AI 에이전트와 도구들이 우리 일상 속으로 빠르게 파고들면서, 이들이 다양한 데이터 소스와 안전하게 연결되는 것이 점점 중요해지고 있습니다. 하지만 지금까지는 각 시스템마다 서로 다른 방식으로 보안과 인증을 구현해야 했고, 이는 개발자들에게 큰 부담이 되어왔습니다.

최근 Anthropic이 발표한 Model Context Protocol(MCP)의 새로운 인증 사양은 이런 문제에 대한 흥미로운 해답을 제시합니다. 이 변화가 왜 중요하고, 개발자와 AI 생태계 전반에 어떤 의미를 갖는지 자세히 살펴보겠습니다.

MCP가 해결하려는 근본적인 문제

MCP(Model Context Protocol)는 AI 어시스턴트가 다양한 데이터 소스—콘텐츠 저장소, 비즈니스 도구, 개발 환경 등—와 연결할 수 있도록 하는 개방형 표준입니다. Anthropic이 지난 11월 공개한 이 프로토콜의 핵심 목표는 AI 모델이 데이터 고립 상태에서 벗어나 더 관련성 높은 응답을 생성할 수 있도록 돕는 것입니다.

하지만 초기 MCP는 보안과 인증 측면에서 한계가 있었습니다. 각 MCP 서버가 자체적인 인증 서버를 구현해야 했고, 이는 개발자들에게 상당한 복잡성을 가져다주었습니다. 인증 시스템을 제대로 구현하는 것은 까다로운 작업이며, 보안 취약점이 발생할 가능성도 높았습니다.

게임 체인저: 리소스 서버와 인증 서버의 분리

새로운 MCP 인증 사양의 가장 핵심적인 변화는 리소스 서버(Resource Server)와 인증 서버(Authorization Server)의 분리입니다. 이전에는 이 두 역할이 하나의 서버에서 처리되어야 했지만, 이제는 완전히 독립적으로 운영할 수 있게 되었습니다.

실제로 MCP 아키텍처에서는 종종 간과되는 중요한 네 번째 구성 요소가 있습니다:

1. MCP 클라이언트 – AI 에이전트 내부에서 요청을 생성
2. MCP 서버 – 외부 API와 시스템을 래핑하는 통합 계층
3. 서드파티 서비스 – GitHub, Notion, Google Calendar 등의 외부 API
4. 인증 서버 – OAuth 플로우를 처리하는 핵심 구성 요소

이 인증 서버가 바로 새로운 사양에서 분리된 핵심 요소입니다.

{
  "resource": "https://resource.example.com",
  "authorization_servers": [
    "https://as1.example.com",
    "https://as2.example.net"
  ],
  "bearer_methods_supported": [
    "header",
    "body"
  ],
  "scopes_supported": [
    "profile",
    "email",
    "phone"
  ],
  "resource_documentation": "https://resource.example.com/resource_documentation.html"
}

이 변화의 의미는 무엇일까요? 개발자들이 더 이상 복잡한 인증 서버를 직접 구현할 필요가 없어졌다는 것입니다. 대신 이미 검증된 기존 인증 서비스들—Microsoft Entra ID, Okta, Auth0 등—을 그대로 활용할 수 있게 되었습니다.

OAuth 2.1 표준 채택과 보안 강화

새로운 사양은 OAuth 2.1 표준을 완전히 채택했습니다. 이는 단순히 기술적 선택이 아니라, AI 개발 생태계의 성숙도를 보여주는 중요한 신호입니다.

MCP에서 구현되는 OAuth 2.1의 핵심 보안 기능들:

PKCE (Proof Key for Code Exchange) 의무화

모든 MCP 인증 플로우는 PKCE를 사용해야 합니다. 이는 인증 코드 가로채기 공격을 효과적으로 방지합니다:

1. 클라이언트가 코드 검증자(code verifier) 생성
2. SHA-256으로 코드 챌린지(code challenge) 생성
3. 인증 서버로 챌린지와 함께 인증 요청
4. 사용자 인증 후 인증 코드 반환
5. 클라이언트가 원본 검증자와 함께 토큰 교환

Dynamic Client Registration (DCR) 지원

새로운 클라이언트와 에이전트의 온보딩을 단순화합니다. 이는 MCP에서 특히 중요한데, 클라이언트가 모든 MCP 서버와 인증 서버를 미리 알 수 없기 때문입니다.

Authorization Server Metadata

RFC 8414에 따른 표준 메타데이터 노출로 클라이언트가 지원되는 엔드포인트와 기능을 자동으로 발견할 수 있습니다.

이러한 보안 강화는 AI 에이전트가 점점 더 민감한 데이터에 접근하게 되는 현실을 반영합니다. 개인 문서, 업무 데이터, 금융 정보 등에 AI가 접근할 때 보안은 선택이 아닌 필수입니다.

두 가지 인증 서버 아키텍처: 선택의 유연성

새로운 MCP 사양이 제공하는 또 다른 중요한 가치는 아키텍처 선택의 유연성입니다. 개발자들은 자신의 상황에 맞게 두 가지 방식 중 하나를 선택할 수 있습니다.

