1. 개요 및 필요성
지금까지의 AI 에이전트들은 뛰어난 성능에도 불구하고 고립된 사일로 환경에서 독립적으로 동작한다는 한계가 존재함.
서로 다른 벤더나 프레임워크로 개발된 에이전트 간의 상호 호환성이 부족하여, 기업의 복잡한 워크플로우를 자동화하는 데 제약이 있음.
* 사일로 - 부서 또는 조직 단위로 IT 인프라 및 자체 솔루션을 구축해서 사용할 때 각 부서, 사업단위나, 데이터가 일치하지 않는 현상
↓
서로 다른 환경에서 하나의 언어로 대화할 수 있는 표준 프로토콜의 필요성
AI 에이전트 표준 프토토콜의 장점
- 연동 방식이 단순해져 시스템 통합 소요 비용 절감 및 개발 생산성 향상
- 데이터 소스 한번에 연결 가능 -> 여러 AI 솔루션 도입 활용 가능
- AI 도입 장벽을 낮추고 AI 전반의 협업과 혁신 가속 효과
2. 주요 프로토콜 기술 설명
1) MCP(Model Context protocol)
LLM 기반 AI 에이전트를 외부 데이터와 도구, 애플리케이션에 연결하기 위한 표준 프로토콜. USB가 다양한 기기를 하나의 규격으로 연결하는 것처럼 MCP는 AI와 소프트웨어를 하나의 규격으로 연결함
아키텍처
- MCP Host - AI 에이전트 자체
- MCP Server - 외부 서비스 또는 애플리케이션
- MCP Client - Host 내부에 포함되어 Server와 1:1 통신을 담당하는 모듈
핵심 특징
- 도구 단위 표준화 - 각 서비스의 기능을 명확한 메타데이터를 가진 도구로 정의함
- 개발자 생산성 향상 - 한 번 MCP 서버로 구현하면 여러 Ai 에이전트에서 재사용 가능
- 벤더 조속성 감소 - 특정 모델에 종속되지 않고 동일한 방식으로 연동 가능
활용 시나리오
사용자가 AI에게 자연어로 지시 → AI가 적절한 MCP 서버 탐색 → MCP Client를 통해 요청 전달 → MCP Server가 실제 API 호출 → 결과를 다시 AI에게 반환
2) A2A( Agent-to-Agent) 프로토콜
MCP가 에이전트와 도구의 연결이라면, A2A는 에이전트와 에이전트 간 협업. Google이 서로 다른 조직·플랫폼에 속한 AI 에이전트들이 자연스럽게 협력할 수 있는 통신 규칙이 필요하다고 판단하여 등장함
설계 원칙
- 에이전트의 능력 수용 - A2A 프로토콜은 에이전트가 메모리, 도구, 컨택스트를 공유하지 않더라도 비체계적인 자연스러운 방식으로 협업할 수 있도록 지원
- 기존 표준을 기반으로 개발 - A2A 프로토콜은 HTTP, SSE, JSON-RPC 등 널리 사용되는 기존 표준 웹 기술을 기반으로 개발되어 기업에서 이미 사용 중인 기존 IT 스택과의 통합 용이
- 기본적인 보안 보장 - A2A 프로토콜은 OpenAPI에서 사용하는 인증 체계 수준에 준하는 엔터프라이즈급 인증 및 세분화된 권한 관리 기능을 지원
- 장기 실행 작업 지원 - A2A 프로토콜은 빠르게 처리해야 하는 작업부터, 심층 연구 작업까지 폭넓게 처리할 수 있으며, 과정 전반에 걸쳐 사용자에게 실시간 피드백, 진행 상황에 대한 알림, 작업 상태 업데이트 등을 제공
