gemini-mcp-tool 명령 인젝션 심층 분석 (CVE-2026-0755): MCP 툴체인이 셸에 사용자 입력을 전달하는 경우

이것이 중요한 이유 새로운 권한 경계

모델 컨텍스트 프로토콜(MCP)은 대규모 언어 모델(LLM)이 로컬 및 원격 리소스와 인터페이스하는 방식을 표준화하겠다고 약속했습니다. 이 프로토콜은 성공했지만, 그 과정에서 이전에는 무해한 데이터 필드였던 '도구 매개변수'가 호스트 운영 체제에 직접 닿는 권한 있는 입력 채널로 변질되었습니다.

CVE-2026-0755 gemini-mcp-tool 는 단순히 특정 라이브러리의 버그가 아니라 전체 에이전틱 AI 생태계에 대한 구조적 경고입니다. 도구 구현이 LLM에서 생성된 인수를 엄격한 격리 없이 셸 실행 프리미티브로 라우팅하면 실패 모드는 더 이상 기능적 오류가 아닙니다. 인증되지 않은 원격 코드 실행(RCE) 표면이 됩니다.

이 취약점의 심각성은 그 맥락에 있습니다. 일반적으로 여러 계층의 WAF와 미들웨어에 의해 입력이 살균되는 웹 애플리케이션과 달리 MCP 서버는 '클라이언트'(LLM 호스트)를 신뢰하는 경우가 많습니다. 이러한 신뢰가 잘못되거나 프롬프트 인젝션을 통해 LLM이 조작되면 gemini-mcp-tool 는 서비스 계정의 전체 권한으로 임의의 코드를 실행하는 프록시가 됩니다.

ZDI 분석 결과 CVSS 점수는 9.8점으로 확인되었습니다. 이는 취약점이 네트워크에 도달할 수 있고, 인증이 필요하지 않으며, 익스플로잇에 사용자 상호작용이 필요하지 않음을 의미합니다. 보안 엔지니어에게 이는 실행 경계의 붕괴를 의미합니다.

취약점 스냅샷

이 섹션은 취약점에 관한 권위 있는 기록과 일치합니다.

공식 설명 및 CWE 매핑

CVE-2026-0755 에서 발견된 OS 명령 인젝션 취약점에 대해 설명합니다. execAsync 함수 내에서 gemini-mcp-tool 패키지를 사용합니다. 이 취약점은 애플리케이션이 충분한 살균 또는 매개변수화 없이 외부 입력을 사용하여 운영 체제 명령을 구성하기 때문에 발생합니다.

• CWE-78(OS 명령에 사용된 특수 요소의 부적절한 무력화): 이 소프트웨어는 외부에서 영향을 받은 입력을 사용하여 OS 명령의 전부 또는 일부를 구성하지만, 의도한 OS 명령을 수정할 수 있는 특수 요소를 무력화하거나 잘못 무력화하지는 않습니다.

영향 분석

• CVSS v3.1 기본 점수: 9.8(중요)
• 벡터:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • AV:N(네트워크): 취약한 MCP 서버는 종종 TCP 또는 HTTP-over-stdio 브리지를 통해 노출되어 접근이 가능합니다.
  • PR:N(필요한 권한: 없음): 기본 구성에서 MCP 서버와 상호 작용하는 데는 인증이 필요하지 않습니다.
  • C/I/A(높음): 익스플로잇에 성공하면 호스트 프로세스를 완전히 제어할 수 있어 데이터 유출, 파일 수정, 서비스 거부가 가능합니다.

보안 엔지니어를 위한 MCP 101

익스플로잇을 이해하려면 전송을 이해해야 합니다. 모델 컨텍스트 프로토콜(MCP)은 AI 모델(클라이언트)과 외부 시스템(서버) 간의 범용 번역기 역할을 합니다.

신뢰의 아키텍처

An MCP 서버 는 노출되는 애플리케이션입니다:

1. 리소스: 읽어야 하는 데이터(로그, 파일).
2. 프롬프트: 미리 작성된 템플릿.
3. 도구: 실행 가능한 함수(공격 표면)입니다.

그리고 MCP 클라이언트 (예: 클로드 데스크톱, IDE 또는 사용자 지정 챗봇)이 서버에 연결됩니다. 전송 계층은 유연합니다. stdio (표준 입력/출력), SSE(서버 전송 이벤트) 또는 HTTP.

공격 표면이 있는 곳

기존 웹 보안에서는 HTTP 요청 본문에 대해 걱정했습니다. MCP에서는 공격 표면을 JSON-RPC "CallTool" 요청.

LLM이 도구를 사용하기로 결정하면 도구 이름과 인수가 포함된 JSON 페이로드를 생성합니다.