 출처: Stytch 블로그

1. 내장형 인증 서버 (Embedded Authorization Server)

MCP 서버가 직접 인증 서버 역할을 수행하는 방식입니다. 이 경우 MCP 서버는 Identity Provider와 Relying Party 역할을 모두 담당합니다.

장점:

• 완전한 제어권
• 단순한 배포 구조
• 외부 의존성 최소화

단점:

• 높은 구현 복잡도
• OAuth 전문 지식 필요
• 보안 책임 증가

2. 외부 인증 서버 위임 (External Authorization Server)

MCP 서버가 외부 인증 서비스에 OAuth 플로우를 위임하는 방식입니다. 이는 OAuth 모범 사례인 관심사 분리 원칙을 따릅니다.

장점:

• 낮은 통합 비용
• 기존 인증 인프라 재사용
• 전문화된 보안 서비스 활용

단점:

• 외부 서비스 의존성
• 토큰 매핑 로직 필요

이런 유연성은 개발자들이 자신의 기술 스택과 요구사항에 맞는 최적의 방식을 선택할 수 있게 해줍니다.

Protected Resource Metadata: 발견 가능한 보안

새로운 사양의 또 다른 핵심 요소는 Protected Resource Metadata(PRM) 도입입니다. RFC 9728 표준을 따르는 이 메커니즘은 MCP 클라이언트가 서버의 인증 요구사항을 자동으로 발견할 수 있게 해줍니다.

모든 MCP 서버는 이제 표준화된 위치(/.well-known/resource-metadata)에 PRM 문서를 호스팅해야 합니다. 이 문서에는 다음과 같은 필수 정보들이 포함됩니다:

작동 방식은 다음과 같습니다:

1. MCP 클라이언트가 서버에 요청
2. 서버가 HTTP 401 Unauthorized 응답과 함께 WWW-Authenticate 헤더 반환
3. 헤더에 포함된 resource_metadata 필드로 PRM 문서 위치 확인
4. PRM 문서에서 인증 서버 정보 추출
5. OAuth 2.1 인증 플로우 시작

이 발견 프로세스는 완전히 자동화되어 있어 개발자나 사용자가 수동으로 인증 서버를 설정하거나 찾을 필요가 없습니다. 클라이언트는 표준 HTTP 응답을 통해 모든 필요한 정보를 자동으로 획득할 수 있습니다.

업계 전문가들의 광범위한 협력

새로운 MCP 인증 사양의 가장 인상적인 측면 중 하나는 업계 전반의 광범위한 협력을 보여준다는 점입니다. Microsoft, Okta/Auth0, Arcade.dev, Hellō, Stytch, Descope를 비롯해 수많은 보안 전문 기업들이 참여했습니다.

이런 협력의 결과로 다음과 같은 성과가 나타났습니다:

검증된 보안 모범 사례

각 분야의 전문가들이 모여 검토한 결과, 실전에서 검증된 보안 모범 사례들이 사양에 반영되었습니다.

상호 운용성 보장

다양한 플랫폼과 서비스 간의 호환성을 고려한 설계로, 생태계 전반의 일관성을 확보했습니다.

실용적 구현 고려

이론적 완벽함보다는 실제 구현 가능성과 개발자 경험을 우선시한 균형잡힌 접근을 취했습니다.

이런 종류의 업계 간 협력은 AI 시스템이 적절한 보안 가드레일을 갖추고 발전할 수 있도록 하는 데 꼭 필요합니다. 단일 기업의 독단적 결정이 아닌, 업계 전체의 합의를 통한 표준화라는 점에서 더욱 의미가 큽니다.

Visual Studio Code: 실전 적용 사례

 출처: Den Delimarsky 블로그

Microsoft Visual Studio Code가 이미 새로운 MCP 인증 사양을 지원하기 시작했다는 것은 이 표준의 실용성을 보여주는 강력한 증거입니다. 특히 주목할 점은 VS Code가 기존 레거시 인증 방식과 새로운 사양을 모두 지원한다는 것입니다.

VS Code에서의 구현이 특별한 이유:

• 네이티브 통합: Web Account Manager(WAM)를 통한 OS 수준 인증 브로커 활용
• 매끄러운 사용자 경험: 별도 브라우저 창 없이 인증 완료
• 기존 클라이언트 재사용: Entra ID 등에서 VS Code의 기존 클라이언트 등록 활용

VS Code는 Entra ID가 PRM 문서에 선언된 것을 감지하면 자체 클라이언트 등록을 사용해 플로우를 시작합니다. 이는 단순히 기술적 구현을 넘어서, 사용자 경험의 혁신을 의미합니다. 개발자들이 새로운 MCP 서버에 연결할 때 복잡한 설정 과정 없이 바로 작업을 시작할 수 있습니다.

개발자 경험의 혁신적 변화

새로운 MCP 인증 사양이 가져오는 가장 중요한 변화는 개발자 경험의 극적인 개선입니다.

