MCP 보안 설계 완전 가이드

신뢰 경계·최소 권한·인증 정보 안전 관리

MCP를 안전하게 운용하기 위한 보안 설계를 이해하고, 인증 정보의 보호, 액세스 제어, 권한의 최소화를 실천할 수 있게 됩니다.

배경 지식

MCP에서의 보안의 중요성

MCP는 Claude Code의 기능을 외부 서비스에 확장하는 구조입니다. 이것은 동시에 공격 표면(Attack Surface)의 확대를 의미합니다. MCP 서버가 외부 API에 접속할 때, 다음과 같은 리스크가 발생합니다.

신뢰 경계① (사용자 ↔ AI)

→ 프롬프트 인젝션, 권한 오용 위험

신뢰 경계② (AI ↔ MCP Server)

→ tool misuse, 권한 escalation

신뢰 경계③ (Server ↔ External)

→ API key 유출, 데이터 외부 노출

� 한국 개발 환경에서의 보안 리스크 현실
GitHub PAT 유출은 소스 코드·CI/CD 파이프라인·배포 환경까지 침해될 수 있습니다. AWS 액세스 키 유출은 즉각적인 과금 피해로 이어지는 사례도 있습니다. MCP 운용에서는 각 서버에 필요한 최소한의 권한만 부여하는 것이 핵심입니다.

주요 보안 리스크

최소 권한의 원칙(Principle of Least Privilege)

MCP 서버에는 그 역할에 필요한 최소한의 권한만을 부여합니다. 이것은 보안 설계의 가장 기본적인 원칙입니다.

따라하기

1단계: 신뢰 경계의 정리

"외부 서비스 통합 워크스페이스"에서의 신뢰 경계를 정리합니다.

신뢰 경계 맵:

각 서버의 신뢰 레벨:

2단계: 인증 정보의 안전한 관리

레벨 1: .env 파일의 퍼미션 제한 (기본)

4장에서 작성한 .env 파일에 보안을 강화합니다. 기본 상태에서는 다른 사용자도 읽기 가능한 경우가 있으므로, 퍼미션을 제한합니다.

# 파일의 퍼미션을 제한 (소유자만 읽기·쓰기 가능하게)
chmod 600 ~/mcp-workspace/.env

퍼미션을 확인합니다.

ls -la ~/mcp-workspace/.env
# -rw------- 1 username group ... .env

-rw-------가 되어 있으면, 소유자 이외는 읽기도 쓰기도 할 수 없습니다.

레벨 2: macOS Keychain의 활용 (고급)

macOS의 경우, Keychain에 토큰을 저장하고 기동 스크립트에서 읽어내는 방법도 있습니다. 토큰이 파일에 평문으로 남지 않으므로 .env 파일보다 보안 레벨이 높습니다.

# Keychain에 토큰을 저장
security add-generic-password -a "mcp-github" -s "github-pat" -w "ghp_xxxxxxxxxxxxxxxxxxxx"

# 읽어내기 테스트
security find-generic-password -a "mcp-github" -s "github-pat" -w

# 불필요해지면 삭제
security delete-generic-password -a "mcp-github" -s "github-pat"

기동 스크립트 내에서 security find-generic-password를 사용하여 환경 변수에 설정하면 .env 파일 없이 토큰을 전달할 수 있습니다.

� Linux 환경에서의 대안
Linux에서는 secret-tool(libsecret)을 사용하여 시스템 키링에 저장할 수 있습니다.

# 저장
secret-tool store --label="GitHub PAT" service github-pat username mcp-github
# 읽기
secret-tool lookup service github-pat username mcp-github

보안 레벨 비교: