AI 서비스는 빠른 속도로 발전하면서 일상 생활 속에 깊숙이 침투했고, 이는 점점 외부 데이터와 연결된 자동화 도구로 발전하고 있다. 이를 가능하게 하는 모델 컨텍스트 프로토콜(Model Context Protocol, MCP)은 효율성을 높이는 대신, 툴 포이즈닝이나 원격 코드 실행 같은 보안 취약점을 동반한다.
이런 문제는 MCP뿐 아니라 챗지피티(ChatGPT) 플러그인, 랭체인(LangChain) 등 대부분의 AI 에이전트 환경에서 공통적으로 나타난다. 특히 블록체인과 결합된 AI는 자산을 직접 다루기 때문에 보안 위협이 더 크지만, 대부분의 프로젝트는 이에 대한 대비가 부족하다.
AI 에이전트의 보안을 위해서는 툴 무결성 검증, 최소 권한 원칙, 사용자 승인 절차 같은 대응 체계가 필요하다. AI는 단순한 봇이 아니라 자율적 판단을 내리는 시스템이므로, AI 에이전트를 활용하는 블록체인 프로젝트들은 앞으로 이에 맞는 보안 설계를 필수적으로 해야할 것이다.
요즘 사람들은 궁금한 것이 생기면 더 이상 구글에 검색하지 않는다. 대신 챗지피티(ChatGPT), 제미나이(Gemini), 퍼플렉시티(Perplexity) 같은 AI 서비스를 바로 이용하는 경우가 늘고 있다. 이는 AI가 이미 우리의 일상 속 깊숙이 들어와 있으며, 삶의 방식과 사고 패턴을 바꾸고 있다는 뜻이다.
이처럼 많은 사람들이 이용하는 AI 서비스들은 지금도 더 많은 정보와 데이터에 직접 접근할 수 있도록 빠르게 발전하고 있다. 그러나 접근성이 용이해질수록, 동시에 그것을 악용하려는 시도 역시 늘어날 수밖에 없다. 정보와 데이터에 접근할 수 있는 열린 통로가 있다는 것은 누군가 그 안으로 들어가려는 시도가 생긴다는 뜻이고, 그 안에 가치 있는 정보가 많을수록 공격의 유인은 커진다.
AI 시스템이 발전함에 따라 이러한 악의적 접근은 점점 정교해지고 있으며, 여기에 블록체인이나 금융 시스템 등 돈과 관련된 다른 산업과의 융합이 이루어질 경우, 공격이 실제 금전적 피해나 사회적 혼란으로 이어질 가능성도 무시할 수 없게 되었다.
1.1.1 모델 컨텍스트 프로토콜(Model Context Protocol, MCP): AI계의 USB C-Type 포트
모델 컨텍스트 프로토콜(Model Context Protocol, MCP)은 AI 시스템을 위한 범용 커넥터다. 마치 다양한 기기를 하나의 포트로 연결할 수 있게 만든 USB-C처럼, MCP는 다양한 외부 데이터와 개발 도구에 하나의 표준 방식으로 접근할 수 있게 한다. 이전까지는 AI가 특정 개발 도구나 시스템과 연동되려면 별도의 커스텀 작업이 필요했고, 그만큼 유지 보수와 개발 비용이 컸다. MCP는 이 복잡성을 없애고, 하나의 표준으로 여러 시스템과 매끄럽게 연결되도록 설계됐다. 이를 통해, AI 모델이 외부 데이터와 상호작용하고, 실시간 정보에 접근하며, 외부 시스템의 기능을 호출할 수 있는 실질적인 효과를 제공한다. MCP로 소통이 가능해진 AI는 단순한 질문-응답 엔진을 넘어, 외부의 실제 업무와 연결되는 자동화 도구로 발전할 수 있게 되었다.
특히 자피어(Zapier)는 워크플로우 자동화 서비스를 MCP를 통해 구현하여 수백만 건의 요청을 처리하고 있다. 또한 커서(Cursor)는 MCP를 이용하여 기존의 코드 에디터(특히 VS Code 기반)에 강력한 AI 기능을 통합하여 개발 생산성을 높이고 있다. 이처럼 AI와 MCP의 만남은 다양한 분야의 생산성을 빠르게 높여주고 있다.
