MCPlatoMCPlato
블로그로 돌아가기
MCP
AI 에이전트
모델 컨텍스트 프로토콜
컨텍스트 팽창
보안
MCPlato

MCP: 16개월 만에 9,700만 설치 — 프로토콜 전쟁은 끝났지만, 컨텍스트 팽창과 보안 위기는 이제 시작이다

MCP가 16개월 만에 9,700만 설치를 돌파했다. 프로토콜 전쟁이 왜 끝났는지, 그리고 컨텍스트 팽창과 보안 위기가 왜 다음 전장이 될지 살펴 본다.

게시일 2026-04-13

MCP: 16개월 만에 9,700만 설치 — 프로토콜 전쟁은 끝났지만, 컨텍스트 팽창과 보안 위기는 이제 시작이다

프로토콜 전쟁은 끝났다. MCP가 이겼다. 하지만 표준을 이기는 것과 평화를 이기는 것은 다르다.

소개

2026년 3월, Model Context Protocol(MCP)는 드문 개방형 표준이 도달하는 임계점을 넘어섰다. 불과 16개월 만에 9,700만 설치를 기록한 것이다 [1]. 이는 소수 개발자의 유행이 아니다. 4,750%라는 인프라급 도입 곡선을 그리며 MCP를 Anthropic의 실험에서 AI-도구 통합의 기본 공용어로 만들어버린 사건이다 [2].

오늘날 에이전트를 구축하고 있다면, 거의 확실하게 MCP 위에서 구축하고 있을 것이다. OpenAI, Microsoft, Google, AWS 모두 같은 테이블에 칩을 걸었다. "어떤 와이어 포맷을 쓸 것인가"라는 프로토콜 전쟁의 장은 사실상 끝났다고 봐도 묰다.

하지만 역사는 우리에게 표준을 장악하는 순간이야말로 진짜 문제가 시작되는 때라고 가르친다. HTTP가 승리한 뒤, 우리는 피싱과 DDoS와 수십 년간 싸워야 했다. TCP/IP가 승리한 뒤, 방화벽과 제로 트러스트를 중심으로 온 산업을 구축했다. MCP는 이제 "HTTP의 순간"에 도달했다 — 보편성이 프로토콜을 보이지 않게 만들고, 그 주변의 위험을 무시할 수 없게 만드는 시점이다.

이러한 위험은 두 가지 형태로 나타난다.

  1. 컨텍스트 팽창(Context Bloat): 개발자들이 열성적으로 수십 개의 MCP 서버를 단일 에이전트 세션에 연결하면서, 도구 스키마와 메타데이터가 조용히 사용 가능한 컨텍스트 윈도우의 40~50%를 차지하고 있다. 이는 추론 품질을 저하시키고 비용을 부풀린다 [6].
  2. 보안 위기(Security Crisis): MCP 서버 자체가 새로운 공격 표면이 되었다. 2026년 초, 실제 사례는 악성이나 손상된 서버가 데이터를 유출하고, 샌드박스를 탈출하며, 원격 코드를 실행할 수 있음을 입증했다 [7].

이 글은 두 위기를 핵심부터 파헤치고, MCP의 다음 단계가 프로토콜 설계가 아닌 워크스페이스 수준 거버넌스에 의해 정의될 이유를 설명한다.

MCP 폭발: 숫자로 보는 성장

2026년 4월이 왜 변곡점처럼 느껴지는지 이해하려면, 도입 곡선을 따라가 볼 필요가 있다.

마일스톤설치 수비고
2024년 말~200만Anthropic이 MCP를 오픈소스로 공개; Claude 생태계의 초기 도입자
2025년 중반~2,200만OpenAI와 Microsoft가 네이티브 MCP 지원을 발표
2025년 말~4,500만AWS와 Google Cloud가 MCP 커넥터를 출시
2026년 2월~6,800만Azure MCP Server 2.0이 안정 버전에 도달 [8]
2026년 3월9,700만MCP가 에이전트 프레임워크 전반에서 사실상 표준이 됨

시장 상황이 이러한 속도를 설명한다. AI 에이전트 시장은 2026년에 115억 5천만 달러에 이를 것으로 예상되며 [3], AI 오케스트레이션 시장 역시 같은 해에 139억 9천만 달러 규모를 향해 가고 있다 [4]. 기업들은 더 이상 "에이전트를 써야 할까?"라고 묻지 않는다. "47개의 SaaS 도구를 12개의 서로 다른 모델에 연결하려면 564개의 커스텀 어댑터를 작성하지 않고 어떻게 해야 할까?"라고 묻는다.

MCP는 우아한 단순함으로 이 질문에 답했다: 단일 프로토콜, JSON-RPC 와이어 포맷, 선언적 도구 탐색 메커니즘. 이는 적절한 시기에 등장한 적절한 추상화다.

하지만 보편성은 새로운 문제를 낳는다. CRM, 데이터베이스, CI 파이프라인, 브라우저 자동화 도구 등 모든 것이 MCP 서버로 노출되면, 개발자들은 당연히 이를 쌓아 올린다. 단일 에이전트 세션이 Postgres MCP 서버, GitHub MCP 서버, Slack MCP 서버, Stripe MCP 서버, 그리고 수십 개의 추가 서버를 로드할 수 있다. 각각은 그 자체로 유용하다. 하지만 함께 사용하면, 이들이 강화하려는 핵심 능력 — 모델의 추론 능력 — 에 마찰을 일으킨다.

컨텍스트 팽창: 도구 풍요의 숨겨진 세금

컨텍스트 팽창이란 무엇인가?

MCP 서버가 에이전트에 자신을 등록할 때마다, 스키마를 기여한다: 기능, 매개변수, 반환 타입, 제약 조건에 대한 구조화된 설명이다. 문서화가 잘 된 서버에서는 이러한 스키마가 수천 토큰에 이를 수 있다. 열 개 또는 스무 개의 서버를 곱하고, 시스템 프롬프트와 대화 기록을 더하면, 단 하나의 사용자 메시지가 도착하기 전에 도구 메타데이터가 컨텍스트 윈도우의 40~50%를 차지하는 것을 쉽게 발견할 수 있다 [6].

이것이 바로 컨텍스트 팽창이다. 이는 MCP의 버그가 아니라; 도구 풍요가 유한한 컨텍스트 윈도우와 만나면서 생겨난 이머전트 프로퍼티이다.

결과

  • 저하된 추론: 연쇄적 사고(chain-of-thought)를 위한 공간이 줄어들면서 환각이 늘고 계획이 피상적이 된다.
  • 증가하는 지연 시간: 프롬프트가 커지면 첫 번째 토큰이 생성되기까지의 시간(time-to-first-token)이 늘어난다.
  • 상승하는 비용: 대부분의 추론 제공업체는 토큰 기준으로 과금한다. 팽창은 수익에 직접적인 세금이다.
  • 도구 맹목(tool blindness): 모델이 스키마에 압도되면 잘못된 도구를 선택하거나 기능을 완전히 놓칠 수 있다.

점진적 도구 탐색과 완화책

커뮤니티는 팽창에 맞서기 위해 두 가지 아키텍처 패턴을 중심으로 모이기 시작했다.

**점진적 도구 탐색(Progressive Tool Discovery)**은 스키마 주입을 모델이 실제로 의도를 표명할 때까지 지연시킨다. 20개의 서버 스키마를 모두 사전에 로드하는 대신, 에이전트는 가벼운 인덱스를 유지한다. "Q1 매출을 확인해줘"와 같은 사용자 요청이 들어올 때에만 분석 및 금융 도구의 스키마를 가져온다. 나머지는 프롬프트에서 완전히 배제된다.

**컨텍스트 팽창 완화(Context Bloat Mitigation)**는 한 걸음 더 나아간다. 여기에는 다음이 포함된다.

  • 스키마 압축: 예제, 포맷팅 힌트, 중복 설명을 제거한다.
  • 계층적 네임스페이스: 도구를 의미적 카테고리 아래 그룹화하여 모델이 더 높은 수준의 추상화에서 추론할 수 있게 한다.
  • 동적 언로딩: 여러 턴 동안 사용되지 않은 도구 스키마를 컨텍스트 윈도우에서 제거한다.

이들은 사치스러운 최적화가 아니다. 소수의 도구를 넘어 프로덕션 에이전트 스택을 확장하려는 모든 조직에게 필수적인 생존 메커니즘이다.

보안 위기: MCP 서버가 공격 표면이 될 때

컨텍스트 팽창이 MCP 도입의 조용한 세금이라면, 보안은 갑작스러운 충격이다. 2026년 초, 일련의 실제 사건은 MCP 공급망이 이미 공격받고 있음을 입증했다.

2026년 사건 포트폴리오

1. 가짜 Postmark MCP 서버 (조용한 BCC 유출)

이메일 전송 서비스인 Postmark를 사칭한 타이포스쿼팅 MCP 서버가 공개 레지스트리에 나타나 경계하지 못한 개발자들에 의해 설치되었다. 호출되면 예상대로 이메일을 볃냈지만, 동시에 모든 메시지를 공격자가 통제하는 주소로 몰래 BCC했다. MCP 서버는 호스트 프로세스의 권한으로 실행되기 때문에, 이 유출은 사용자와 에이전트 양쪽 모두에게 보이지 않았다 [7].

2. Anthropic Filesystem-MCP 샌드박스 탈출

널리 사용되는 파일 시스템 MCP 서버의 취약점으로 공격자가 심볼릭 링크와 상대 경로 탐색을 이용해 의도된 디렉터리 샌드박스를 탈출할 수 있었다. 탈출 후에는 호스트 전역 어디에서나 민감한 파일 — SSH 키, 환경 파일, 브라우저 쿠키 — 을 읽을 수 있었다 [7].

3. MCP Inspector RCE

프로토콜 개발의 기준 디버깅 도구인 MCP Inspector에서 원격 코드 실행 취약점이 발견되었다. 개발자들이 통합 테스트 중 종종 신뢰할 수 없거나 제3자 서버에 대해 Inspector를 실행하기 때문에, 이 버그는 공격자가 개발자 머신에서 임의의 코드를 실행할 수 있는 사소한 경로를 만들어냈다 [7].

왜 이러한 사건들이 중요한가

MCP 서버는 수동적인 라이브러리가 아니다. 이들은 활성 실행 컨텍스트다. 에이전트가 도구를 호출하기로 결정하면, 제어권을 MCP 서버에 넘긴다. 그 서버가 악성이거나 손상되었거나 단순히 버그가 있다면, 폭발 반경은 호스트 프로세스의 전체 권한과 동일하다.

따라서 위협 모델은 REST API보다 브라우저 확장 프로그램이나 VS Code 플러그인에 더 가깝다. 와이어 포맷만 신뢰하는 것으로는 부족하다; 머신에서 실행되는 코드까지 신뢰해야 한다. 그리고 MCP 생태계가 커뮤니티 서버로 폭발적으로 성장하고 있기 때문에, 대부분의 조직이 감사할 수 있는 속도보다 신뢰 표면이 더 빠르게 확장되고 있다.

MCPlato 통합: MCP 시대를 위한 워크스페이스 수준 거버넌스

지금까지 설명한 문제 — 컨텍스트 팽창과 보안 위기 — 는 프로토콜 수준의 버그가 아니다. 이들은 오케스트레이션 및 거버넌스 과제다. JSON-RPC 필드를 바꾸거나 새로운 인증 헤더를 추가하는 것으로는 고칠 수 없다. 도구가 어떻게 탐색되고, 로드되고, 격리되며, 감사되는지 관리하는 프로토콜 위의 레이어가 필요하다.

그것이 바로 MCPlato가 설계된 문제다.

MCPlato는 AI 네이티브 워크스페이스로서, MCP를 느슨한 CLI 통합의 집합이 아닌 거버넌스된 기능 레이어로 다룬다. 사용자에게는 다음과 같이 드러난다.

세션 수준 격리를 갖춘 네이티브 MCP 통합

MCPlato에서는 모든 AI 세션이 자신만의 워크스페이스 경계 내에서 실행된다. MCP 서버는 전역이 아닌 세션별로 연결된다. 세션 A에서 파일 시스템 MCP 서버를 로드하면, 세션 B에서는 보이지 않는다. 이는 설계상 폭발 반경을 제한한다. 손상되거나 오작동하는 서버가 프로젝트 경계를 넘어 누설될 수 없는 이유는 워크스페이스 자체가 격리의 기본 단위이기 때문이다.

권한 세분성을 갖춘 동적 MCP 로딩

MCPlato는 시작 시 모든 도구를 사전 로드하도록 강요하지 않는다. 서버는 동적으로 로드될 수 있으며, 각 로드는 권한 모델을 통해 통제된다. 한 세션에는 데이터베이스 MCP 서버에 대한 읽기 전용 접근을 부여하면서, 다른 세션에는 동일 서버에 대한 쓰기 접근을 부여할 수 있다. 모델은 권한이 있는 스키마만 볼 수 있으므로, 이는 컨텍스트 팽창을 직접 줄이고 공격 표면을 제한한다.

감사 로그 및 도구 호출 추적성

MCPlato의 모든 MCP 호출은 로그에 기록된다: 어떤 서버, 어떤 도구, 어떤 인자, 어떤 출력, 그리고 어떤 에이전트가 호출을 시작했는지. 이는 단순한 규정 준수용 쇼가 아니다. 수상한 이메일 발송, 예상치 못한 파일 읽기와 같은 보안 사건이 발생했을 때, 감사 추적을 통해 정확히 어떤 서버가 관련되었고 어떤 대화가 트리거했는지 추적할 수 있다. 타이포스쿼팅된 MCP 서버가 넘쳐나는 세상에서 추적 가능성은 곧 사후 대응(remediation)이다.

멀티 에이전트 컨텍스트 관리

MCPlato는 전문화된 에이전트가 작업의 서로 다른 단계를 처리하는 멀티 에이전트 오케스트레이션을 지원한다. 컨텍스트 관리는 이 아키텍처의 핵심이다. 모든 도구 스키마를 모든 에이전트의 프롬프트에 쏟아붓는 대신, MCPlato는 작업을 관련 기능 하위 집합만 갖고 있는 에이전트에게 라우팅한다. "연구" 에이전트는 검색 및 브라우저 도구를 본다; "배포" 에이전트는 CI 및 인프라 도구를 본다. 결과는 더 선명한 추론, 더 낮은 지연 시간, 그리고 컨텍스트 윈도우 소진에 대한 의미 있는 방어다.

설계 철학: 프로토콜에 중립적, 거버넌스를 우선으로

MCPlato의 MCP에 대한 접근은 의도적으로 거버넌스 우선(governance-first)이다. 프로토콜 자체는 견고하다 — 그것이 승리한 이유다. 하지만 견고한 프로토콜에도 경계, 예산, 추적 breadcrumb이 필요하다. MCPlato는 이러한 통제가 존재하는 워크스페이스 레이어를 제공한다.

결론 및 전망

MCP는 해협을 걸어 넘었다. 9,700만 설치, 모든 주요 클라우드 및 모델 제공업체의 지원, 그리고 번창하는 오픈소스 서버 생태계를 갖추고, 프로토콜 전쟁은 명백히 끝났다. 2026년 4월은 MCP가 보이지 않는 인프라가 된 순간 — AI 에이전트의 "HTTP 순간" — 으로 기억될 것이다.

하지만 보이지 않음은 위험을 동반한다. 컨텍스트 팽창은 이미 에이전트 성능을 저하시키고 비용을 부풀리고 있다. 2026년 초의 보안 사건은 MCP 서버가 무해한 유틸리티가 아니라 격리, 감사, 세분화된 권한 통제를 요구하는 실행 표면임을 입증했다.

다음 12개월은 워크스페이스 수준 거버넌스에 의해 정의될 것이다. 개발자와 플랫폼 팀은 "어떤 프로토콜?"이라고 묻는 것을 멈추고, "컨텍스트 윈도우와 보안 태세를 폭발시키지 않고 50개의 MCP 서버를 안전하게 어떻게 실행할 것인가?"라고 묻기 시작할 것이다.

동적 로딩, 세션 격리, 감사 가능성, 멀티 에이전트 컨텍스트 관리를 통해 이 질문에 답하는 플랫폼이 에이전트 스택의 다음 장을 정의할 것이다.

프로토콜 전쟁은 끝났다. 거버넌스 전쟁은 이제 시작이다.

참고 문헌

  1. DDR Innova — "MCP AI Standard Hits 97 Million Installs in 2026" http://ddrinnova.com/blog/mcp-ai-standard-97-million-installs-2026/

  2. Digital Applied — "March 2026 AI Roundup: The Month That Changed Everything" https://www.digitalapplied.com/blog/march-2026-ai-roundup-month-that-changed-everything

  3. Grand View Research — "AI Agents Market Report" https://www.grandviewresearch.com/industry-analysis/ai-agents-market-report

  4. ConvertMate — "AI Orchestration Marketing 2026" https://www.convertmate.io/research/ai-orchestration-marketing-2026

  5. Linux Foundation — "Agentic AI Foundation Unveils MCP Dev Summit North America 2026 Schedule" https://www.linuxfoundation.org/press/agentic-ai-foundation-unveils-mcp-dev-summit-north-america-2026-schedule

  6. Julien Simon on Medium — "Still Missing Critical Pieces" https://julsimon.medium.com/still-missing-critical-pieces-7a78077235e5

  7. HackerNoon — "MCP Security in 2026: Lessons from Real Exploits and Early Breaches" https://hackernoon.com/mcp-security-in-2026-lessons-from-real-exploits-and-early-breaches

  8. Microsoft DevBlogs — "Announcing Azure MCP Server 2.0 Stable Release" https://devblogs.microsoft.com/azure-sdk/announcing-azure-mcp-server-2-0-stable-release/

  9. Anthropic — "Project Glasswing" https://www.anthropic.com/glasswing