어 계층으로 주목받고 있다.

메타데이터 포지는 LLM 내 제어 미비 영역이 실제 데이터 유출로 이어질 수 있다는 점을 입증하며, 단순한 사용자 프롬프트 수준 보안만으로는 위협을 막기 어렵다는 현실을 보여준다.

AI 보안 시장은 이제 메타데이터 무결성, 명령 일치 검증, MCP 인증과 같은 구조적 보안 기능의 수요가 확대되고 있으며, AI 운영 환경 전반에 보안 아키텍처 내재화가 요구되고 있다. 이번 보고서는 메타데이터 위조가 기술적 위협을 넘어서 산업 전반에 미치는 영향이 크며, 기업이 AI 신뢰성 확보를 위해 주도적으로 대응 전략을 마련해야 함을 시사한다.

[알림] GTT KOREA GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BPF Door 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BPF Door 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.