- 멀티모달(Multi-Modal) 지원 - A2A 프로토콜은 에이전트 간 주고받는 정보를 텍스트에 한정하지 않고, 필요에 따라 오디오 또는 비디오 스트리밍을 포함한 다양한 모달리티를 지원
핵심 특징
- 보안 협업 - 기업 환경에 맞게 엔터프라이즈 인증과 OpenAPI 기반 권한 부여를 지원하여 산출물을 안젆게 보호하고, 민감 데이터 혹은 지시 사항 역시 신뢰성 있게 전달 가능
- 작업 관리 - 에이전트 간 메시지는 모두 작업 단위로 표현되며 작업 객체에는 상태와 결과물이 포함됨. A2A 프로토콜을 통해 작업 진행 상황에 따라 상태 업데이트 혹은 중간 결과를 주고받을 수 있음 →작업 수명주기 추적 및 동기화 가능
- 사용자 경험 협상 - 메시지에 UI 구성 가능한 콘텐츠인 파트가 포함되어 있기 때문에 에이전트끼리 어떤 UI를 구성할지 명시적 협의 가능
- 기능 검색 - 에이전트는 수행할 수 있는 기능 목록을 JSON 형식의 에이전트 카드로 공개하여, 이를 통해 클라이언트 에이전트는 네트워크상에 존재하는 여러 에이전트의 능력을 탐색하고 특정 작업에 적합한 에이전트를 찾을 수 있음
3. A2A 프로토콜과 MCP의 상호 보완성
| 구분 | MCP | A2A |
| 목적 | AI 와 도구 연결 | AI 와 AI 협업 |
| 초점 | 기능 호출 | 역할 분담 및 조율 |
| 활용 | 단일 에이전트 확장 | 멀티 에이전트 시스템 |
4. AGNTCY 프로젝트
AGNTCY는 ‘에이전트들의 인터넷(IoA)’ 구축을 목표로 하는 프로젝트로, HTTP가 웹을 연결했듯이, AI 에이전트 생태계를 하나의 개방형 인프라로 묶는 것이다.
IoA 프레임워크 핵심 구성
- Agent Manifest(OASF) - 에이전트 기능 명세
- Agent Directory - 에이전트 검색 및 탐색
- ACP - 에이전트 연결 표준 프로토콜
* ACP와 A2A의 차이점: A2A는 사용자 중심의 실시간 협업이 중심이 되는 프로토콜이라면 ACP는 개발자 중심의 워크 플로우 설계 중심의 프로토콜임
개발 워크플로우
개발자가 멀티에이전트 앱을 만들 때 탐색→ 구성 → 배포 → 평가 4단계를 거치도록 지원함. 예를 들어, 개발자는 '이메일 작성 에이전트'와 '이메일 검토 에이전트'를 디렉토리에서 찾아 ACP로 연결하고, 데이터 형식이 다르면 'I/O 매퍼 에이전트'를 중간에 끼워 넣어 해결할 수 있음.
5. 시사점
AI 에이전트 개방형 프로토콜은 상호 운용성을 확대하는 핵심 기술로 주목받고 있으나, 여전히 해결해야 할 과제도 존재한다. 우선 에이전트 간 신뢰 확보, 개방형 프로토콜 구조를 악용한 보안 위협, 성능 및 구현 세부 사항 등은 지속적으로 보완이 필요함.
다만, 표준 프로토콜은 개발자에게는 반복 개발 부담을 줄이고, AI 서비스 제공자에게는 시장 접근성을 높이며, 사용자에게는 더 강력하고 통합된 AI 경험을 제공하는 win-win 구조를 형성함. 개방형 프로토콜을 중심으로 AI 에이전트 표준이 점차 정립될 것으로 예상되며, 커뮤니티와 산업 전반의 참여가 확대될수록 AI 에이전트 생태계의 신뢰성과 완성도 또한 함께 높아질 것으로 기대됨.
+) 해결 과제 중, 개방형 프로토콜 취약점 악용 시도가 있어서, 개방형 프로토콜과 보안에 대해 좀 더 조사해보았다.
