Postmark-MCP 1.0.16 버전의 치명적인 보안 취약점: 수백 개 조직의 민감 정보 유출 사고 분석

핵심 기술

최근 postmark-mcp npm 패키지의 1.0.16 버전부터 악의적인 코드가 삽입되어 수백 개 조직의 민감한 이메일 정보가 외부 서버로 유출되는 심각한 공급망 공격 사례가 발견되었습니다. MCP 서버의 신뢰 모델 부재가 이러한 위험을 증폭시키고 있습니다.

기술적 세부사항

• 취약점 발생 모듈: postmark-mcp (npm 패키지)
• 악성 버전: 1.0.16 이상
• 공격 방식:
  • 공식 Postmark GitHub 저장소 소스코드에 악성 BCC 한 줄 추가 후 npm에 동일 이름으로 게시 (Classic impersonation 기법 활용)
  • 1.0.16 버전부터 모든 이메일이 개발자 개인 서버(giftshop.club)로 복사되는 기능 추가
• 유출 정보: 비밀번호 재설정, 송장, 내부 메모, 기밀문서 등 모든 이메일 정보
• 피해 규모: 주 1,500회 다운로드, 활발히 사용되는 비율 20% 가정 시 수백 개 조직 노출. 일일 3,000~15,000건 이메일 유출 추정.
• MCP 서버 특징:
  • AI 어시스턴트가 이메일 전송, DB 쿼리 등 반복 작업을 자동 처리
  • 매우 높은 권한으로 동작하며, 개발자 코드를 사실상 신뢰만으로 설치하고 검증 체계 부재
  • 별도의 보안 모델, 샌드박스, 검증 과정 없음
• 공격 단계: 1단계(정상 도구 배포 및 신뢰 구축) → 2단계(악성 코드 삽입) → 3단계(정보 수집)
• 개발자 행위:
  • 초반 15개 버전은 정상 동작하여 신뢰 구축
  • 1.0.16 버전에서 단 한 줄의 코드로 정보 유출 기능 추가
  • 이후 npm에서 패키지 삭제했으나, 이미 설치된 환경에서는 피해 지속
  • 연락 두절 상태
• 탐지: Koi의 Risk Engine이 1.0.16 버전에서 이상 징후 탐지

개발 임팩트

• 공급망 보안의 취약성: 인기 패키지에 대한 과도한 신뢰가 얼마나 치명적인 결과를 초래할 수 있는지 보여줍니다.
• MCP 환경의 위험성: AI 어시스턴트가 높은 권한으로 코드를 자동 실행하는 환경에서의 보안 감사 및 검증의 중요성을 강조합니다.
• 보안 패러다임 변화: 기존의 '신뢰 기반'에서 '불신(Paranoia) 기반'으로 전환하고, 행동 변화 탐지 및 게이트웨이 도입의 필요성을 시사합니다.

커뮤니티 반응

• Thunderbird 확장 프로그램 백도어 사건과의 유사성 및 소프트웨어 개발자로서의 신뢰 문제에 대한 논의가 활발했습니다.
• Microsoft, Google 등 대기업의 서비스도 근본적으로 개발자 신뢰에 의존한다는 점, 오픈소스의 '많은 눈' 검토만으로는 위험이 완전히 해소되지 않는다는 의견이 제기되었습니다.
• MCP 및 AI 도구에 대한 과도한 신뢰와 프라이버시 문제에 대한 우려가 표명되었습니다.
• NPM 다운로드 수치가 실제 조직 수를 과장할 수 있다는 지적과 함께, 이번 사건의 실제 영향력에 대한 이견도 있었습니다.
• AI 번역 버전의 가독성 문제 및 AI 개입 문체에 대한 비판도 있었습니다.
• MCP 서버의 근본적인 보안 설계 미흡과 AI 에이전트의 권한 위임 문제에 대한 논의가 이루어졌습니다.
• 디버깅 실수로 인한 악성 코드 삽입 가능성 및 개발자의 소통 부재에 대한 비판적 시각도 존재했습니다.
• 샌드박스 구현의 어려움과 편리함이 보안을 우선하는 경향에 대한 분석이 있었습니다.

톤앤매너

IT 개발 기술 및 프로그래밍 전문가를 대상으로, 발생한 보안 사고의 심각성과 기술적 원인, 그리고 향후 필요한 대응 및 예방 전략을 분석적으로 전달합니다.