AI에 관심있는 조직이라면 AI 에이전트를 주요 목표로 삼고 있을 것입니다. 지난 해부터 시장에서는 멀티 AI 에이전트 구현, 배포, 운영이 주요 관심사였습니다. 관련해 하이퍼스케일러부터 엔터프라이즈 솔루션, SI 기업까지 경쟁하듯이 다양한 기술, 서비스, 플랫폼을 선보였습니다. 이번 포스팅에서는 에이전틱 AI라는 거대한 목표를 향한 첫 걸음인 멀티 AI 에이전트 전략 실현에 있어 핵심 요소 중 하나인 MCP 보안에 대해 알아볼까 합니다..
MCP 구조와 멀티 AI 에이전트 환경에서의 역할
먼저 MCP의 구조를 살펴볼까요? 보안을 논의하려면 먼저 구조와 기능을 알아야 합니다. MCP는 데이터 로직과 실제 통신 수단을 엄격히 분리합니다. 크게 세 참여자가 상호작용하는데요. 먼저 MCP 호스트는 사용자와 직접 마주하며 여러 클라이언트를 관리하는 최상위 애플리케이션입니다. 클로드 데스크톱(Claude Desktop)이나 커서 IDE(Cursor IDE)가 대표적인 예입니다. MCP 클라이언트는 호스트 안에서 특정 서버와 일대일로 연결해 정보를 가져오는 역할을 하며 MCP 서버는 로컬이나 원격에서 실행되며 도구와 리소스를 클라이언트에 실제로 노출하는 독립 프로그램입니다.
멀티 AI 에이전트 환경에서 MCP는 각 AI 에이전트가 동일한 배경 지식을 공유하고 서로의 도구를 안전하게 호출하도록 돕는 핵심 운영 계층이 됩니다. 오늘날 기업의 조직 구조처럼 AI 에이전트로 기능과 역할이 나뉘어 협업을 합니다. 가령 연구자, 작성자, 검토자 등 전문 분야가 다른 AI 에이전트들이 팀을 이뤄 작업을 나누어 처리합니다. 이 과정에서 MCP는 도구의 표준화와 재사용성을 극대화합니다. 예컨대 한 번 구축한 BigQuery MCP 서버는 조직 내 어떤 AI 에이전트라도 추가 개발 없이 즉시 활용할 수 있습니다.
운영 효율성 측면에서도 MCP는 탁월합니다. 수천 개의 도구 정의를 모델의 컨텍스트 윈도우에 직접 주입하던 과거 방식은 토큰 소모를 늘리고 추론 속도를 늦추는 원인이었습니다. 반면에 MCP는 동적 도구 발견 기능을 제공합니다. AI 에이전트가 실행 시점에 딱 필요한 도구만 조회하고 불러오므로 컨텍스트 효율을 획기적으로 높일 수 있습니다. 이를 통해 비용을 절감하는 동시에 환경 변화에 훨씬 유연하게 대응할 수 있게 됩니다.
MCP 보안의 단면
하지만 MCP가 만능은 아닙니다. AI 에이전트에게 강력한 권한과 데이터 접근성을 부여하다 보니 보안 설계가 허술하면 기업 자산을 침해하는 치명적인 통로가 될 수 있기 때문입니다. 보안 전문가들은 도구를 호출하는 행위 자체가 임의 코드를 실행하는 것과 다름없다는 전제 아래 보안을 설계해야 한다고 힘주어 말합니다.
가장 치명적인 위협은 프롬프트 인젝션입니다. 공격자가 AI 에이전트가 읽을 법한 문서나 이메일에 악성 지시문을 몰래 숨겨두면, 에이전트는 이를 정상적인 명령으로 착각하게 됩니다. 이 과정에서 관리자 권한을 남용하거나 비밀번호를 외부로 유출하는 도구를 실행할 위험이 있습니다. 특히 MCP 환경에서는 한 지점에서 발생한 공격이 AI 에이전트 간 협업을 하는 과정 전체로 퍼질 수 있어 주의가 필요합니다.
MCP 고유 위협인 툴 포이즈닝과 러그풀 공격도 간과할 수 없습니다. 이는 AI 모델은 볼 수 있지만 사용자는 확인하기 어렵다는 점을 노린 공격입니다. 공격자는 설명란에 악성 코드를 삽입하거나 처음에는 안전한 기능을 제공하다가 나중에 툴 정의를 몰래 바꿔 인증 토큰을 가로채기도 합니다. 대다수 공개 MCP 서버가 인증 없이 로컬 포트를 개방하거나 입력값 검증 로직이 빠져 있다는 사실은 이러한 공급망 공격의 위험을 더욱 키우는 요인이 됩니다.
이처럼 위협은 크게 세 축으로 정리됩니다. 프롬프트 인젝션은 뒤에서 살펴볼 Model Armor의 입력 필터링으로, 툴 포이즈닝과 러그풀 공격은 중앙 MCP 프록시의 정책 집행과 감사 로깅으로, 그리고 과도한 권한 남용은 신원 기반 접근 제어와 최소 권한 원칙으로 각각 대응할 수 있습니다. 이제 구글 클라우드 환경을 기준으로 이 세 축을 아우르는 실제 방어 전략을 계층별로 살펴보겠습니다.
구글 클라우드 환경의 계층적 방어 전략
구글 클라우드는 이러한 복합적 보안 위험을 해결하기 위해 인프라와 AI 플랫폼 전체를 아우르는 다계층 방어 체계를 제안합니다. 이는 특정 보안 계층이 무너지더라도 다음 계층에서 위협을 차단하는 심층 방어 구조가 현실적 대응책이기 때문입니다. 각 계층에서 어떤 방어 활동이 이루어지는지 볼까요.
