AI 에이전트를 제품에 붙이는 순간, 성장의 병목은 기능이 아니라 “승인”으로 이동합니다. 특히 B2B에선 보안/거버넌스 질문에 답을 못하면 POC가 길어지고, 보안 리뷰에서 멈추며, 결국 CAC가 올라갑니다. 최근 dev.to의 두 흐름—MCP 보안 프록시(‘MCPS’) 제품화와, README 한 줄로 비밀이 새는 실전 공격—은 ‘에이전트 보안 = 성장 레버’임을 증명합니다.
맥락부터 정리하죠. MCP(Model Context Protocol)는 에이전트가 외부 툴을 호출하는 사실상 표준이 됐습니다(Anthropic이 만들고 OpenAI가 채택, 주요 클라우드가 통합). 그런데 보안 레이어가 “표준에 기본 포함”되어 있지 않다는 게 핵심 문제입니다(dev.to ‘MCP Has No Security Layer…’). 무결성 검증, 리플레이 방지, 승인한 툴 정의가 바뀌지 않았는지 확인하는 장치가 없으면, TLS/OAuth가 있어도 ‘메시지 자체’는 중간에서 변조될 수 있습니다. 기업 환경의 HTTPS 검사 프록시가 TLS를 종단에서 깨는 현실을 감안하면 더 그렇고요.
이 공백을 ‘프록시’로 메우는 접근이 MCPSaaS입니다. 서버 코드를 고치지 않고 URL만 바꿔 에이전트↔MCP 서버 사이에 보안 게이트를 세웁니다. 메시지 서명/감사로그, 툴 정의 해시 핀(승인 후 변조 차단), 위험한 파라미터 패턴(명령 주입·경로 탐색·자격증명 접근 등) 차단까지 “전송 계층에서” 처리합니다. 중요한 포인트는 기술 디테일이 아니라 도입 마찰입니다. 보안 기능을 ‘SDK 통합’이 아니라 ‘프록시 설정’으로 바꾸면, 구매/승인까지의 리드타임이 줄어듭니다. 이건 곧 CAC 절감입니다.
반대편에서는 공격이 더 쉬워졌습니다. dev.to의 README 인젝션 사례는 충격적으로 단순합니다. 레포 README에 정상적인 설치 단계처럼 보이는 한 줄을 숨기면, 코딩 에이전트가 이를 따라 .env나 SSH 키를 외부로 전송하는데 85% 성공했다는 보고가 나왔습니다(Help Net Security 인용, dev.to ‘A README File Told…’). 사람은 못 잡습니다(15명 모두 미탐). 즉 “입구(프롬프트/문서)를 완벽히 막는 전략”은 확률적으로 실패하고, “출구(데이터가 나가는 순간)를 감시/차단”하는 DLP/무결성/감사 체계가 현실적 방어선이 됩니다.
성장 관점 시사점은 명확합니다. 에이전트 보안은 ‘리스크 관리 비용’이 아니라 퍼널 효율 장치입니다. - 전환(POC→유료) 개선: 보안 질문에 문서+로그+통제를 즉시 제시하면 보안팀 왕복이 줄어듭니다. “에이전트가 무엇을 호출했고 무엇을 보냈는지”가 증적(감사로그)으로 나오면, 승인 속도가 빨라집니다. - 리텐션 방어: 한 번의 유출/오작동은 해지 사유 1순위입니다. 특히 멀티 에이전트 운영에선 ‘누가 무엇을 바꿨나’가 안 남으면 장애 복구 시간이 늘고 신뢰가 떨어집니다(파일 기반 거버넌스로 13개 에이전트를 통제한 사례도 같은 맥락, dev.to ‘Nervous System’). - CAC 절감: 보안/거버넌스가 패키징되면 세일즈 엔지니어링 투입량이 줄고, 보안 심사 리드타임이 짧아져 동일 파이프라인에서 더 많은 딜을 닫습니다.
바로 실행할 체크리스트/실험 설계로 바꿔보면: 1) ‘Transport-layer Security’ 온보딩 실험: 엔터프라이즈 온보딩 단계에 “프록시 한 줄 변경으로 감사로그/무결성 제공” 플로우를 넣고, 보안 Q&A 왕복 횟수·보안 리뷰 소요일·POC→유료 전환율을 전후 비교하세요. 2) ‘출구 감시’ KPI 신설: 에이전트 툴콜의 아웃바운드 페이로드에서 시크릿/PII 탐지 건수, 차단률, 차단 후 정상 업무 지속률을 계측합니다. 목표는 ‘탐지 0’이 아니라 ‘유출 0 + 업무 중단 최소’입니다. 3) 툴 정의 해시-핀 적용 테스트: 툴 스키마/설명이 바뀌었을 때 실행을 막는 정책을 걸고, 오탐으로 인한 실패율과 실제 변경 사고 예방률을 함께 보세요. 보안은 “막는 비율”만 보면 제품성이 죽습니다. 4) 감사로그 → 세일즈 자산화: JSON 감사로그, SIEM 연동, OWASP MCP Top 10 매핑 같은 자료를 ‘보안 페이지/보안 패킷’으로 만들어, 인바운드→SQL 전환율과 세일즈 사이클 변화를 A/B로 측정하세요.
전망은 간단합니다. MCP 생태계가 커질수록 CVE/공격 벡터는 늘고, “에이전트가 읽는 모든 것”이 인젝션 표면이 됩니다. 결국 승자는 모델이 아니라 프로토콜/전송 구간에서 통제·무결성·감사·DLP를 기본값으로 제공하는 팀입니다. 보안 레이어를 ‘추가 옵션’이 아니라 ‘승인 시간을 줄이는 성장 기능’으로 재정의하는 순간, CAC는 내려가고 확장은 빨라집니다. 출처: dev.to의 MCP 보안 프록시(MCPS) 아티클과 README 인젝션 실험 보고를 종합했습니다.