AI 에이전트 수억 개를 동시에 위협한 취약점

열쇠 꾸러미를 금고 앞에 두고 문을 잠그지 않은 격이다. 전 세계 수억 개의 AI 에이전트가 바로 그 상태에 놓여 있다.

보안 연구자들이 오픈소스 프레임워크 Starlette에서 치명적 취약점을 발견했다. Starlette는 주당 3억 2500만 회 다운로드되는 Python 기반 ASGI 프레임워크로, FastAPI를 비롯한 수천 개의 오픈소스 프로젝트가 이를 기반으로 작동한다. 문제는 이 프레임워크가 MCP(모델 컨텍스트 프로토콜) 서버와 연결되는 구조에 있다.

MCP 서버가 왜 이렇게 위험한가

MCP는 OpenAI, Anthropic, Google 등 주요 AI 공급사의 에이전트가 외부 시스템—이메일, 캘린더, 데이터베이스, 기업 내부 자료—에 접근할 수 있도록 연결하는 일종의 '만능 어댑터'다. 편리함의 대가로 MCP 서버는 이 모든 외부 시스템의 자격증명(API 키, 로그인 토큰 등)을 한 곳에 보관한다. 공격자 입장에서는 단 하나의 서버를 뚫으면 연결된 모든 서비스에 접근할 수 있는 마스터키를 손에 넣는 셈이다.

이번 취약점이 특히 우려스러운 이유는 익스플로잇 난이도가 낮다는 점이다. 고도의 기술력이 없어도 공격이 가능하다는 의미다. 노출된 서버 수는 수백만 대로 추산된다.

공급망 취약점의 전형적인 패턴

광고

광고주 모집

[email protected]

광고

이 사건은 단순한 버그 하나의 문제가 아니다. Starlette 자체가 취약하면, 이를 의존성으로 사용하는 모든 프로젝트가 동시에 위험에 빠진다. 소프트웨어 공급망 취약점의 전형적인 패턴이다.

2020년SolarWinds 사태, 2021년Log4Shell 사태가 그랬다. 하나의 공통 컴포넌트가 뚫리자 수만 개의 조직이 동시에 피해를 입었다. 이번에는 그 표적이 AI 에이전트 인프라다. AI 도입이 가속화될수록 MCP 서버처럼 '모든 것을 연결하는 허브'는 늘어날 수밖에 없고, 그 허브가 단일 취약점을 공유한다면 피해 반경은 이전과 비교할 수 없이 커진다.

국내에서도 네이버, 카카오, SK텔레콤 등 주요 IT 기업들이 AI 에이전트 서비스를 확대하며 FastAPI 기반 인프라를 적극 도입하고 있다. Starlette를 직접 또는 간접적으로 사용하는 국내 서비스가 이 취약점에 노출됐을 가능성을 배제할 수 없다.

이해관계자들의 엇갈린 시선

개발자 입장에서는 당장 의존성 업데이트와 패치 적용이 시급하다. 그러나 대규모 프로덕션 환경에서 프레임워크를 업데이트하는 것은 말처럼 간단하지 않다. 하위 호환성 문제, 테스트 부담, 배포 리스크가 따른다.

기업 보안팀 입장에서는 더 근본적인 질문이 생긴다. AI 에이전트에게 이메일·캘린더·데이터베이스 접근 권한을 통째로 위임하는 현재의 아키텍처 자체가 안전한가? MCP 서버가 자격증명을 중앙 집중식으로 보관하는 방식은 편의성을 위해 보안을 희생한 설계 선택이다.

AI 공급사 입장에서는 불편한 진실이다. 에이전트의 '유능함'은 곧 더 많은 권한과 연결을 의미하는데, 그 권한이 넓어질수록 침해 시 피해도 커진다. 기능 경쟁과 보안 강화는 구조적으로 긴장 관계에 있다.