1.1.2 MCP를 위협하는 공격 방식들
그러나 AI에는 치명적인 약점이 있는데, 바로 명령 프롬프트에 입력된 내용을 사용자 의도와 상관없이 그대로 실행한다는 점이다. 여기에 MCP가 외부 데이터와 시스템 기능에 접근할 수 있는 채널을 제공하면서, AI를 악용한 다양한 공격 방식이 생겨났다.
대표적인 공격 방식으로는 툴 포이즈닝 공격(Tool Poisoning Attack, TPA)이 있다. TPA는 정상적인 사용자 요청을 악용해, AI 에이전트가 원치 않거나 악의적인 작업을 하도록 유도하는 방식이다. 공격 방식은 다음과 같다:
공격자는 AI 에이전트가 참고하는 컨텍스트 영역에 악의적으로 조작된 정보(예: 오염된 MCP 서비스, 악성 툴)를 삽입한다.
사용자가 요청을 보내면, AI 에이전트는 이 사용자 요청과 함께 오염된 컨텍스트를 참조한다.
AI 에이전트는 그 안에 있는 악성 툴이나 서비스를 호출하게 되고, 결과적으로 악의적인 동작을 수행하게 된다.
예를 들어, 다음과 같은 악성 툴이 있을 수 있다:
Source: Invariantlabs
이 툴은 단순한 더하기 기능처럼 보이지만, 기능과 관련 없는 주석에 숨겨진 악성 명령어를 통해 공격을 시행하는 코드이다. AI는 덧셈 기능을 수행하기 전에 <IMPORTANT>에 적혀있는 명령어를 인지하고 실행하게 되는데, 사용자의 홈 디렉토리에 있는 “~/.cursor/mcp.json”과 “~/.ssh/id_rsa”라는 민감한 파일(예: 설정 파일, SSH 개인 키 등)을 읽고 그 내용을 사이드노트(sidenote)라는 인자에 담아 함수를 호출한다. 이 때, 사용자는 단순히 덧셈 함수를 사용한다고 생각하지만, 그 과정에서 자신도 모르게 민감한 정보가 AI 시스템 내부나 로그 등에 노출될 위험이 생긴다. 특히, AI에게 파일을 읽었다는 사실을 언급하지 말라고 지시하여 사용자가 공격을 알아채기 어렵게 만든다.
또 다른 주요 공격 방식은 다음과 같다:
툴 재정의 (Tool Rug Pull): 처음에는 정상적으로 작동하던 AI 툴을 나중에 악의적인 툴로 바꾸어 버리는 공격이다. MCP가 툴 정의에 대한 무결성 검증이나 서명 검사를 하지 않기 때문에, 중간에 툴의 내용이 바뀌어도 감지되지 않는다. 그 결과 사용자는 자신도 모르게 바뀐 툴을 이용하면서 API 키 등을 공격자에게 넘길 수 있다.
크로스-서버 툴 섀도잉 (Cross-Server Tool Shadowing): MCP가 여러 서버를 사용할 경우, 악의적 서버가 다른 서버의 툴 동작을 가로채거나 변경하는 공격 방식이다. AI는 모든 서버의 툴 설명을 통합해서 파악하기 때문에 어떤 서버가 신뢰할 수 있는지 판단하지 못한다. 이로 인해 실제로는 악의적인 명령이 실행되지만, 사용자 로그에는 정상적인 툴만 사용된 것처럼 보인다.
이외에도 쉘 호출을 통한 원격 코드 실행(RCE), OAuth 토큰 탈취, 과도한 API 권한 획득 등 다양한 방식의 공격이 존재한다.
이러한 문제가 발생하는 핵심 이유는 MCP가 처음부터 보안보다 유연성과 통합을 우선해 설계됐기 때문이다. 인증과 신뢰를 담당하는 모듈이 부족하고, 컨텍스트 암호화나 툴 검증 기능도 없다. 특히 AI에게 모든 판단을 맡긴 구조는 근본적으로 취약할 수 밖에 없다. 사용자가 컨텍스트와 툴 정의를 직접 검토하는 것이 가장 기본적인 방어책이지만, MCP는 구조상 코드 기반이기 때문에 사용자 가시성이 떨어져 이를 실현하기도 어렵다.
