에이전트 제품에서 성능 경쟁은 금방 평준화됩니다. 반면 CAC·전환·리텐션을 갈라놓는 건 단위경제(특히 COGS)와 보안/신뢰입니다. “AI가 비싸서 못 한다”는 말은 대개 토큰 단가보다 ‘통제 불가능한 비용 곡선’과 ‘운영 불안’에 대한 공포에 가깝습니다.
dev.to의 오픈소스+OpenRouter 구축 사례는 이 공포를 숫자로 깨는 쪽입니다. 특정 벤더 API에 올인하지 않고, 라우팅/폴백이 가능한 집합 API(OpenRouter) 위에 LangChain 같은 오케스트레이션을 얹어 “월 5달러 수준”까지 비용을 낮췄다는 주장(토큰 단가 10~50배 차이, 모델 선택 유연성)은 핵심이 명확합니다: 에이전트 COGS는 ‘모델 선택’이 아니라 ‘구조 선택’의 결과물입니다.
그로스 관점에서 이게 중요한 이유는 COGS가 곧 실험 속도이기 때문입니다. COGS가 낮아지면 (1) 무료 구간의 사용량 제한을 덜 공격적으로 걸 수 있고, (2) 온보딩에서 “한 번 더 써보게” 만드는 체험을 넉넉히 제공할 수 있으며, (3) 채널별 CAC가 높은 구간에서도 LTV 방어가 됩니다. 즉, 모델 라우팅은 단순 비용 절감이 아니라 퍼널 상단을 넓히는 ‘가격/제한 정책 실험 레버’가 됩니다.
하지만 비용만 낮추고 배포하면 곧바로 반대편에서 터집니다. MCP 관련 보안 글(dev.to)은 STDIO 실행이 “expected behavior”로 취급되며, 커맨드 문자열이 subprocess로 직행하는 구조가 ‘설정 한 번’으로 원격 코드 실행에 가까운 결과를 만들 수 있다고 지적합니다. 문제는 기술적 버그라기보다 신뢰 모델 붕괴입니다. 과거엔 로컬에서 믿을 수 있는 프로세스를 돌렸지만, 지금은 npm/pip/uvx로 설치되는 제3자 MCP 서버가 일반화되고 있습니다. 공급망이 커질수록 “툴 설치/연결”은 곧 공격면이 됩니다.
여기서 성장 손실은 매우 현실적입니다. 보안 사고는 (1) 엔터프라이즈 딜의 보안 심사에서 CAC를 폭증시키고, (2) 개인/팀 유저의 D7·D30 리텐션을 ‘불안감’으로 깎고, (3) 결제 전환에서 “권한을 줘도 되나?”라는 마지막 마찰을 키웁니다. 에이전트는 계정·파일·키를 만지는 순간부터 ‘신뢰 상품’이 되며, 신뢰는 기능이 아니라 운영 설계로 쌓입니다.
그래서 실행 우선순위는 간단합니다. 첫째, COGS는 라우팅으로 낮추되(오픈소스 모델 포함), 호출마다 비용/토큰/지연을 로그로 남겨 ‘팀이 가격을 이해하는 상태’를 만드세요(오픈소스+OpenRouter 사례의 모니터링 래퍼가 이 방향). 둘째, MCP/툴 실행은 입력을 절대 커맨드 문자열로 통과시키지 말고 allowlist 기반으로 고정하세요(보안 글이 강조하는 “오늘 당장 해야 할 1가지”). 셋째, 샌드박싱·권한 최소화·툴 설명(prompt injection) 스캔을 방어심층으로 얹어, 유료 플랜에서 “보안 모드/정책”을 과금 포인트로 전환할 준비를 하세요.
과금 관점에서도 변화가 보입니다. 또 다른 dev.to 글은 금융 데이터 MCP 서버가 x402 마이크로페이먼트로 “툴콜당 $0.01”을 받는 모델을 소개합니다. 이는 에이전트 경제가 구독 중심에서 ‘행위 기반 과금(툴콜·워크플로·결과 단위)’으로 이동할 수 있음을 보여줍니다. 핵심은 사용량 기반 과금 자체가 아니라, 결제/키 관리/레이트리밋 같은 운영 부담을 프로토콜 레벨로 밀어 넣어 COGS와 마찰을 동시에 줄이는 구조입니다.
전망은 명확합니다. 에이전트 시장의 다음 경쟁은 “더 똑똑한 모델”이 아니라 “더 예측 가능한 단위경제 + 더 증명 가능한 신뢰”로 갑니다. COGS를 $5로 만드는 기술은 온보딩 체험을 확장해 전환을 밀어 올리고, STDIO 같은 실행 리스크를 봉인하는 보안 설계는 리텐션과 엔터프라이즈 CAC를 결정합니다. 싸게 만들고(확장), 안전하게 운영해(신뢰), 그 신뢰를 과금(정책/모드/컴플라이언스)으로 연결하는 팀이 결국 이깁니다.