.gif)
AI 통합 도구에 대한 보안 심사 강화 권고
[보안뉴스 김형근 기자] AI 에이전트 활용 핵심 인프라인 MCP(Model Context Protocol) 서버를 노린 소프트웨어 패키지 오염 공격이 벌어지고 있다. AI 도구 사용자 정보가 이메일에 담겨 해커에 자동 전송되는 방식이다.
사이버 보안 기업 코이시큐리티(Koi Security) 연구진은 npm 저장소에서 정상 AI 이메일 발송 도구로 위장한 악성 npm 서버 패키지 ‘postmark-mcp’를 발견했다.
이 패키지는 챗GPT 같은 AI 어시스턴트가 비밀번호 재설정, 청구서 발송 등 자동화된 이메일을 보낼 수 있도록 하는 합법적 도구로 위장했다.
[자료: gettyimagesbank]
겉보기엔 문제가 없어 보였지만, 16번째 버전(Version 1.0.16)에 해커의 이메일 주소를 숨긴 한 줄의 ‘숨은 참조’(bcc) 명령어를 추가해 공격을 실행한 것으로 드러났다. 프랑스 파리에 기반을 둔 소프트웨어 엔지니어로 알려진 이 해커는 공식 코드를 복사한 후 16번째 버전에서 bcc 코드를 추가하는 방식으로 악성 기능을 삽입했다.
이 명령어로 인해 패키지를 통해 발송된 비밀번호 초기화, 보안 경고, 영수증 등 모든 트랜잭션 이메일 사본이 해커들에게 자동으로 유출됐다.
이 패키지를 사용하는 조직들의 비밀번호, API 키, 금융 정보 등 민감한 데이터가 담긴 이메일을 해커에게 전달됐다.
코이시큐리티는 이 악성 패키지를 1500개 조직이 다운로드했으며, 이 중 약 300개 조직이 이미 민감한 데이터를 사이버 범죄자에게 전송했을 것으로 추정했다.
MCP 서버는 AI 애플리케이션을 외부 데이터 및 도구와 연결하는 일종의 ‘만능 어댑터’ 역할을 한다. 이러한 도구는 전체 권한(Full Permissions)으로 작동하면서도 감시가 소홀해 새로운 공격 벡터로 급부상하는 추세다.
이단 다르디크만 코이시큐리티 연구원은 “해커는 제로데이 취약점을 공격하거나 정교한 벡터를 사용하지 않았다. 우리는 말 그대로 개발자로서 그에게 열쇠를 넘겨준 셈”이라고 말했다.
연구진은 소프트웨어 패키지를 공식 출처에서 확인하고, 버전 간 행동 변화를 면밀히 감시하는 등 AI 통합 도구에 대한 보안 심사를 강화할 것을 권고했다.
[김형근 기자(editor@boannews.com)]
[보안뉴스 김형근 기자] AI 에이전트 활용 핵심 인프라인 MCP(Model Context Protocol) 서버를 노린 소프트웨어 패키지 오염 공격이 벌어지고 있다. AI 도구 사용자 정보가 이메일에 담겨 해커에 자동 전송되는 방식이다.
사이버 보안 기업 코이시큐리티(Koi Security) 연구진은 npm 저장소에서 정상 AI 이메일 발송 도구로 위장한 악성 npm 서버 패키지 ‘postmark-mcp’를 발견했다.
이 패키지는 챗GPT 같은 AI 어시스턴트가 비밀번호 재설정, 청구서 발송 등 자동화된 이메일을 보낼 수 있도록 하는 합법적 도구로 위장했다.
[자료: gettyimagesbank]
겉보기엔 문제가 없어 보였지만, 16번째 버전(Version 1.0.16)에 해커의 이메일 주소를 숨긴 한 줄의 ‘숨은 참조’(bcc) 명령어를 추가해 공격을 실행한 것으로 드러났다. 프랑스 파리에 기반을 둔 소프트웨어 엔지니어로 알려진 이 해커는 공식 코드를 복사한 후 16번째 버전에서 bcc 코드를 추가하는 방식으로 악성 기능을 삽입했다.
이 명령어로 인해 패키지를 통해 발송된 비밀번호 초기화, 보안 경고, 영수증 등 모든 트랜잭션 이메일 사본이 해커들에게 자동으로 유출됐다.
이 패키지를 사용하는 조직들의 비밀번호, API 키, 금융 정보 등 민감한 데이터가 담긴 이메일을 해커에게 전달됐다.
코이시큐리티는 이 악성 패키지를 1500개 조직이 다운로드했으며, 이 중 약 300개 조직이 이미 민감한 데이터를 사이버 범죄자에게 전송했을 것으로 추정했다.
MCP 서버는 AI 애플리케이션을 외부 데이터 및 도구와 연결하는 일종의 ‘만능 어댑터’ 역할을 한다. 이러한 도구는 전체 권한(Full Permissions)으로 작동하면서도 감시가 소홀해 새로운 공격 벡터로 급부상하는 추세다.
이단 다르디크만 코이시큐리티 연구원은 “해커는 제로데이 취약점을 공격하거나 정교한 벡터를 사용하지 않았다. 우리는 말 그대로 개발자로서 그에게 열쇠를 넘겨준 셈”이라고 말했다.
연구진은 소프트웨어 패키지를 공식 출처에서 확인하고, 버전 간 행동 변화를 면밀히 감시하는 등 AI 통합 도구에 대한 보안 심사를 강화할 것을 권고했다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)