Model Context Protocol(MCP) 보안 가이드: 인증 및 권한 부여 구현

이 요약은 AI가 원문을 분석해 생성했습니다. 정확한 내용은 원문 기준으로 확인하세요.

핵심 요약

Model Context Protocol(MCP)은 AI 에이전트와 서비스 간의 통신을 표준화하지만, 원격 서버 환경에서는 강력한 보안 체계가 필수적이다. 이 아티클은 MCP의 두 가지 전송 방식인 stdio와 Streamable HTTP의 보안 모델 차이를 분석한다. 특히 Streamable HTTP 환경에서 OAuth 2.1, PKCE, 동적 클라이언트 등록을 활용하여 MCP 서버를 보호하는 구체적인 워크플로우를 제시한다. 2025-11-25 최신 명세서를 기준으로 스코프 설계, 토큰 관리, 에이전트 간 인증(A2A)의 미래 방향성까지 포괄적으로 다룬다.

배경

Model Context Protocol(MCP) 기본 개념, OAuth 2.0 및 2.1 프로토콜에 대한 이해, HTTP 상태 코드 및 인증 헤더 지식

대상 독자

보안이 중요한 엔터프라이즈 환경에서 MCP 기반 AI 에이전트 시스템을 설계하고 구축하는 개발자 및 아키텍트

의미 / 영향

MCP의 보안 표준화는 AI 에이전트가 기업 내부 데이터와 도구에 접근할 때 발생할 수 있는 보안 우려를 해소하는 중요한 이정표이다. OAuth 2.1과 같은 검증된 표준을 채택함으로써 기존 ID 관리 시스템과의 통합이 용이해지고, 에이전트 생태계의 신뢰성이 강화될 것이다.

섹션별 상세

MCP 전송 계층에 따라 인증 방식이 결정된다. stdio 전송은 로컬 프로세스로 실행되어 별도의 인증이 필요 없으며 환경 변수를 통해 설정을 관리한다. 반면 Streamable HTTP 전송은 원격 서버 환경을 위해 OAuth 2.1 프로토콜을 사용하여 클라이언트를 인증하고 권한을 부여한다.

원격 MCP 서버 인증은 4단계의 표준화된 흐름을 따른다. 클라이언트의 최초 요청 시 서버는 401 Unauthorized 응답과 함께 신뢰하는 인증 서버 메타데이터 주소를 반환한다. 클라이언트는 해당 메타데이터를 통해 인증 서버를 발견하고, 동적 등록(DCR) 또는 클라이언트 ID 메타데이터(CIMD) 방식을 통해 자신을 등록한다.

http

HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer resource_metadata="https://resource.example.com/.well-known/oauth-protected-resource"

인증되지 않은 MCP 클라이언트 요청에 대해 서버가 인증 서버 정보를 포함하여 반환하는 401 응답 예시

json

{
  "resource": "https://resource.example.com",
  "authorization_servers": ["https://as1.example.com", "https://as2.example.net"],
  "bearer_methods_supported": ["header", "body"],
  "scopes_supported": ["profile", "email", "phone"],
  "resource_documentation": "https://resource.example.com/resource_documentation.html"
}

MCP 서버가 신뢰하는 인증 서버 목록을 포함한 리소스 메타데이터 응답 구조

클라이언트, MCP 서버, 인증 서버 간의 OAuth 2.1 인증 및 권한 부여 흐름도 — Diagram인증되지 않은 최초 요청부터 401 응답, 메타데이터 발견, 클라이언트 등록, 토큰 발급 및 최종 인증된 요청까지의 전 과정을 시각적으로 보여준다. 특히 MCP 서버가 리소스 서버로서 인증 서버와 어떻게 상호작용하는지 명확히 설명한다.

사용자 권한 부여 과정에서 PKCE(Proof Key for Code Exchange) 사용이 의무화된다. 클라이언트는 S256 방식을 사용해야 하며, 권한 부여 요청 시 resource 파라미터에 MCP 서버 URL을 반드시 포함해야 한다. 이를 통해 획득한 Access Token은 Authorization 헤더의 Bearer 토큰 방식으로 서버에 전달된다.

json

{
  "redirect_uris": ["https://client.example.com/callback"],
  "grant_types": ["authorization_code", "refresh_token"],
  "client_name": "My MCP client",
  "token_endpoint_auth_method": "client_secret_basic",
  "scope": "mcp:read mcp:write"
}

RFC 7591을 준수하는 MCP 클라이언트의 동적 등록 요청 데이터

MCP 서버는 전달받은 토큰의 서명, 발행자, 대상(Audience), 만료 여부를 엄격히 검증해야 한다. 2025-11-25 명세서에 도입된 Step-up Authorization 기능을 통해, 클라이언트가 요청한 작업에 필요한 스코프가 부족할 경우 403 응답과 함께 추가 권한을 동적으로 요청할 수 있다.

다운스트림 리소스 보호를 위해 Token Exchange 기법이 권장된다. MCP 서버는 클라이언트로부터 받은 토큰을 직접 전달하는 대신, 인증 서버를 통해 하위 리소스 접근에 최적화된 새로운 토큰으로 교환하여 보안성을 높인다. 이는 서버가 클라이언트를 대행하여 안전하게 데이터를 처리할 수 있게 한다.

실무 Takeaway

원격 MCP 서버를 구축할 때 OAuth 2.1과 PKCE를 적용하여 에이전트의 접근 권한을 세밀하게 제어하고 보안 사고를 예방해야 한다.
스코프 설계 시 mcp: 접두사를 사용하고 읽기, 쓰기, 삭제 등 기능별로 권한을 분리하여 최소 권한 원칙을 준수해야 한다.
2025-11-25 명세서의 Step-up Authorization을 활용하면 사용자에게 필요한 시점에만 추가 권한을 요청하는 유연한 UX를 구현할 수 있다.

언급된 리소스

문서MCP Specification

GitHubMCP Inspector