핵심 이슈: 에이전트를 프로덕션에 올리는 순간, 세 가지 지뢰가 동시에 터진다
AI 에이전트를 팀 워크플로우에 본격 도입하려는 테크 리드라면, 화려한 데모 뒤에 숨은 세 가지 현실을 직시해야 합니다. 보안 취약점의 폭발적 증가, 예측 불가능한 토큰 비용, 그리고 컨텍스트 유실로 인한 생산성 증발. 이번 주 쏟아진 CVE 리포트와 실전 사용기를 종합하면, 이 세 가지는 독립된 문제가 아니라 에이전트 도입의 '불가능한 삼각형'으로 서로 맞물려 있습니다.
함정 1: MCP 서버는 2005년 웹 보안을 반복하고 있다
dev.to에 게재된 "The Agentic Attack Surface" 분석에 따르면, 2026년 2월 셋째 주에만 eBay MCP Server(CVE-2026-27203), Microsoft Semantic Kernel(CVE-2026-25592), Ray Dashboard(CVE-2026-27482) 등 치명적 취약점이 연달아 공개됐습니다. eBay MCP 서버의 경우, .env 파일에 개행 문자 하나도 검증하지 않고 직접 쓰는 코드가 그대로 배포됐습니다. 수정은 세 줄이면 끝나지만, 그게 배포됐다는 사실 자체가 문제의 본질입니다.
이걸 Claude한테 물어보니까, "MCP 서버는 기존 웹 앱보다 훨씬 넓은 공격 표면을 가진다"고 정리해주더라고요. 맞습니다. MCP 서버는 HTTP 응답만 내려주는 게 아니라, 파일 시스템을 읽고, 환경 변수를 쓰고, 저장된 자격 증명으로 API를 호출합니다. 그런데 보안 리뷰는 2005년 수준에 머물러 있어요.
더 충격적인 건 OpenClaw 사례입니다. r/netsec 커뮤니티의 평가는 냉혹했습니다: "구현이 아니라 개념 자체가 unsafe by design이다." 에이전트에게 유용성을 부여하는 도구가 곧 공격자에게 유용한 도구가 된다는 역설이죠. 실제로 Cline 공급망 공격에서는 GitHub 이슈 → AI 트리아지 봇 → 프롬프트 인젝션 → Actions 캐시 오염 → 프로덕션 자격 증명 탈취라는 완전한 공격 체인이 성립했습니다. 8시간 만에 4,000회 다운로드된 악성 패키지가 그 결과물입니다.
팀 대응법: 우리 팀에서는 MCP 서버 배포 전 MCPwner 같은 전용 보안 스캐너를 CI 파이프라인에 필수로 통합하고, .claude/, .cursor/, .github/copilot 디렉토리에 대한 명시적 시크릿 스캔 룰을 추가해야 합니다. 기본 보안 스캐너가 dot-path를 건너뛰는 건 이제 알려진 맹점이에요.
함정 2: 월 $847, 진짜 비용은 '복잡한 20%'에 숨어 있다
"I Spent $847 Running AI Agents for a Month"이라는 실전 사용기는 에이전트 비용의 구조를 적나라하게 보여줍니다. 코드 리뷰 에이전트 $312, 콘텐츠 파이프라인 $389, 모니터링 에이전트 $146. 핵심 발견은 비용이 사용량이 아닌 추론 복잡도에 비례한다는 겁니다. 전체 비용의 80%가 상위 20% 복잡한 태스크에서 발생했습니다.
이거 AI로 어떻게 하면 좋을까요? 답은 모델 라우팅입니다. 단순 헬스체크는 경량 모델($0.10/1M 토큰), 표준 태스크는 중급 모델($3/1M 토큰), 복잡한 추론만 최상위 모델($15/1M 토큰)로 분기하는 것만으로 40%를 절감했다고 합니다. 여기에 컨텍스트 윈도우 관리(장기 에이전트 대신 독립 서브에이전트 스폰), 반복 패턴 캐싱, 그리고 루틴 태스크에서 '추론 설명' 요구 제거까지 더하면 총 60% 절감이 가능했습니다.
