기업의 MCP 도입 속도, 보안 통제보다 훨씬 빠르다

기업 MCP 도입이 보안 통제를 앞지르는 현실

에이전트형 AI는 현재 기업 환경에서 어떤 소프트웨어보다 더 많은 시스템 접근권과 연결을 보유하고 있다. 그만큼 공격 면이 커졌지만, 이를 다룰 합의된 보안 프레임워크는 아직 없다. Resolve AI의 스피로스 잔토스는 이 공격 벡터가 악용되면 데이터 유출 등 심각한 사고로 이어질 수 있다고 경고했다.

에이전트 중심 보안, 인간 중심 프레임워크를 넘어

전통적 보안 체계는 인간의 상호작용을 전제로 설계되었다. Zendesk의 존 애니아노는 자율적으로 일하는 AI 에이전트에 대한 합의된 보안 구성요소가 부재하며, 기업이 가드레일을 마련하는 속도보다 에이전트 기술이 더 빠르게 진화하고 있다고 지적했다.

MCP의 이점과 역설: 통합은 쉬워지고 통제는 어려워진다

MCP 보안 한계와 거버넌스 공백

기업은 모델 컨텍스트 프로토콜(MCP) 서버를 통해 에이전트, 도구, 데이터를 손쉽게 통합하고 있다. 그러나 MCP 서버는 구성 상 ‘매우 관대’하게 동작하는 경향이 있어, 최소한의 제어라도 강제하기 쉬운 API보다 더 위험할 수 있다는 평가가 나온다.

MCP 환경에서의 권한·범위 설계

현재는 에이전트가 인간의 명시적 권한을 위임받아 행동하므로 책임소재가 비교적 분명하다. 하지만 앞으로는 고유한 정체성과 접근권을 가진 수십~수백 개의 에이전트가 공존할 수 있어 권한·범위 설계가 ‘복잡한 매트릭스’로 변한다.

도구 자동탐색과 MCP 안전성

MCP가 도구를 자동으로 발견·연결하는 특성은 생산성을 높이지만, 어떤 도구와 상호작용할지 결정하는 새로운 안전 기법이 반드시 필요하다. 업계 차원의 상호작용 표준이 부재한 지금, MCP 채택 가속화는 보안 리스크를 증폭시킬 수 있다.

인증과 책임: AI가 잘못 인증하면 누가 책임지나

감사 추적의 미로와 인간-AI 협업

CRM 현장에서는 인간 상담사와 AI가 함께 일하면서 감사 추적이 복잡해진다. ‘인간이 인간과 대화하고, 그 인간이 다시 AI와 상호작용하는’ 다층 구조에서 잘못된 조치가 발생하면 책임 소재가 모호해진다. 여러 AI와 여러 인간이 섞일수록 문제는 커진다.

고객별 가드레일과 제한적 권한

Zendesk는 접근과 범위를 매우 엄격히 제한한다. 대다수 AI는 지식 원천을 조회할 수 있지만 서버에서 코드를 실행하거나 명령을 직접 내리지는 않는다. API 호출은 선언적으로 설계·승인되며, 실행 가능한 액션을 명시한다. 고객 수요는 빠르게 늘고 있지만, 현재로서는 ‘게이트를 지키며’ 확장을 관리하는 단계다.

지금 당장 보안팀이 할 수 있는 일

세분화된 접근제어와 인덱스 레벨 권한

Splunk 등 일부 도구는 인덱스 단위 권한 부여처럼 세분화된 접근 제어를 제공해 에이전트에 적용할 수 있다. 다만 대부분의 기존 도구는 인간 중심에 머물러 있어, 에이전트 시대를 온전히 커버하기에는 한계가 있다.

선언형 API와 휴먼 리뷰로 점진 확대

실무적 출발점은 선언형 API 설계, 명시적으로 승인된 액션, 엄격한 접근·범위 제한, 그리고 권한 확대 전 인간 검토다. ‘게이트를 항상 점검하며 조리개를 서서히 넓힌다’는 원칙으로 상시 권한 부여를 검증 기반으로 진행해야 한다.

상시 권한의 제한적 도입과 리스크 경계

Resolve AI는 비교적 안전한 코딩 영역 등에서 상시 권한을 시범 적용하고, 이후 저위험 시나리오로 천천히 확대하려 한다. 반면 운영 환경 상태를 변형시킬 수 있는 고위험 작업은 인간 검토를 유지해야 한다.

MCP 보안 표준 정립의 시급성

궁극적으로 모델 컨텍스트 프로토콜(MCP) 생태계에 맞춘 상호작용 표준과 안전 기준이 필요하다. MCP 채택이 보안 통제 속도를 앞지르는 지금, 업계 합의와 구체적 규범 없이는 대규모 도입 리스크를 낮추기 어렵다.