![\"MCP](\"/assets/etc.png\" "\\"MCP")
생성형 AI가 코드를 작성하고 리팩터링하는 시대에, “우리 팀의 내부 API 문서”, “사내 지식 DB”, “운영 중인 대시보드”, “특정 CLI 도구”까지 한 번에 묶어 주는 것이 새로운 병목이 되었다. REST로 열어두면 보안이 걱정되고, 매번 프롬프트에 붙여 넣기면 컨텍스트 한도가 터진다. 이런 틈을 메우기 위해 등장한 표준 중 하나가 바로 Model Context Protocol(MCP)이다. 이 글은 MCP가 무엇인지, 어떻게 동작하는지, 그리고 실제로 서버를 만들어 에디터에 붙일 때 무엇을 조심해야 하는지를 실무에서 바로 쓸 수 있는 수준으로 정리한다.
\n대부분의 LLM 애플리케이션은 “텍스트 입력 → 모델 → 텍스트 출력”이라는 단순한 파이프라인으로 시작한다. 하지만 실제 제품에서는 다음이 필요하다.
\n이미 “함수 호출(Function Calling)”이나 “Tool Use”라는 개념은 OpenAI, Anthropic 등 여러 API에서 제공한다. 하지만 호스트 애플리케이션(에디터, 데스크톱 앱, 자체 에이전트) 입장에서는, 도구를 어떻게 노출하고, 어떤 형식으로 주고받고, 어떻게 권한을 분리할지에 대한 공통 언어가 없으면 매 통합마다 제각각 구현해야 한다.
\nMCP는 이런 도구·리소스·프롬프트 힌트를 표준화하는 프로토콜이다. JSON-RPC 스타일의 메시지로 “어떤 도구가 있는지”, “어떤 인자를 받는지”, “실행 결과를 어떻게 돌려줄지”를 정의한다. 덕분에 한 번 MCP 서버를 만들면, 여러 MCP 호스트 클라이언트에서 재사용할 수 있다는 점이 기대 효과다.
\n| 접근 | \n장점 | \n한계 | \n
|---|---|---|
| 긴 프롬프트에 문서 붙여넣기 | \n구현 단순 | \n토큰 낭비, 최신성 없음, 민감 정보 유출 위험 | \n
| REST 래핑 API | \n익숙한 패턴 | \n에디터별 통합 코드 반복, 세밀한 권한 모델 부족 | \n
| MCP 서버 | \n표준화, 재사용, 호스트·도구 분리 | \n서버 설계·배포·보안 책임이 개발자에게 있음 | \n
MCP는 “은총알”이 아니다. 팀이 정리한 도구 경계와 보안 정책이 없으면, 아무리 표준화해도 난장판이 된다. 그래서 이 글 후반부에는 보안·운영 체크리스트를 비중 있게 두었다.
\n용어가 혼동되기 쉬우니, 역할을 먼저 고정한다.
\n직관적으로 말하면, 서버는 “능력을 노출하는 쪽”, 클라이언트는 “그 능력을 AI에게 연결하는 쪽”이다. 사용자가 보는 채팅 UI는 호스트가 책임진다.
\nMCP에서 자주 쓰이는 세 가지 추상화를 정리한다.
\n모델이 호출할 수 있는 함수에 가깝다. 이름, 설명, JSON Schema 형태의 입력 스키마를 등록한다. 예를 들어 search_internal_wiki 도구는 query 문자열을 받아 관련 문서 요약을 반환할 수 있다.
도구 설계 시 실무 팁은 다음과 같다.
\n파일, 문서, URL 같은 참조 가능한 데이터를 노출한다. “이 경로의 스펙 문서를 읽어라”처럼, 모델이 필요할 때 내용을 가져가는 용도다. 도구와의 차이는, 리소스는 읽기 중심인 경우가 많다는 점이다(구현에 따라 쓰기도 가능하지만 정책을 엄격히 할 것).
\n재사용 가능한 프롬프트 템플릿을 등록할 수 있다. 팀에서 자주 쓰는 “코드 리뷰 체크리스트”, “장애 보고서 초안” 같은 것을 표준화할 때 유용하다.
\n초기에 많이 쓰이는 방식은 stdio다. 호스트가 MCP 서버 프로세스를 띄우고, 표준 입출력으로 JSON-RPC 메시지를 주고받는다. 장점은 방화벽 안에서도 동작하기 쉽고, 로컬 개발이 간단하다는 것이다. 단점은 프로세스 생명주기 관리와 동시 접속이 호스트 구현에 의존한다는 점이다.