팀 대응법: 에이전트를 프로덕션에 올리기 전, 최소 한 달간 모든 API 호출을 태스크·모델·토큰 단위로 추적하는 스프레드시트를 운영하세요. 측정 없이 최적화하는 건 감으로 아키텍처 짜는 것과 같습니다. AI가 생성해준 비용 추적 템플릿을 기반으로 우리가 팀 상황에 맞게 다듬으면 일주일이면 세팅 가능합니다.
함정 3: 컨텍스트 컴팩션은 '조용한 데이터 소실 이벤트'다
"Claude Code Lost My 4-Hour Session"이라는 포스트의 경험은 AI 코딩 어시스턴트 사용자라면 누구나 공감할 겁니다. 4시간짜리 인증 리팩토링 세션 중 컴팩션이 발동하면, 아키텍처 결정의 '왜'가 증발합니다. 경고도 없이요. 8K DOM 마크업을 40분간 작업하다 컴팩션이 터지면, 요약은 "유저가 DOM 마크업을 제공했음"이 전부이고 실제 내용은 사라집니다. 이후 Claude는 기억에서 셀렉터를 할루시네이션합니다.
한편, dev.to에 발표된 "Recursive Knowledge Crystallization" 프레임워크는 이 문제에 대한 구조적 해법을 제시합니다. 에이전트가 학습한 지식을 로컬 파일시스템의 마크다운(SKILL.md)으로 지속적으로 자기 기록·정제하는 방식입니다. 실험 결과, 10사이클의 반복 학습으로 포화된 SKILL을 완전히 새로운 환경에 전달했을 때 제로샷으로 완전한 코드를 생성하는 데 성공했습니다.
팀 대응법: 세션 스냅샷 자동화는 지금 당장 할 수 있는 $0 솔루션입니다. ~/.claude/projects/ 경로의 JSONL 파일을 주기적으로 백업하는 스크립트 한 줄이면 됩니다. 더 나아가, SKILL.md 패턴을 팀 표준으로 도입해 에이전트의 학습 결과를 프로젝트 레포에 커밋하면, 팀원 누구나 — 그리고 어떤 AI 도구든 — 동일한 컨텍스트에서 시작할 수 있습니다. 이건 단순한 편의 기능이 아니라, 에이전트의 지식을 팀 자산으로 전환하는 아키텍처 결정입니다.
시사점: 세 함정은 하나의 거버넌스로 묶인다
보안을 강화하면 검증 레이어가 늘어나 토큰 비용이 올라가고, 비용을 줄이려 컨텍스트를 축소하면 세션 유실 리스크가 커집니다. 이 삼각형을 깨는 열쇠는 레이어별 분리 전략입니다. 보안은 CI/CD에서 자동 스캔으로, 비용은 모델 라우팅과 서브에이전트 패턴으로, 컨텍스트는 파일시스템 기반 지식 결정화로 각각 독립적으로 관리해야 합니다.
전망: "Ship Fast, Audit Never"의 시대는 끝나야 한다
Bruce Schneier는 프롬프트 인젝션을 초기 접근 → 지속성 확보 → 데이터 유출로 이어지는 완전한 공격 킬 체인으로 규정했습니다. Perplexity가 Trail of Bits에 의뢰해 출시 전 보안 감사를 받고 결과를 공개한 것은 업계의 예외적 사례이지만, 이것이 표준이 되어야 합니다.
기획 단계부터 AI를 끼면 훨씬 효율적이에요 — 하지만 그 AI 에이전트 자체의 보안·비용·컨텍스트 관리를 기획 단계부터 설계하지 않으면, 효율성은 신기루가 됩니다. 팀원들에게 AI-First 마인드를 심어줘야 하는 것과 동시에, AI-First 리스크 마인드도 심어줘야 합니다. 이거 자동화하면 우리가 더 중요한 일에 집중할 수 있어요 — 그 '더 중요한 일'이 바로 에이전트를 감시하고, 검증하고, 거버넌스를 세우는 일이 된 거죠.