신원 기반 제어와 최소 권한 원칙의 심화
모든 보안의 기본은 AI 에이전트의 신원을 확립하는 일에서 시작됩니다. 구글 클라우드는 각 AI 에이전트에게 고유한 서비스 계정을 부여해 개별적인 정체성을 확립합니다. 특히 실행 시점에 AI 에이전트 신원 기능을 활용하면, 인가되지 않은 외부 세력이 정당한 에이전트로 위장해 시스템에 접근하는 사칭 공격을 원천 차단할 수 있습니다.
또한, 민감한 자격 증명 관리를 위해 Secret Manager를 적용합니다. MCP 서버가 도구 실행에 필요한 API 키나 토큰을 코드 내부에 직접 적거나 환경 변수에 노출하지 않도록 중앙에서 안전하게 관리하는 것이라 이해하면 됩니다. 여기에 IAM 조건 설정을 결합하면 특정 에이전트가 특정 작업을 수행하는 시점에만 필요한 비밀 정보에 접근하도록 정밀하게 제어할 수 있습니다. 마지막 안전망인 보안 주체 액세스 경계(PAB)는 에이전트가 접근할 수 있는 리소스의 절대 한계선을 설정해 혹시 모를 설정 오류 시에도 피해가 조직 전체로 퍼지는 것을 방지합니다.
중앙 집중형 MCP 프록시와 정책 집행
수많은 MCP 서버가 분산된 환경에서는 보안 정책을 일관되게 적용하기가 매우 어렵습니다. 그래서 구글 클라우드는 모든 AI 에이전트 트래픽이 반드시 거쳐야 하는 중앙 MCP 프록시 구축을 핵심 전략으로 제시합니다. 이 프록시는 모든 요청의 정당성을 검증하는 정책 집행 지점 역할을 수행하게 됩니다.
이 구조의 가장 큰 장점은 무엇일까요? 바로 원격에 있는 MCP 서버 코드를 일일이 수정하지 않아도 된다는 점입니다. 프록시 계층에서 중앙 집중적으로 인증과 인가를 처리하고, 비정상적인 호출을 제한하며, 모든 도구 호출 기록을 감사 로깅으로 남길 수 있습니다. 이는 조직이 전체 AI 생태계에 대한 가시성을 확보하고 거버넌스를 강화하는 데 중요한 역할을 합니다.
인프라 격리와 네트워크 경계 보안
MCP 서버와 프록시가 구동되는 환경 자체의 보안도 놓칠 수 없겠죠. 구글 클라우드는 Cloud Run이나 GKE 같은 관리형 컨테이너 환경을 추천합니다. 서버리스 기반의 격리된 환경에서 컨테이너를 실행하면 운영체제 수준의 취약점이 인프라 전체로 퍼지는 것을 방지하고 최신 보안 패치를 자동으로 적용할 수 있습니다.
네트워크 측면에서는 VPC 서비스 제어를 통해 강력한 데이터 유출 방어선을 구축합니다. 이는 민감한 리소스 주변에 가상의 성벽을 쌓는 것과 같습니다. 허가받지 않은 네트워크 경로를 통한 데이터 접근을 원천 차단하여 AI 에이전트가 침해당하더라도 데이터가 외부로 빠져나가는 경로를 폐쇄합니다. 또한, 전면에 배치된 Cloud Armor는 웹 애플리케이션 방화벽 기능을 수행하며 DDoS 공격이나 주요 웹 취약점 공격으로부터 시스템 입구를 견고하게 방어합니다.
AI 콘텐츠 보호
마지막 관문은 AI가 주고받는 콘텐츠 자체를 정밀하게 검사하는 Model Armor입니다. 애플리케이션 코드를 수정하지 않고 플랫폼 레벨에서 즉시 활성화할 수 있는 이 기능은 입력과 출력 두 단계의 필터링을 제공합니다.
입력 단계에서는 사용자의 질문이 모델에 도달하기 전 탈옥 시도와 프롬프트 인젝션을 실시간으로 감지합니다. 출력 단계에서는 민감 데이터 보호 기술을 사용하여 주민등록번호나 기업 기밀 등 중요한 정보가 외부로 나가지 않도록 자동으로 마스킹하거나 차단합니다. 한편 MCP 도구 호출 시점에 악의적인 명령어나 코드 주입 여부를 검사하려면 별도의 정책 설정이 필요합니다. 이는 중앙 프록시 계층의 감사 로깅과 함께 운용할 때 가장 효과적입니다. 이러한 단계별 검사는 AI 에이전트가 의도치 않게 사고를 치는 위험을 구조적으로 완화해 줍니다.
신뢰할 수 있는 에이전틱 AI
AI 에이전트를 프로덕션 환경에 배포해 운영하는 것은 이제 거스를 수 없는 대세입니다. MCP는 멀티 AI 에이전트 시대의 연결 파편화 문제를 해결할 표준으로 자리 잡았습니다. 하지만 연결이 표준화되었다는 것은 공격 경로 역시 표준화되었다는 뜻이기도 합니다. AI 에이전트가 도구를 사용해 현실에 직접 영향을 미치게 된 만큼 보안 강화는 우선순위 높은 과제라 할 수 있습니다.
구글 클라우드 환경에서 MCP를 도입하려는 조직은 앞서 살펴본 다계층 방어를 설계 단계부터 고려해 보안성을 확보할 수 있습니다. 신원 기반의 엄격한 접근 제어, 중앙화된 관리 프록시, 그리고 Model Armor와 같은 검증된 아키텍처 전략이 뒷받침될 때 AI라는 강력한 도구를 안전하고 과감하게 비즈니스에 활용할 수 있을 것입니다.
설계 단계부터 보안을 강화하고 싶다면 메가존소프트 문의포탈을 통해 궁금한 부분을 남겨주세요.