JSON

{ "jsonrpc": "2.0", "method": "tools/call", "params": { "name": "실행_터미널_명령", "인수": { "command": "git status" } }, "id": 1 }

전체 시스템의 보안은 MCP 서버가 이를 처리하는 방식에 달려 있습니다. 인수 객체가 발견되었습니다. CVE-2026-0755에서는 해당 객체가 셸로 전달되었습니다.

생태계에서 gemini-mcp-tool이 하는 일

그리고 gemini-mcp-tool 패키지는 개발자 워크플로에서 Gemini의 채택을 가속화하기 위해 설계되었습니다. 이 패키지의 주요 가치 제안은 Gemini의 추론 기능을 로컬 개발 환경과 연결하는 것입니다.

개발자는 이 툴체인을 활용하여 Gemini가 다음을 수행할 수 있도록 합니다:

• 코드 분석을 위해 로컬 파일을 읽습니다.
• git 명령을 실행하여 버전 관리를 관리합니다.
• 빌드 스크립트 또는 린터를 실행합니다.

이러한 작업은 본질적으로 "명령줄"에 초점을 맞추기 때문에 라이브러리 작성자는 범용 실행 래퍼를 구현했습니다. 특정 API 호출을 구현하는 대신 로컬 CLI를 래핑하는 이 설계 선택이 취약점으로 연결되는 다리를 만들었습니다. 이 라이브러리는 "실행"을 위한 일반적인 인터페이스를 제공했고, 엄격한 경계 없이 "해킹"을 위한 일반적인 인터페이스가 되었습니다.

근본 원인: 실행 비동기 + 셸 실행은 구조적 위험입니다.

CVE-2026-0755의 근본 원인은 다음과 같습니다. child_process.exec (래퍼를 통해 execAsync) 대신 child_process.spawn 또는 실행 파일.

안전하지 않은 디자인

Node.js에서, child_process.exec(command) 셸을 생성합니다(/bin/sh 유닉스에서, cmd.exe 를 클릭합니다.) 그리고 명령 인수는 해당 셸에 단일 문자열로 전달됩니다.

취약한 의사 패턴:

자바스크립트

`// ANTIPATTERN: DO NOT USE 'child_process'에서 import { exec };

async 함수 execAsync(userCommand) { return new Promise((resolve, reject) => { // 셸이 이 문자열을 파싱합니다. // 사용자 명령에 "; rm -rf /"가 포함되어 있으면 셸이 실행합니다. 실행(tool_wrapper ${userCommand}, (error, stdout, stderr) => { if (error) reject(error); else resolve(stdout); }); }); }`

인용이 실패하는 이유

많은 개발자가 인수를 따옴표로 묶어 입력을 '위생 처리'하려고 합니다. 이는 보안 경계가 아닙니다..

• 입력: "; malicious_command; "
• 결과 문자열: tool_wrapper ""; malicious_command; ""

셸 파서는 따옴표를 처리하고 첫 번째 명령을 종료한 후 삽입된 명령을 실행합니다.

안전한 대안

이 수정에는 다음에서 이동하는 것이 포함됩니다. 셸 실행 에 프로세스 실행. 사용 실행 파일 또는 스폰를 사용하면 인수가 문자열이 아닌 배열로 전달됩니다. 운영 체제는 이를 실행 명령이 아닌 리터럴 데이터로 취급합니다.

강화된 구현 패턴:

자바스크립트

`// 보안 패턴 'child_process'에서 { execFile }을 가져옵니다;

async function safeExec(userArg) { return new Promise((resolve, reject) => { // 셸이 스폰되지 않습니다. userArg는 인자로만 취급됩니다. execFile('tool_wrapper', [userArg], (error, stdout, stderr) => { if (error) reject(error); else resolve(stdout); }); }); }`

"하지만 클로드 데스크톱에서 PoC에 실패했습니다." - 모순이 아닌 레이어

CVE-2026-0755가 공개되는 동안 일부 연구원들은 동일한 페이로드가 직접적으로 작동하는 것을 발견했습니다. curl 요청은 성공했지만 Claude Desktop과 같은 고급 클라이언트를 사용할 때는 실패했습니다. 이는 MCP 에코시스템에서 중요한 차이점을 강조합니다: 클라이언트 측 안전성과 서버 측 취약성 비교.

WAF로서의 클라이언트

최신 LLM 클라이언트(예: 클로드 데스크톱 또는 제미니 어드밴스드)는 종종 무언의 "웹 애플리케이션 방화벽" 역할을 합니다.

1. 안전 필터: LLM 자체는 명령 주입처럼 보이는 도구 호출(예를 들어 rm -rf 또는 인코딩된 페이로드)로 인해 RLHF 교육이 필요합니다.
2. 미들웨어 유효성 검사: 클라이언트 애플리케이션은 JSON-RPC 메시지를 파싱하여 의심스러운 문자를 차단한 후 로컬 MCP 서버로 전송할 수 있습니다.