\n원격(HTTP/SSE 등) 전송은 팀 단위로 중앙 MCP 서버를 두고 싶을 때 고려한다. 이때는 인증·TLS·레이트 리밋이 필수이고, 서버를 인터넷에 노출할지, VPN 뒤에 둘지를 아키텍처 차원에서 결정해야 한다.
\n아래는 개념을 잡기 위한 의사 코드에 가까운 예시다. 실제 SDK 버전에 따라 import 경로와 클래스 이름이 다를 수 있으므로, 공식 문서와 사용 중인 호스트의 예제를 함께 보라. 중요한 것은 “무엇을 export하는가”이다.
\n// 개념 예시: 실제 프로젝트에서는 공식 @modelcontextprotocol/sdk 등을 사용한다.\n// 1) 서버 인스턴스 생성\n// 2) list_tools 로 도구 목록 노출\n// 3) call_tool 로 분기 처리\n// 4) stdio transport 로 호스트에 연결\n\n// 의사 코드\n/*\nserver.registerTool({\n name: \"add_internal_comment\",\n description: \"내부 이슈에 코멘트를 남긴다. dryRun이 true면 실제 기록하지 않는다.\",\n inputSchema: {\n type: \"object\",\n properties: {\n issueId: { type: \"string\" },\n body: { type: \"string\", maxLength: 4000 },\n dryRun: { type: \"boolean\", default: true },\n },\n required: [\"issueId\", \"body\"],\n },\n handler: async ({ issueId, body, dryRun }) => {\n if (dryRun) {\n return { content: [{ type: \"text\", text: `[dry-run] Would comment on ${issueId}` }] };\n }\n // await issueTracker.postComment(issueId, body);\n return { content: [{ type: \"text\", text: \"ok\" }] };\n },\n});\n*/실무에서는 다음을 추가한다.
\n많은 개발자가 MCP를 처음 쓸 때 “로컬에서는 되는데 동료는 안 된다”는 상황을 겪는다. 흔한 원인은 다음과 같다.
\nnode를 찾지 못하는 경우가 있다. 이때는 절대 경로로 node를 지정하거나, 래퍼 스크립트를 둔다.MCP를 도입하면 편해지는 만큼, 에이전트가 할 수 있는 일의 범위가 넓어진다. 고려해야 할 위협은 다음과 같다.
\nMCP 서버도 결국 하나의 마이크로서비스처럼 다루는 것이 안전하다.
\n특히 외부 API 의존이 큰 도구는, 장애 시 우아한 실패(graceful degradation) 메시지를 반환하도록 설계한다. “지금 이슈 트래커가 응답하지 않습니다. 5분 후 다시 시도하세요” 같은 문장은 모델이 사용자에게 전달하기 좋다.
\n초보자가 자주 하는 실패는 하나의 거대한 도구에 모든 것을 넣는 것이다. 예를 들어 do_everything_for_deploy 같은 도구는 모델이 언제 어떤 단계에서 실패했는지 알기 어렵다. 대신 다음처럼 나눈다.
get_latest_commit_sharun_ci_status_checkcreate_release_tag (승인 후에만)이렇게 하면 디버깅, 권한 분리, 감사가 모두 쉬워진다.
\n무리하게 처음부터 “모든 자동화”를 넣으면, 보안 사고나 운영 부담만 커진다.
\nMCP는 AI 에디터와 사내 시스템 사이의 접착제로 이해하면 쉽다. 표준 프로토콜이 있기 때문에, 호스트가 바뀌어도 서버를 재사용할 여지가 생긴다. 하지만 도구 경계 설계, 권한, 로깅, 팀 규칙 없이 도입하면 “편의를 위한 새로운 단일 장애점”이 될 수 있다. 이 글이 MCP 서버를 처음 설계하거나, Cursor에 사내 도구를 안전하게 붙이려는 팀에게 실전 체크리스트 역할을 하길 바란다.
\nMCP는 도구다. 어떤 일을 자동화할지, 어디까지 허용할지를 팀이 먼저 합의하는 것이, 기술보다 앞선다.
\n실제 구현을 읽을 때 헷갈리는 부분이 “언제 무엇이 오가는가”다. 대략적인 순서는 다음과 같다(호스트·SDK에 따라 세부는 다를 수 있다).
