인공지능(AI)과 이메일, 믿었던 Postmark 백도어의 배신: 당신의 메일을 훔쳐가는 신종 해킹의 모든

인공지능(AI) 시대, 우리는 각종 자동화 도구에 점점 더 많은 일을 맡기고 있습니다. AI 비서가 이메일을 간편하게 정리해주고, 데이터베이스까지 쿼리해주는 세상. 이런 편리함 뒤에 치명적인 함정이 숨어 있었으니—바로 Postmark MCP 백도어 사태입니다. 믿고 썼던 개발자 툴 하나가 여러분의 비밀 이메일을 "몰래 복사해서" 해커의 서버로 날려버린 충격적인 사건! 오늘은 그 전말과, 앞으로 우리가 지켜야 할 AI·서플라이체인 보안의 핵심을 쉽고 재미있게 풀어봅니다.

AI 비서와 MCP 서버, 왜 쓰일까?

인공지능이 업무를 자동화하면서, 개발자들은 MCP(Model Context Protocol) 서버를 통해 AI 에이전트를 관리하고 있습니다. MCP는 기본적으로 AI가 이메일을 분류하거나, 특정 정보를 찾아주는 등 "컨텍스트 작업"을 손쉽게 처리하도록 돕는 표준입니다. 유명 오픈소스 패키지인 'postmark-mcp' 역시 이런 자동화를 위해 npm(자바스크립트 개발 환경의 대표 패키지 매니저)에서 매주 1,500회 이상 다운로드 되곤 했죠.

믿고 쓰던 툴의 위험: 한 줄의 배신, 이메일 전송 백도어

이 사건의 핵심은 "아주 단순한 백도어"입니다. Postmark MCP 서버는 15번째 버전까지 멀쩡했지만, 16번째(1.0.16) 버전에서 ‘BCC 헤더’라는 아주 간단한 기능이 추가됐습니다. 무슨 일일까요?

새로운 이메일을 보낼 때, 받는 사람 몰래 카피해서 개발자(혹은 공격자)의 서버(giftshop.club)로 전달한 것!
그 결과, 송수신되는 모든 메일이 해커의 개인 서버로 복사, 민감 정보(계약서, 인보이스, 사내 메모 등)도 같이 유출됨
이 코드는 단 한 줄! 그야말로 “너무 단순해서 웃지 못할 배신”이었습니다.

왜 몰랐을까? ‘신뢰’가 만든 맹점과 MCP의 구조적 취약점

더 충격적인 점은, 이 백도어는 버전업 뒤에도 한동안 아무도 의심하지 않았다는 사실입니다. 개발자 커뮤니티에서 이름 있는 진짜 개발자의 작품이었고, 오랫동안 정상 작동하다가 버전 하나만에 살짝 바뀐 행위가 수많은 기업워크플로우에 도입된 것. AI 비서가 이메일을 분류하고 회신하는 수백 번의 과정마다—민감한 데이터가 고스란히 해커에게 배달되고 있었습니다.

MCP의 본질적 문제: AI에게 강력한 권한을 줘야 하다보니, 개인 개발자가 만든 MCP 서버에도 전체적인 권한이 주어집니다.
검증 없는 자동권한: 기업은 ‘오픈소스니까 믿을 수 있다’는 안일함으로, 사실상 모르는 개발자에게 정보 전체를 맡긴 셈이 되었죠.
Koi Security의 ‘위험 감지 엔진’이 처음으로 행동 변화를 포착해, 이후 문제가 공식적으로 확인됨

피해 규모와 대응법: 이미 삭제된 패키지, 아직도 ‘내 컴퓨터’는 위험하다?

백도어의 단순함은 역설적으로 피해를 크게 키웠습니다. 패키지 하나만 삭제했다고 문제가 끝나지 않습니다! 이미 설치된 서버와 워크플로우에서는, 해커 서버로 이메일을 보내는 코드가 ‘그대로 살아있기’ 때문입니다.

추정 피해: 약 15,000개의 다운로드 중 20% 이상(300여 개 조직)에 실 사용, 하루에 3,000~15,000개 이메일이 해커 서버로 전송된 것으로 추정
이미 설치된 버전에서는 여전히 메일 복사가 계속됨
공식 삭제 이후에도 ‘즉시 수동 제거’ 및 ‘이메일 로그, 인증정보, 서버 감사’가 필수적

위험 징후(IOC: Indicator of Compromise)

postmark-mcp 버전 1.0.16 이상 설치
이메일 주소 ‘phan@giftshop.club’ 및 ‘giftshop.club’ 도메인 접속 흔적

앞으로의 과제: AI 서플라이체인 보안, "신뢰와 자동화" 사이 균형 잡기

이번 사건은 단순히 하나의 개발자 툴 문제가 아닙니다. AI의 자동화가 일상화될수록, 오픈소스와 외부 도구에 대한 '신뢰의 기준'이 더욱 중요해졌다는 강력한 경고입니다.

"신뢰할 수 있는 개발자가 만든 툴"이라는 환상이 무방비를 불렀다
AI 비서와 자동화 시스템에 권한을 줄 때, 반드시 내부 검증과 외부 감시가 함께 이루어져야 한다

실전 보안 체크리스트

AI·오픈소스 패키지 설치시 최신 버전만 믿지 말고, 이전 버전 변동 내역과 권한 사용 내역을 꼼꼼히 확인하세요.
MCP 서버, AI 에이전트 등 민감 자동화에 외부 감사 도구를 적극 활용하세요.
의심 가는 행동(이메일 로그 이상, 낯선 서버 접속 등) 발견 시 즉시 패키지 삭제 후, 인증정보(이메일·API키 등) 전량 교체가 필요합니다.
조직 내 오픈소스 보안 정책을 정기적으로 평가·강화하세요.

마무리: 믿음에 기댄 AI 시대, ‘내 데이터’는 내 손으로 지킨다

우리는 AI에게 점점 많은 일을 넘기고 있지만, 보안만큼은 절대로 미루어 둘 수 없습니다. 누구나 쓸 수 있는 오픈소스 툴 하나도, 단 한 줄짜리 코드로 우리 조직의 모든 정보가 나갈 수 있다는 점을 기억하세요. AI 자동화, 서플라이체인 보안, 오픈소스 사전검증! 이 세 가지 키워드만큼은, 앞으로 업무에서 반드시 기본으로 챙기는 습관이 필요합니다.

모두가 AI를 편하게 쓰는 시대, 이제는 ‘내 데이터는 내 손으로’ 지키는 스마트한 습관이 진짜 AI 활용의 필수 조건임을 잊지 마세요!