무슨 일이 일어났냐면
요즘 Claude 같은 AI 비서한테 '우리 회사 Jira 이슈 좀 정리해줘', 'GitHub PR 봐줘' 하고 시키는 일이 부쩍 늘었죠. 이걸 가능하게 해주는 게 바로 MCP(Model Context Protocol)예요. AI랑 외부 도구·데이터를 연결하는 일종의 '표준 콘센트'라고 보면 편해요. 콘센트 모양이 통일돼 있으면 어떤 기기든 꽂아 쓸 수 있는 것처럼, MCP가 표준이 되면 AI가 어떤 도구든 똑같은 방식으로 붙을 수 있거든요.
그런데 회사 데이터를 AI에 연결하려면 인증, 즉 로그인이 꼭 필요하잖아요. 지금까지는 MCP 서버를 하나 붙일 때마다 사용자가 OAuth 동의 화면을 만나서 '이 앱이 당신 계정에 접근하는 걸 허용할까요?' 버튼을 일일이 눌러야 했어요. 도구 다섯 개를 붙이면 동의도 다섯 번, 회사 전체로 보면 수천 번의 클릭이 되는 거죠. 이번에 MCP 진영에서 내놓은 건 바로 이 과정을 통째로 없애는 'Zero-Touch OAuth', 우리말로 하면 손 안 대고 끝나는 '무중단 인증'이에요.
OAuth가 뭔데요
먼저 OAuth부터 짚고 갈게요. 우리가 흔히 보는 '구글로 로그인', '깃허브로 로그인' 버튼 있죠? 그게 바로 OAuth예요. 핵심은 '비밀번호를 직접 넘기지 않는다'는 거예요. 비밀번호 대신 인증 서버가 발급한 토큰(일종의 출입증)을 앱한테 주고, 앱은 그 토큰으로 '이 사람한테 허락된 범위 안에서만' 데이터를 읽어요. MCP도 이 OAuth 2.1을 기반으로 인증을 표준화해뒀어요.
문제는 항상 '동의 화면'이었어요. 보안상 꼭 필요한 절차이긴 한데, 회사 관리자가 이미 '우리 직원들은 이 MCP 서버 써도 됨'이라고 정책으로 정해놨다면, 직원이 또 한 명씩 똑같은 동의를 반복할 이유가 없잖아요. 마찰만 생기고요.
Zero-Touch는 어떻게 동작하나
핵심 아이디어는 '회사의 IdP가 미리 다 합의해둔다'는 거예요. IdP(신원 공급자)가 뭐냐면 Okta, Microsoft Entra ID(옛 Azure AD), 구글 워크스페이스처럼 직원 계정을 한곳에서 관리하는 시스템이에요. 회사에서 한 번 로그인하면 여러 서비스를 다 통과시켜 주는 SSO, 그걸 담당하는 친구죠.
무중단 인증에서는 관리자가 MCP 클라이언트(예: Claude)와 MCP 서버 사이의 연결을 회사 IdP를 통해 미리 승인해둬요. 그러면 직원은 이미 회사 SSO로 로그인돼 있으니까, MCP 서버를 붙여도 동의 화면이 안 떠요. 백그라운드에서 토큰 교환이 조용히 일어나고 바로 연결되는 거죠. 게다가 클라이언트 등록(Dynamic Client Registration)도 중앙에서 처리되니, 개별 앱마다 등록 절차를 거칠 필요도 없어요.
관리자 입장에서도 좋아요. 누가 어떤 서버에 접근하는지 IdP 한곳에서 통제하고 감사(audit) 로그도 남길 수 있고요. 직원이 퇴사하면 IdP에서 계정만 끄면 그 사람의 모든 MCP 접근이 한 번에 차단돼요. 편의성과 통제를 동시에 잡는 구조인 거죠.
업계 맥락에서 보면
이건 갑자기 튀어나온 개념이 아니에요. 기업용 SaaS 세계에선 이미 SAML, SCIM, SSO로 '관리자가 중앙에서 앱 접근을 통제하는' 게 오래된 표준이거든요. MCP가 이제 그 엔터프라이즈 표준의 문법을 그대로 따라가는 거예요. 즉 AI 도구가 '재미있는 장난감'에서 '회사 기간 시스템'으로 넘어가려면 반드시 풀어야 하는 거버넌스 문제를, 표준 차원에서 정리하기 시작했다는 신호죠.
한국 개발자에게 주는 시사점
두 가지 입장에서 의미가 있어요. 첫째, B2B용 MCP 서버를 만드는 분이라면 이제 OAuth 2.1을 제대로 구현하는 게 사실상 필수가 돼요. 인증 서버 메타데이터 자동 발견, 동적 클라이언트 등록 같은 표준을 지원해야 엔터프라이즈 고객이 자기네 IdP에 붙일 수 있거든요. 둘째, 사내에 Claude나 AI 도구를 도입하려는 분이라면 보안팀·IT팀이 원하는 모양이 바로 이거예요. '직원은 편하게, 관리자는 중앙에서 통제'. 이 그림을 미리 알아두면 도입 설득이 훨씬 수월해져요.
마무리
한 줄로 정리하면, AI 도구가 회사 안으로 들어오면서 '편한 인증'과 '관리자 통제'를 동시에 잡는 무중단 OAuth가 MCP의 기본기로 자리 잡고 있어요.
그런데 한 가지 생각해볼 점이 있어요. 동의 화면이 사라지면 분명 편하지만, 사용자가 '내 데이터가 지금 어디로 가는지' 인지하는 순간도 같이 사라지는 거잖아요. 편의성과 사용자 인지(awareness) 사이의 균형, 여러분은 어디쯤이 적당하다고 보세요?
🔗 출처: Hacker News
"비전공 직장인인데 반년 만에 수익 파이프라인을 여러 개 만들었습니다"
실제 수강생 후기- 비전공자도 6개월이면 첫 수익
- 20년 경력 개발자 직강
- 자동화 프로그램 + 소스코드 제공