AI 에이전트가 비즈니스 시스템과 깊게 연결될수록 팀의 본능은 하나입니다. “도구를 더 붙이자.” 그런데 dev.to의 「Why Your AI Agent Doesn't Need More Tools…」가 찌르는 포인트는 반대예요. 6개월만 지나면 문제는 ‘툴 부족’이 아니라 툴 스프롤(도구 난립) + 승인/권한/감사 부재로 바뀝니다. 이 순간부터 에이전트의 예측 가능성이 깨지고, 사고 대응 비용이 올라가며, 무엇보다 고객 신뢰가 흔들려 CVR 하락과 churn 상승으로 직결됩니다.
툴 스프롤은 단순한 보안 이슈가 아닙니다. 도구 목록이 늘수록 모델은 컨텍스트 윈도우를 도구 설명에 더 쓰고, 선택지가 많아질수록 “어떤 도구를 써야 하지?”라는 추론 난이도가 급격히 올라갑니다. 결과는 작업 성공률 하락입니다. 즉 Least Privilege는 보안 원칙이면서 성능 최적화 원칙입니다(동 기사 요지). 에이전트가 40개 도구를 ‘볼 수 있는’ 상태는, 사용자가 기능을 너무 많이 마주쳐 온보딩에서 이탈하는 것과 같은 구조적 마찰입니다.
맥락을 더 넓히면, MCP 도입이 진행되는 조직에서 “도구 연결”을 앱 설정으로 취급하는 순간 툴 스프롤 타임라인이 자동으로 시작됩니다. 팀별로 MCP 서버를 붙이고, 중복된 Slack 연결이 생기고, “임시로” 열어둔 프로덕션 DB 권한이 영구화되고, 종료된 프로젝트의 크리덴셜이 남습니다. 그 다음은 예외 없이 ‘사건’이고, 사후 조치로 나오는 문서화는 2주 만에 구버전이 됩니다(dev.to 기사 사례). 이건 팀의 дисцип린 문제가 아니라 플랫폼 부재 문제입니다.
여기서 실행 프레임은 명확합니다. 첫째, MCP 도구 접근을 ‘코드’가 아니라 ‘인프라 정책’으로 승격해야 합니다. 중앙 레지스트리에 도구를 1회 등록하고(설명/오너/정책 포함), 에이전트는 역할(Role) 기반으로 접근을 요청하며, 정책 변경이 배포 없이 즉시 반영되는 구조가 필요합니다. 가시성(Inventory), 책임(Owner), 감사(Logs), 예측 가능성(Scoped tools)이 한 번에 생깁니다. TrueFoundry가 MCP Gateway로 이 레이어를 제공한다고 소개하는 것도 같은 방향성입니다(첫 번째 dev.to 글).
둘째, 거버넌스의 ‘마지막 1m’는 검증(서명) 레이어입니다. dev.to의 「Is that MCP request actually from your AI agent」가 보여주듯, 도구 호출에 서명이 있어도 서버가 검증하지 않으면 신뢰 사슬이 끊깁니다. 최근 Signet은 서버 검증과 더 나아가 양방향 공동 서명(bilateral co-signing)으로 “요청-응답이 한 쌍이었다”는 영수증(Receipt)을 남기는 쪽으로 진화했습니다. 이건 단순 보안이 아니라 운영의 무기입니다. 장애/오작동/금액 오류 같은 분쟁 상황에서 “무슨 일이 있었는지”를 로그가 아니라 암호학적으로 증명할 수 있으면, 조사 비용과 다운타임을 크게 줄여 LTV를 방어합니다.
셋째, 가장 민감한 시스템부터 ‘거버넌스가 내장된 MCP 서버’로 열어야 합니다. DBmaestro의 MCP 서버 사례(dev.to 「Databases Finally Got an Agent…」)가 상징적입니다. 데이터베이스는 환각+권한 실수가 커리어를 끝내는 영역이라 자동화가 더뎠는데, DBmaestro는 RBAC·컴플라이언스·감사 추적을 유지한 채로 에이전트를 연결합니다. 여기서 메시지는 하나: 연결성(connectivity)이 제품이 아니라 거버넌스(governance)가 제품이라는 것. 규제/감사 요구가 있는 업종일수록 이 접근이 곧 도입 속도(=세일즈 사이클)와 직결됩니다.
그로스 관점 시사점은 더 노골적입니다. 툴 스프롤이 쌓이면 (1) 사고 리스크로 엔터프라이즈 딜이 지연되고, (2) 권한 이슈로 기능이 제한되며, (3) 예측 불가능한 동작으로 고객 CS가 폭증하고, (4) 보안/플랫폼 팀이 수동 관리에 매몰되어 실험 속도가 죽습니다. 반대로 레지스트리 기반 툴 거버넌스 + 양방향 서명을 기본값으로 만들면, 에이전트 기능 확장이 곧바로 “신뢰 가능한 자동화”가 되고, 그 신뢰가 전환과 리텐션을 지지합니다. 여기서 CAC도 내려갑니다. 보안/감사 질문에 즉답이 가능해지면, 구매 의사결정의 마찰이 줄고 레퍼런스/소개가 늘어 바이럴 계수에도 간접적으로 영향을 줍니다.
전망: 2026년은 ‘에이전트가 무엇을 할 수 있나’보다 ‘어떻게 통제되고 증명되나’가 경쟁력이 됩니다. MCP는 연결 표준을 만들었고, 다음 파도는 정책 집행(Registry/Approval/RBAC)과 신뢰 프로토콜(Signing/Receipt/Verification)이 표준 스택으로 굳어지는 국면입니다. 지금 해야 할 일은 도구를 더 붙이는 게 아니라, 도구를 붙일수록 더 안전해지는 구조를 만드는 것입니다. 에이전트 거버넌스는 비용 센터가 아니라, 전환·리텐션을 지키는 성장 인프라입니다.