\ntools/list 또는 이에 상응하는 요청으로 도구 이름·설명·입력 스키마를 받는다.tools/call 형태로 인자가 전달되고, 서버는 구조화된 결과를 돌려준다.여기서 중요한 점은, 모델이 “도구를 호출했다”는 사실은 호스트 쪽에서도 관찰 가능해야 한다는 것이다. 그래서 운영 팀은 호스트 로그와 MCP 서버 로그를 상관관계(correlation id) 로 묶는 것을 권장한다. 예를 들어 사용자 세션 ID나 요청 ID를 도구 핸들러 인자에 넣지는 않더라도, 로그 한 줄에 같은 ID를 남겨 추적 가능하게 한다.
\nMCP는 내부적으로 JSON 메시지를 주고받는다. 직접 패킷을 만질 일은 SDK가 줄여 주지만, 장애 분석할 때는 “요청 ID”, “에러 객체”, “부분 실패”를 이해해야 한다.
\ncode, message, data를 구조화해 돌려줄 수 있다. 사용자에게 보여 줄 문구와, 개발자가 디버깅할 상세는 분리하는 것이 좋다.Cursor를 예로 들면, 사용자는 설정 파일에 MCP 서버 실행 커맨드를 등록한다. 정확한 키 이름과 스키마는 제품 업데이트로 바뀔 수 있으므로 공식 문서를 항상 우선하라. 여기서는 “무엇을 채워야 하는지” 수준만 적는다.
\nnode 혹은 npx, uvx 등 실행 파일--port 같은 인자NODE_ENV, 사내 프록시 URL자주 발생하는 실수는 상대 경로를 앱이 실행되는 cwd 기준으로 해석한다는 점이다. 팀 저장소 루트에 mcp-servers/wiki가 있다면, cwd를 명시하거나 절대 경로를 쓴다.
현장에서 바로 쓸 수 있는 순서다.
\nQ. REST로 다 할 수 있는데 MCP가 꼭 필요한가?
\nA. 필수는 아니다. 다만 에디터·에이전트 생태계에서 재사용과 표준화를 노린다면 MCP가 유리한 경우가 많다. 이미 REST 게이트웨이가 잘 갖춰져 있고, 통합 대상이 한두 개라면 굳이 옮기지 않아도 된다.
Q. 사내 규정상 모델은 온프레미스만 쓴다. MCP는 괜찮은가?
\nA. MCP는 프로토콜이지 특정 클라우드가 아니다. 다만 호스트가 외부로 데이터를 보내는지, MCP 서버 응답이 로그에 남는지는 데이터 분류 정책과 함께 검토해야 한다.
Q. 도구가 너무 많으면 모델이 헷갈리지 않나?
\nA. 그렇다. 그래서 프로파일별로 서버를 나누거나, 세션 시작 시 필요한 도구만 활성화하는 패턴이 나온다. “전부 켜기”는 편해 보여도 품질을 떨어뜨린다.
Q. 테스트는 어떻게 하나?
\nA. 도구 핸들러는 순수 함수에 가깝게 분리하고, 단위 테스트로 입력 스키마 검증·외부 API 모킹을 한다. 통합 테스트는 실제 MCP 클라이언트를 띄우기보다, 서버를 직접 호출하는 스크립트로 스모크 테스트하는 팀도 많다.
Q. 버전 업으로 도구 스키마가 바뀌면?
\nA. 시맨틱 버저닝을 도구 이름에 반영하거나(search_wiki_v2), 마이그레이션 기간 동안 구버전을 병행 제공한다. 모델이 예전 스키마로 호출하는 혼선을 줄이려면, 설명문(description)에 “deprecated, 대신 X 사용”을 명확히 쓴다.
가장 흔한 첫 도구는 내부 문서 검색이다. 이때 팀은 보통 다음 갈림길에 선다.
\n이 세 가지를 문서화한 뒤에야, 검색 품질 튜닝과 프롬프트 개선이 의미 있는 반복이 된다. 기술만으로는 부족하고, 정보 설계와 권한 모델이 함께 가야 한다.
\nMCP는 통합 비용을 낮출 수 있는 좋은 방향이다. 하지만 무엇을 노출할지는 여전히 우리의 몫이다. 작은 도구부터, 읽기부터, 로그부터 시작해 점진적으로 확장하라. 그리고 항상 한 가지를 기억하라. 가장 위험한 것은 강력한 도구가 아니라, 감사 없는 도구다.
","tableOfContents":"