문제는 이런 보안 취약점이 MCP에만 국한되지 않는다는 점이다. 대부분의 AI 에이전트 환경 역시 외부 API나 플러그인을 통해 데이터를 수집·조작하며, MCP가 아니더라도 대부분 자체 API나 SDK를 사용하는 구조이다.
실제로 플러그인이나 외부 API 호출을 매개로 한 보안 취약점은 다양한 AI 플랫폼에서 반복적으로 발견되고 있다. 예를 들어, Salt Security는 2024년 3월 ChatGPT 플러그인에서 사용자 계정 탈취와 민감 데이터 노출을 유발할 수 있는 다수의 보안 결함을 발견했다. 여기에는 플러그인 설치 과정에서의 인증 우회, 코드 주입 취약점 등이 포함되어 있었고, 공격자는 사용자 개입 없이도 세션 토큰을 탈취하거나 외부 리소스에 접근할 수 있었다.
오픈소스 기반 에이전트 프레임워크인 랭체인(LangChain)도 예외는 아니다. Unit 42 보고서에 따르면, LangChain의 일부 모듈에서 임의 코드 실행과 민감 데이터 유출이 가능한 취약점이 확인됐고, SQL 연동 기능은 SQL 인젝션 공격에 노출될 수 있었다. 이런 취약점은 소프트웨어 개발자 도구(Software Development Kit, SDK)나 체인 구성 요소를 통해 공격자가 시스템 권한을 획득하거나 내부 데이터를 조작할 수 있게 만든다.
결국 MCP뿐 아니라, 플러그인·SDK·확장 기능을 통해 외부 시스템과 통신하는 모든 AI 에이전트 환경이 동일한 취약점을 가지고 있다는 것이다.
AI 에이전트는 이제 블록체인 생태계에서도 핵심 기술로 떠오르고 있다. 단순히 동작하는 봇을 넘어서, 온체인 작업을 스스로 수행하고, 사용자와 자연어로 상호작용하며, 경제적 행위까지 대신 실행할 수 있는 시스템으로 발전하고 있다.
대표적인 사례는 다음과 같다:
패치에이아이(Fetch.ai): 패치에이아이는 자율적 AI 에이전트를 위한 탈중앙화 생태계 구축을 목표로 한다. 유에이전트(uAgents)와 에이전트버스(Agentverse), AI 엔진(AI Engine)을 기반으로 다양한 기능을 수행하는 AI 에이전트를 체인 위에 등록하고 실행할 수 있다. 자산 트레이딩, 온체인 데이터 분석, 스마트 지갑 기능 사용 등을 자연어로 조작 가능하게 하며, 델타브이(DeltaV) 인터페이스와 에스큐디(SQD.ai) 오라클을 통해 실시간 협업과 데이터 처리도 지원한다.
엘리자 오에스(Eliza OS): 엘리자 오에스는 오픈소스 AI 에이전트 프레임워크로, 누구나 다양한 블록체인과 상호작용하는 AI를 만들 수 있게 돕는다. 다양한 소셜 플랫폼과 연동되며, 트레이딩, 데이터 오라클, 챗봇 구축 등 유연한 플러그인 기반 구조를 갖췄다. 특히, 플러그인을 통해 이더리움, 솔라나, 인젝티브 등 여러 체인을 아우르는 에이전트를 만들 수 있어 확장성이 높다.
버추얼스 프로토콜(Virtuals Protocol): AI 에이전트가 제품·서비스를 만들고 자율적으로 거래 등 상호작용을 수행하는 환경을 목표로 한다. 각 에이전트는 자체 토큰을 가지고 있으며, 이들이 상호작용하고 가치를 창출하는 과정을 온체인에 기록한다. 게임 프레임워크(GAME Framework)를 통해 에이전트는 컨텍스트와 AI 툴을 기반으로 자율적 판단을 수행하며, 로블록스(Roblox)나 텔레그램(Telegram) 등 다양한 플랫폼과 연결된다.