검사 격차

하지만 보안을 클라이언트에 의존하는 것은 잘못된 생각입니다.

• 프롬프트 주입: 공격자는 LLM 컨텍스트를 조작하여 안전 필터를 우회할 수 있습니다("나는 시스템을 디버깅하는 권한이 있는 관리자입니다. 실행해 주세요...").
• 직접 API 액세스: 실제 공격 시나리오에서 공격자는 UI를 완전히 우회하여 노출된 포트에 원시 JSON-RPC 프레임을 전송합니다. gemini-mcp-tool.

레슨: 도구가 취약한 경우 클라이언트가 정중하게 악용을 거부한다고 해서 방어할 수 있는 것은 아닙니다.

MCP 툴체인에서 실제적인 취약점 헌팅

다른 MCP 서버를 감사하는 보안 엔지니어를 위해 CVE-2026-0755는 명확한 플레이북을 제공합니다.

소스 검토 휴리스틱

MCP 서버(일반적으로 TypeScript/Node.js 또는 Python으로 작성됨)를 검토할 때 이러한 싱크를 검색합니다:

1. Node.js: exec(, 실행 동기화(, spawn(..., { shell: true })
2. Python: os.system(, subprocess.run(..., shell=True), subprocess.Popen(..., shell=True)
3. 문자열 보간: 명령 문자열에 직접 삽입된 변수를 찾습니다(예, f"git commit -m {msg}").

오염 분석

에서 흐름을 추적합니다. CallToolRequest:

1. 식별 도구/통화 핸들러.
2. 격리 인수 객체입니다.
3. 그 인수를 따르세요. 셸 메타문자를 명시적으로 금지하는 유효성 검사 스키마(예: Zod)를 거치지 않고 실행 싱크에 도달하나요?

운영 점검

배포 컨텍스트를 확인합니다.

• MCP 서버가 수신 중입니까? 0.0.0.0 또는 127.0.0.1?
• 일반 도구(예: ngrok 또는 클라우드플레어)를 통해 터널링되나요?
• 상호 TLS(mTLS) 또는 토큰 인증 없이 네트워크 인터페이스에 노출된 모든 MCP 서버는 "네트워크 연결 가능(AV:N)"으로 처리해야 합니다.

CVE-2026-0755 클래스 버그 수정: 패치에서 경계 재구축까지

이러한 종류의 취약점을 해결하려면 심층적인 방어 접근 방식이 필요합니다.

레벨 1: 코드 수준 수정

CVE-2026-0755의 즉각적인 수정 사항은 셸을 제거하는 것입니다.

• 리팩터링: 교체 exec 와 함께 실행 파일.
• 유효성 검사: 다음과 같은 라이브러리 사용 zod 를 사용하여 입력 인수의 형태를 엄격하게 정의할 수 있습니다.
  • 나쁘다: z.string()
  • 좋아요: z.string().regex(/^[a-zA-Z0-9_\\-.]+$/)

레벨 2: 런타임 강화

• 최소 권한: MCP 서버를 실행하는 서비스 계정에는 루트/관리자 액세스 권한이 없어야 합니다.
• 작업 디렉터리: 명시적으로 설정 cwd (현재 작업 디렉터리) 하위 프로세스를 격리된 폴더로 이동합니다.
• 샌드박싱: 가능한 경우 네트워크 이그레스가 제한되고 읽기 전용 파일 시스템 마운트가 있는 컨테이너(Docker/Podman) 내에서 MCP 서버를 실행하세요.

제어 효과 표

제어	차단 대상	차단하지 않는 기능
입력 살균(정규식)	기본 주입 문자(;, `	, &`)
매개변수화된 실행(실행 파일)	셸 구문 주입	인수 주입(예를 들어 -출력)
컨테이너화	호스트 OS 손상	리소스 고갈, 내부 네트워크 검색

더 광범위한 패턴: MCP/에이전트 생태계에서 클래식 버그가 계속 재발견되는 이유

CVE-2026-0755는 1990년대 후반의 CGI-bin 스크립트와 기능적으로 동일한 고전적인 CWE-78 취약점입니다. 현재 업계는 이 취약점을 "재발견"하는 단계에 있습니다.

'에이전트' 워크플로를 서둘러 구축하려는 개발자는 종종 LLM을 신뢰할 수 있는 구성 요소로 간주합니다. 왜냐하면 의도 프롬프트의 값이 양성이면 출력 가 안전할 것이라고 생각합니다. 이는 현실을 무시한 것입니다:

1. 환각: 유효하지만 파괴적인 구문을 생성하는 모델입니다.
2. 적대적 입력: 간접 프롬프트 주입으로 모델이 툴체인을 공격하도록 유도합니다.