1. 보안 분야에서의 MCP 활용
보안 분야에서도 표준 프로토콜이 반복적이고,복잡한 보안 업무를 자동화하고 가속화하는 영역에 활용됨
- 위협 인텔리전스 강화 - 외부 위협 인텔리전스 플랫폼에 실시간으로 접속하여 최신 정보를 분석하고 위협을 탐지
- 자동화된 취약점 분석 - AI가 MCP 서버를 통해 자동화된 스캐닝 도구를 실행하여 웹 애플리케이션이나 네트워크의 취약점을 분석하고 보고서 생성
- 사고 대응 및 분석 - AI가 MCP 서버를 통해 관련 시스템 로그, 네트워크 트래픽 데이터 등을 신속하게 수집하고 분석하여 사고의 원인과 영향 파악
- 보안 관제 효율화 - 보안 분석가가 자연어로 AI에게 요청하면, AI가 MCP 서버를 통해 여러 보안 장비(SIEM, EDR 등)의 데이터를 통합 분석하여 결과 제공
but, 이러한 편리함과 접근성을 제공하는 메커니즘이 공격자에게도 해당함. 특히, MCP는 벤더에 종속되지 않는 개방형 표준으로 빠르게 확산되고 있는데 이 계층은 민감 시스템을 횡단하는 공통 통신 규격으로 작동하고 있어, 서버 구현체에서 단 하나의 취약점이 발견될 경우 다수의 기업 환경에 동시에 적용될 수 있는 구조적 위험을 가짐.
관련 취약점
- 문맥 조작 - 공격자가 위조된 문맥을 주입해 LLM이나 에이전트를 악의적으로 조작했으며, 이 과정에서 비인가 명령 또는 허가 받지 않은 데이터 접근
- 권한 위임 오용 - 과도한 인증 위임 또는 인증 체계의 미비로 인해 인가되지 않은 에이전트가 높은 권한 작업을 수행
- 모델 오작동 유도 - 비정상적 문맥 구조를 통해 AI 모델의 비의도적 또는 비윤리적 출력을 유도
- 감사 및 추적 불가 - 문맥의 전달 경로가 기록되지 않거나 표준화되지 않아 보안 감시 및 사고 대응이 어려움
- Tool Poisoning Attack(TPA) - MCP 도구 설명 내부에 악성 명령을 삽입하고, 사용자는 이를 인지하지 못한 채 실행하여 민감 정보 유출이나 시스템 권한 탈취
→ MCP에서 발견되는 보안 결함은 기존 웹 및 API 취약점이 AI 환경에서 재현된 결과이며, 개발자들이 LLM을 신뢰한 나머지 MCP 도구를 일반적인 API 엔드포인트로 인식하지 못하는 인지적 편향에서 비롯됨. 또한, AI 에이전트를 위한 명확한 신원 모델이 부재해 권한 위임과 감사 추적이 어려워진다는 구조적 문제가 있으며, 이는 개별 취약점이 아닌 비인간 에이전트를 위한 IAM 부재의 영향도 존재함.
대책 및 가이드
| MCP 체크리스트 | MCP Security Checklist |
| MCP 보안 프레임워크 | MCP Security Framework (OWASP, Research) |
| A2A 보안 가이드 | A2A Protocol Security Features/Standards |
| 국제규범/규제 | PCI DSS, HIPAA 등 |
| 신뢰공유/데이터보안 원칙 | Zero Trust, Data Sharing Guide |
- 엄격한 인증 및 권한 관리 필요 - 모든 에이전트, 서버, 도구에 대해 OAuth, mTLS 등을 시행하여 비인가 접근 차단/최소 권한 원칙 적용
- 입력 검증 및 문맥에 대한 모니터링 시행
- 도구 및 서버 신뢰 수준 관리 시행
- 감사와 추적의 표준화 - 요청, 응답, 문맥 전달 및 권한 변경 이력을 표준화된 감사 로그로 기록, 이상 행동을 실시간 탐지(Anomaly Detection)하는 체계를 구현
- 데이터 최소화 및 분리 보관
- 공급망 및 전이 공격 대비책
참고
KISA. AI 에이전트 개방형 프로토콜의 기술 현황 및 시사점(2025년 심층보고서[제7호])
MCP, A2A 등의 프로토콜이 보안에 미치는 영향 - Security & Intelligence 이글루코퍼레이션