인젝티브(Injective)의 아이에이전트(iAgent): 인젝티브의 아이에이전트는 디파이에 특화된 AI 에이전트 툴로, 사용자가 프롬프트 명령으로 온체인 트랜잭션 생성, 포트폴리오 관리, 데이터 분석 등을 실행할 수 있도록 한다. 엘리자 오에스 통합 이후 다중 에이전트, 커스텀 통합, 실시간 이벤트 대응 기능을 갖추면서 Web3 내에서 강력한 자동화 수단으로 자리잡고 있다.
MCP를 직접적으로 사용하는 AI 에이전트를 도입하고 있는 블록체인 프로젝트들도 있다:
써드웹(Thirdweb): AI 에이전트와 EVM 계열 블록체인을 쉽게 연결할 수 있도록 세 가지 주요 서비스인 인사이트(Insight), 엔진(Engine), 네뷸라(Nebula)를 MCP를 통해 제공한다.
스카이AI(SkyAI): 스카이AI는 웹3 기반 AI 애플리케이션을 위한 블록체인 네이티브 AI 인프라를 구축하며, MCP를 통해 멀티체인 데이터 접근과 AI 에이전트 배포를 지원한다. 이를 통해 개발을 쉽게 하고, 블록체인에서 AI의 실사용을 확대하는 것이 목표인 프로젝트이다.
아크블록(ArcBlock): 아크블록은 자사의 AIGNE 플랫폼에 MCP를 통합하여, 탈중앙화 신원 증명(Decentralized Identifier, DID)과 암호화폐 결제가 MCP의 현재 한계점인 신원 확인, 보안, 경제적 측면을 해결하려 하고 있다.
이처럼 AI 에이전트는 단순한 AI 기술 도입을 넘어, 블록체인 시스템 전체의 인터페이스, 자동화, 상호작용 방식 자체를 재구성하고 있다. 앞으로도 더 많은 프로젝트들이 AI를 도입하고 블록체인의 데이터를 폭넓게 활용하여 사용자와 개발자들에게 더욱 편리하고 자율적인 생태계를 구축할 것으로 보인다.
블록체인은 금융과 밀접하게 연결된 기술이며, 여기에 AI 에이전트가 빠르게 융합되고 있다. 그러나 AI의 잘못된 판단 하나가 곧바로 자산 손실로 이어질 수 있는 구조임에도, 현재 대부분의 블록체인 프로젝트는 이에 대한 보안 대비가 부족한 실정이다. 실제로 앞서 소개한 Fetch.ai, Eliza OS, Virtuals Protocol, Injective 등의 공식 문서 어디에서도, AI 툴에 대한 공격 취약점이나 방어 전략을 명확히 다룬 사례는 찾아보기 어렵다.
위 표는 주요 블록체인 기반 AI 에이전트 플랫폼들이 직면할 수 있는 주요 보안 위협 유형에 대해 각 프로젝트가 어떤 방식으로 대응하고 있는지를 요약한 것이다. 대부분의 플랫폼이 툴 포이즈닝, 툴 재정의, 크로스-서버 섀도잉, RCE(원격 코드 실행)와 같은 공격에 대해 직접적인 대응책을 갖추고 있지 않거나 간접적인 제한을 통해 일부 리스크를 완화하고 있다. 특히 Virtuals Protocol은 ACP(Agent Commerce Protocol) 기반의 토큰 경제적 제약과 에스크로 메커니즘을 통해 부분적인 대응을 시도하고 있으며, 다른 플랫폼들 역시 일부 제한(import 제한, 메시지 검증 등)을 통해 간접적으로 위협을 줄이는 수준에 그치고 있다.
이러한 무관심은 위험하다. AI 에이전트가 외부 API나 오라클 데이터를 그대로 신뢰하고 이를 기반으로 자동 의사결정을 내리는 구조라면, 공격자는 이를 악용해 치명적인 결과를 유도할 수 있다. 특히 TPA를 중심으로 한 시나리오를 보면 다음과 같은 공격이 가능하다:
사용자가 AI 기반 스마트 지갑을 통해 자산을 관리한다.
공격자는 AI가 참조하는 외부 오라클이나 API 응답을 조작해, 악성 주소를 정상 주소처럼 보이게 만든다.
AI 에이전트는 조작된 데이터를 그대로 받아들이고, 그 결과 공격자의 주소로 자산을 전송하게 된다.