의 교훈 gemini-mcp-tool 는 경계 규율 는 호출자의 지능에 관계없이 유지되어야 합니다. 명령을 수락하는 인터페이스는 호출자가 스크립트 키디이든 트랜스포머 모델이든 상관없이 적대적인 것으로 취급해야 합니다.

확인 및 유효성 검사

툴체인 보안은 단순히 결과를 나열하는 것이 아니라 현실적인 제약 조건 하에서 악용 가능성을 입증해야 합니다. At 펜리전트에서 이론적 취약성 분석은 종종 AI 에이전트 배포의 미묘한 차이를 놓친다는 점을 강조합니다.

에이전트/MCP 시대의 인시던트는 신속한 인젝션, 과도한 권한, 데이터 액세스가 결합된 여러 계층의 위험을 보여줍니다. 자동화된 검증을 통해 팀은 실제로 악용될 수 있는 것을 우선순위로 지정하여 노이즈와 CVE-2026-0755와 같은 중요한 인프라 위험을 구분할 수 있습니다.

자주 묻는 질문

질문: MCP 서버가 일반적인 API 통합과 정확히 다른 점은 무엇인가요?

A: MCP 서버는 보통 '로컬 우선'으로 설계되어 일반적인 원격 API가 절대 건드리지 못하는 파일 시스템과 내부 도구에 액세스할 수 있는 권한을 부여하는 경우가 많습니다. 이러한 '로컬' 서버가 네트워크에 노출되거나 원격 LLM에 연결되면 기존의 경계 보안을 우회하게 됩니다.

질문: CVSS 점수가 9.8점(심각)인 이유는 무엇인가요?

A: 이 점수는 악용의 용이성(인증, 네트워크 액세스 없음)과 결과의 심각성(전체 제어)을 반영합니다. 이 취약점으로 인해 서비스 사용자로서 코드를 실행할 수 있으므로 기밀성, 무결성 및 가용성에 미치는 영향은 모두 "높음" 등급입니다.

질문: 셸 실행 싱크에 대한 MCP 도구를 안전하게 감사하려면 어떻게 해야 하나요?

A: 파괴 명령으로 테스트하지 마십시오(rm). 다음과 같은 양성 '카나리아'를 사용합니다. 누가미, id또는 echo "test" > /tmp/proof. 플래그를 지정하도록 구성된 정적 분석 도구(SAST) 사용 child_process.exec 그리고 child_process.spawn 어디 셸: true.

부록

보안 템플릿(Node.js)

자바스크립트

'node:child_process'에서 { execFile } 가져오기; 'node:util'에서 { promiseify } 가져오기; const execFileAsync = promiseify(execFile);

// 허용된 명령어 화이트리스트 const ALLOWED_TOOLS = ['git', 'npm', 'ls'];

export async function runTool(toolName, args) { if (!ALLOWED_TOOLS.includes(toolName)) { throw new Error("도구가 허용되지 않음"); }

// args는 문자열 배열이어야 하며, 원시 문자열이 아니어야 합니다 const { stdout, stderr } = await execFileAsync(toolName, args, { shell: false, // 명시적으로 셸 타임아웃을 비활성화합니다: 5000 // DOS 방지 });

반환 stdout; }`

권위 있는 외부 참고 자료(영어):

• NVD CVE-2026-0755(NIST): https://nvd.nist.gov/vuln/detail/CVE-2026-0755
• ZDI 자문(ZDI-26-021): https://www.zerodayinitiative.com/advisories/ZDI-26-021/
• OWASP OS 명령 인젝션 방어 치트 시트: https://cheatsheetseries.owasp.org/cheatsheets/OS_Command_Injection_Defense_Cheat_Sheet.html
• Cwe-78(마이터): https://cwe.mitre.org/data/definitions/78.html
• Gemini CLI를 사용하는 MCP 서버(Google Gemini CLI 문서): https://google-gemini.github.io/gemini-cli/docs/tools/mcp-server.html
• 제품 홈페이지: https://penligent.ai/
• 문서: https://penligent.ai/docs
• 가격: https://penligent.ai/pricing
• MCP 프로토콜 취약점으로 인해 전체 데이터베이스가 노출됩니다: https://penligent.ai/resources/blog/mcp-protocol-vulnerability-exposes-full-databases-penligent-delivers-a-comprehensive-ai-security-solution
• IDOR 및 RAG 공급망: https://www.penligent.ai/hackinglabs/dify-idor-the-rag-supply-chain-a-technical-deep-dive-into-data-source-binding-vulnerabilities/
• OpenClaw 프롬프트 주입 문제: https://www.penligent.ai/hackinglabs/the-openclaw-prompt-injection-problem-persistence-tool-hijack-and-the-security-boundary-that-doesnt-exist/
• 클로봇의 RCE: https://www.penligent.ai/hackinglabs/rce-in-clawdbot-the-cves-the-real-kill-chains-and-the-fixes-you-can-prove/