이전 방식의 문제점:

• 각 MCP 서버마다 독자적인 인증 시스템 구현 필요
• 보안 전문 지식 요구
• 디버깅과 유지보수의 복잡성
• 상호 운용성 부족

새로운 방식의 혁신적 장점:

• 기존 인증 서비스 재사용: Entra ID, Okta, Auth0 등 검증된 서비스 활용
• 표준화된 OAuth 2.1 플로우: 업계 표준을 따른 일관된 구현
• 자동화된 서버 발견: PRM을 통한 완전 자동화된 인증 서버 감지
• 향상된 보안성: PKCE, DCR 등 최신 보안 기능 내장
• 개발자 부담 감소: 복잡한 인증 로직 구현 불필요

특히 Dynamic Client Registration(DCR) 지원은 MCP 생태계에서 매우 중요합니다. 클라이언트가 모든 가능한 MCP 서버와 인증 서버를 미리 알 수 없기 때문에, 자동 등록 기능이 없다면 사용자가 수동으로 OAuth 클라이언트를 등록해야 하는 번거로움이 발생합니다.

이런 변화는 AI 개발의 민주화를 가속화할 것입니다. 보안 전문가가 아닌 일반 개발자들도 안전하고 표준적인 방식으로 MCP 서버를 구축할 수 있게 되었습니다.

AI 생태계 전반에 미치는 파급효과

MCP의 새로운 인증 사양은 단일 프로토콜의 개선을 넘어서 AI 생태계 전반의 성숙화를 의미합니다.

표준화의 가치

AI 도구들 간의 상호 운용성이 크게 향상될 것입니다. 하나의 인증 방식을 학습하면 다양한 AI 시스템에서 활용할 수 있게 되어, 개발자들의 학습 비용이 감소합니다.

보안 강화

검증된 OAuth 2.1 표준을 사용함으로써 AI 시스템의 전반적인 보안 수준이 향상됩니다. 특히 AI 에이전트가 점점 더 민감한 데이터에 접근하게 되는 상황에서 이는 매우 중요합니다.

혁신 가속화

복잡한 인증 구현에 시간을 쏟는 대신, 개발자들이 핵심 기능과 사용자 가치 창출에 집중할 수 있게 됩니다. 이는 AI 응용 프로그램의 혁신 속도를 크게 가속화할 것입니다.

앞으로의 전망과 지속적인 발전

새로운 MCP 인증 사양이 가져올 변화는 이제 시작일 뿐입니다. 사양 자체도 계속 진화하고 있으며, 활발한 개발 커뮤니티에서 지속적인 개선이 이뤄지고 있습니다.

현재 진행 중인 발전

MCP 사양은 활발하게 변화하고 있습니다. 공식 MCP 저장소에서는 정기적으로 업데이트와 개선사항이 제안되고 병합되고 있으며, 보안 모범 사례와 관련된 추가적인 점진적 변경사항들이 빠른 후속 작업으로 진행되고 있습니다.

기대되는 발전 방향

• SDK 지원 확산: MCP C# SDK를 시작으로 다양한 언어별 SDK에서 새로운 사양 지원
• Enterprise 통합 가속화: 대기업 내부 시스템과의 통합이 더욱 원활해질 것
• 원격 MCP 서버 확산: 로컬 stdio 기반에서 원격 HTTP 기반 서버로의 전환 가속화
• 전문 인증 서비스 통합: Stytch Connected Apps 같은 전문 OAuth 서비스와의 긴밀한 통합

해결해야 할 과제

• 기존 시스템 마이그레이션: 레거시 MCP 서버의 새로운 사양 적용 지원
• 개발자 교육: 새로운 표준에 대한 문서화와 학습 자료 확충
• 에코시스템 성숙화: 다양한 도구와 플랫폼의 지원 확산이 필요한 상황

이런 지속적인 발전은 MCP가 단순한 프로토콜을 넘어서 AI 개발의 핵심 인프라로 자리잡아가고 있음을 보여줍니다.

마치며: AI 개발의 새로운 패러다임

MCP의 새로운 인증 사양은 단순한 기술적 개선이 아닙니다. 이는 AI 개발 생태계가 한 단계 성숙해지는 과정의 상징적인 사건입니다.

보안과 편의성이 서로 상충하는 것이 아니라 함께 발전할 수 있다는 것을 보여주며, 표준화를 통해 혁신이 가속화될 수 있다는 가능성을 제시합니다. 개발자들이 복잡한 인증 구현에 얽매이지 않고 진정한 가치 창출에 집중할 수 있는 환경이 만들어지고 있습니다.

AI가 우리 일과 삶의 더 깊숙한 곳까지 파고들어 가는 지금, 이런 표준화와 보안 강화는 선택이 아닌 필수입니다. MCP의 새로운 인증 사양은 이런 미래를 향한 중요한 첫걸음이라고 할 수 있을 것입니다.

---

참고자료:

• The New MCP Authorization Specification
• Authorization – Model Context Protocol
• Visual Studio Code Now Supports MCP Authorization
• The New MCP Authorization Specification: Simplifying AI Security Through Standardization
• MCP authentication and authorization servers