블록체인 특유의 구조 때문에 발생할 수 있는 보안 리스크도 존재한다:
조작된 가격 정보: AI 에이전트가 오라클 기반 가격을 믿고 거래를 수행할 경우, 오라클이 조작되면 사용자에게 불리한 거래를 유도할 수 있다.
악의적인 스마트 컨트랙트 상호작용: 공격자가 만든 컨트랙트를 신뢰 가능한 도구처럼 속여, 에이전트가 이를 호출하도록 유도할 수 있다. 이 과정에서 자산 탈취가 발생할 수 있다.
트랜잭션 서명 로직 조작: 서명에 사용하는 라이브러리나 API가 TPA에 노출될 경우, 에이전트가 악의적인 트랜잭션에 서명하게 될 수 있다.
로그 및 오류 메시지 조작: 에이전트가 로그나 디버깅 정보를 외부에 전송하도록 유도해, 사용자 키나 민감 정보를 유출시킬 수 있다.
정보 조회 API 조작: 잔액, 거래 내역 등을 조회할 때 공격자가 원하는 정보를 보여주거나, 조회 과정 자체에서 데이터를 탈취할 수 있다.
그렇다면 이를 대비하기 위해서는 어떻게 해야할까?
우선, AI 툴과 API의 무결성을 검증하는 체계가 필요하다. 이를 위해선 서명 기반의 배포 방식과 신뢰 실행 환경(TEE) 내에서의 검증 과정을 도입하고, 각 AI 툴의 정의와 메타데이터를 온체인 레지스트리에 기록해 진위 여부를 검증할 수 있어야 한다. 이렇게 함으로써 툴 자체가 위·변조되는 리스크를 최소화할 수 있다.
또한, AI의 입력과 출력을 다루는 프롬프트 단계에서도 강력한 가드레일이 필요하다. 프롬프트 구조를 세분화해 악의적인 명령이 침투할 수 없도록 설계하고, 2차 검증 체계를 도입해 예상치 못한 결과나 악의적 명령을 필터링할 수 있어야 한다. 이를 통해 AI가 의도치 않게 위험한 작업을 수행하는 상황을 사전에 차단할 수 있다.
더불어, 최소한의 권한 원칙을 철저히 지키고 민감한 작업을 수행할 때는 반드시 사용자 승인을 요구하는 절차가 마련돼야 한다. 예를 들어, AI 에이전트가 중요한 온체인 데이터에 접근하거나 자산과 관련된 외부 시스템과 상호작용을 시도하는 경우, 사용자의 명시적인 확인 없이는 실행되지 않도록 설계해야 한다.
마지막으로 AI 툴 제공자에게도 책임을 묻는 구조가 필요하다. 이를 위해 서비스 수준 합의(SLA)를 명확히 하고, 토크노믹스를 기반으로 한 책임 체계를 구축해야 한다. 구체적으로, AI 툴 제공자가 일정 금액을 스테이킹하고, 문제가 발생했을 경우 슬래싱하거나, DAO 투표를 통해 제재를 가할 수 있도록 해 신뢰와 책임의 균형을 맞추어야 한다.
결국 AI 에이전트를 단순한 소프트웨어가 아닌 “자동화된 권한 시스템”으로 간주하고, 그에 걸맞은 보안 모델을 적용해야 한다. AI는 더 이상 단순한 봇이 아니다. 이미 스스로 판단을 내리고 행동을 실행하는 “의사결정의 주체”로 진화했으며, 블록체인 데이터나 민감한 정보와 연결되는 순간 그 자동화된 판단 능력은 강력한 동시에 취약점이 된다. 특히 MCP를 통한 데이터 연동이 확대되면서, “자동화된 의사결정 + 외부 데이터 연동 = 공격 목표”라는 공식이 현실화되고 있다. 이러한 상황에 대비하려면 기존의 API 중심 보안 모델만으로는 부족하다. AI 에이전트를 운영하는 블록체인 프로젝트는 이 위험을 현실적으로 인식하고, 보안 메커니즘을 설계에 반영해야 한다. 그렇지 않으면, 블록체인 사용자들의 자산을 노린 대형 사고는 “일어날 수 있는가”의 문제가 아닌, “언제 일어날 것인가”의 문제가 될 것이다.
관련 아티클, 뉴스, 트윗 등 :
