Postmark 백도어가 이메일을 다운로드하고 있음

• 최근 postmark-mcp 모듈에서 악의적인 행위가 발견됨
• 1.0.16 버전부터 메일을 개발자의 외부 서버로 복사하는 코드가 추가됨
• 수백 개 조직의 민감한 이메일이 유출되는 구조적 취약점이 드러남
• MCP 서버의 신뢰 모델 부재로 인해 공급망 공격 위험이 커지고 있음
• 모든 MCP 사용자는 즉시 점검 및 제거 조치가 필요함

MCP 서버의 실체와 postmark-mcp 사건 개요

• MCP 서버는 AI 어시스턴트가 이메일 전송, 데이터베이스 쿼리 실행 등 반복 작업을 자동으로 처리하도록 하는 도구임
• 이들 도구는 아주 높은 권한으로 동작하며, 개발자가 만든 코드를 거의 신뢰만으로 설치하며 검증 체계가 사실상 없음
• 인기 패키지인 postmark-mcp는 공식 Postmark GitHub 저장소에서 소스코드를 가져다가, 악성 BCC 한 줄을 추가한 뒤 npm에 동일한 이름으로 게시함
• 1.0.16 버전부터 평범하게 동작하는 코드에 한 줄이 추가되어, 모든 이메일이 개발자 개인 서버(giftshop.club)로 복사되는 기능이 동작함
• 즉, 패스워드 재설정, 송장, 내부 메모, 기밀문서까지 모든 이메일 정보가 노출되는 사고임

이상 행위 탐지 및 공격 구조

• Koi의 Risk Engine이 1.0.16 버전에서 이상 징후를 탐지함
• 개발자의 신원은 GitHub 등에서 정상적으로 보였으며, 초반 15개 버전은 문제 없이 동작하여 신뢰를 구축하였음
• 1.0.16에서 단 한 줄의 코드로 중요한 정보를 외부로 유출하는 기능이 추가됨
• 공격자는 코드 복사와 동시에 기존 개발자를 사칭하는 기법(Classic impersonation)을 사용함
• 기존에 정상적으로 잘 쓰이던 도구가 어느 순간 신뢰 기반 인프라스트럭처로 자리잡아 이후 악성 동작을 수행하게 됨

이메일 유출의 영향과 방식

• 대략 주 1,500회 다운로드, 실제로 약 20%가 활발히 사용된다고 가정할 때 수백 개 조직이 노출 대상임
• 매일 3,000~15,000건 이메일이 giftshop.club로 전송되는 규모로 추정됨
• 사용자는 도구의 동작을 일일이 검증하지 않고 AI 어시스턴트에 대부분 자동 실행을 맡김
• 별도의 보안 모델, 샌드박스, 검증 과정이 전혀 없음
• 개발자가 npm에서 패키지를 삭제했지만, 이미 설치한 사용자 환경에서는 삭제 효과가 없어 계속해서 데이터가 유출됨

공격 단계 분석

• 1단계: 정상 도구 배포

  • 1.0.0~1.0.15까지는 문제없이 동작하며, 신뢰를 쌓음

• 2단계: 악성 코드 삽입

  • 1.0.16에 한 줄의 BCC 추가, 외부로 메일 복사하는 기능 적용

• 3단계: 정보 수집

  • giftshop.club로 비밀번호, API 키, 금융/고객 데이터 등이 유출됨

• 개발자는 연락이 닿지 않았고, npm에서 패키지를 삭제했으나 이미 설치된 환경의 피해는 지속 중임

MCP 생태계의 구조적 결함

• MCP 서버는 일반 npm 패키지와 다르게 AI 어시스턴트가 자동으로 수백, 수천 번 호출하는 고위험 도구임
• 코드의 악성 여부를 AI나 기존 보안 솔루션이 탐지하지 못하며, 신뢰에만 의존하고 있음
• MCP 생태계 전체가 익명의 개발자에게 위험 자산에 대한 모든 권한을 위임하는 위험 구조임
• 행동 변화 탐지를 통한 공격 식별 및 공급망 게이트웨이 등 보안적 제어가 필요함
• Koi는 Risk Engine과 게이트웨이로 유사 악성 패키지의 유입 차단 및 검증을 추진함

대응 방안 및 IOC

• 악성 패키지: postmark-mcp (npm)
• 악성 버전: 1.0.16 이상
• 유출 이메일: phan@giftshop[.]club
• 도메인: giftshop[.]club

탐지 방법

• 이메일 로그에서 giftshop.club을 BCC로 전송한 흔적 확인
• MCP 서버 설정에서 예상치 못한 이메일 전달 파라미터 점검
• postmark-mcp 1.0.16 이상 버전 설치 내역 정밀 검토

대응 및 복구

• postmark-mcp 즉시 삭제
• 침해 기간 중 이메일로 공유한 모든 자격 증명 회전
• 탈취된 민감 정보 이메일 로그 전수 조사
• 피해 사실 확인 시 해당 당국에 즉시 보고

결론 및 권고

• 모든 MCP 서버에 대해 개발자 신원, 코드검증, 보안 점검 절차 반드시 시행 필요
• MCP(자동화 AI 보조 인프라) 특성상 최소한의 불신 모델 적용 및 지속적 모니터링 필수
• postmark-mcp 1.0.16 이상 사용자 즉각적 삭제와 보안 조치 필수
• 신뢰 기반 사용은 곧 공급망 공격의 위험에 직면함을 유념할 필요가 있음
• Paranoia(불신/의심)를 기본 방침으로 받아들이는 것이 MCP 활용의 합리적 전략임