AI가 부르는 보안 점검 도구 '벌피드' MCP

AI 에이전트가 직접 호출해 프로젝트의 보안 취약점을 점검하게 해주는 MCP 서버 벌피드(VulnFeed)가 공개됐다. 의존성 목록을 읽어 취약점을 찾되, 실제 공격에 쓰일 확률 순으로 우선순위를 매겨주는 것이 핵심이다.

무슨 일인가

벌피드는 프로젝트의 잠금 파일(lockfile)을 읽어 미국 국가취약점데이터베이스(NVD)와 깃허브 자문(GitHub Advisories)을 대조한다. package-lock.json, requirements.txt, go.sum 등을 인식해 실제로 내가 쓰는 의존성 트리에 해당하는 취약점만 걸러낸다. 쓰지도 않는 패키지에서 오는 잡음을 없애려는 설계다.

클로드 코드·클로드 데스크톱·커서·VS코드·윈드서프에서 동작하며, MCP 설정에 uvx vulnfeed-mcp 한 줄을 넣고 클라이언트를 재시작한 뒤 "내 프로젝트 취약점 점검해줘"라고 말하면 된다. 무료 등급은 가입 없이 하루 10회 스캔, 유료는 좌석·저장소 수와 무관한 정액 월 14달러로 무제한이다.

핵심 짚어보기

벌피드의 차별점은 EPSS(취약점 악용 예측 점수)다. 대부분의 취약점은 사실상 잡음인데, EPSS는 각 취약점이 실제 공격에 쓰일 확률을 점수화해 위험한 것부터 끌어올린다. 예시 출력에서는 익스프레스(express) 패키지의 한 취약점을 악용 확률 73%로 표시하며 최우선 처리 대상으로 짚었다.

단순히 "취약하다"에 그치지 않고 'express 4.17.1 → 4.21.0' 식으로 정확한 수정 버전을 제시하며, npm·PyPI·Go 레지스트리를 교차 확인한다. 9개 도구로 스캔·패키지 점검·CVE 조회·모니터링·알림 확인까지 한 번에 설치된다. 데이터는 모두 NVD·깃허브 자문 DB·EPSS 같은 무료 공개 소스라 상위 비용이 0이며, 새 CVE는 새벽에 올라와도 15분 내 색인된다.

1인기업 실전 적용 포인트

• 별도 보안 담당자가 없는 1인 개발자라면, 코딩 에이전트에게 배포 전 "의존성 취약점 점검"을 한마디로 시켜 릴리스 게이트로 삼자. 하루 10회 무료 한도로도 충분한 경우가 많다.
• EPSS 73% 같은 '실제 악용 확률'을 기준으로 패치 우선순위를 정하면, 끝없는 CVE 목록에 시간을 낭비하지 않고 진짜 위험한 것부터 막을 수 있다.
• 운영 중인 프로젝트를 등록해 두면 새 취약점이 색인될 때 이어서 점검할 수 있어, 출시 후 방치되기 쉬운 의존성 보안을 자동 감시 체계로 돌릴 수 있다.

전망

에이전트가 요청 건당 USDC로 0.01달러씩 지불하는 x402 마이크로페이먼트도 지원해, 계정 없이 쓰는 자동화 시나리오까지 염두에 뒀다. 다만 데이터 출처가 공개 DB인 만큼 상용 보안 솔루션 수준의 심층 분석을 기대하긴 어렵다. 그럼에도 정액 14달러라는 가격은 보안 예산이 빠듯한 1인기업에 합리적인 첫 방어선이 된다.

출처: VulnFeed by Novadyne (https://vulnfeed.novadyne.ai/)