MCP OAuth 2.1 토큰 브로커 실전 가이드: 에이전트 권한분리 아키텍처 (2026)
MCP 서버를 운영할 때 가장 많이 터지는 인증·권한 이슈를 OAuth 2.1 토큰 브로커 패턴으로 정리했습니다. 비용·구현난이도·보안강도를 비교하고, 2주 내 도입 가능한 절차를 제공합니다.
1) 문제 정의
대상 독자는 사내 MCP 서버를 운영하거나, AI 에이전트를 SaaS/내부 시스템에 연결하려는 백엔드·플랫폼 엔지니어입니다. 실제 운영에서 가장 자주 발생하는 문제는 장기 API 키 노출, 에이전트 권한 과다 부여, 감사로그 부재입니다.
이 글은 MCP 연동 구간에서 OAuth 2.1 기반 토큰 브로커를 도입해 권한을 분리하는 방법을 다룹니다. 범위는 서버-서버/사용자 위임 혼합 시나리오이며, 모바일 퍼스트 로그인 UX 최적화나 IdP 제품 선택 자체는 제외합니다.
2) 근거 및 비교
| 접근 | 초기 비용 | 운영 복잡도 | 보안 강도 | 권장 상황 |
|---|---|---|---|---|
| 정적 API Key 공유 | 낮음 | 낮음 | 낮음 | 개인 실험, 폐쇄망 PoC |
| 서비스 계정 단일 토큰 | 중간 | 중간 | 중간 | 소규모 내부 자동화 |
| OAuth 2.1 토큰 브로커 + 세분 스코프 | 중간~높음 | 중간~높음 | 높음 | 팀/고객 데이터가 섞이는 프로덕션 |
OAuth 2.1 BCP는 Implicit/Password grant 제거, PKCE 기본화 등 "안전한 기본값"을 요구합니다. 여기에 MCP의 도구 호출 특성을 결합하면, 에이전트가 직접 장기 키를 보유하지 않고 짧은 만료 토큰 + 최소 스코프로 호출하도록 설계하는 것이 합리적입니다.
3) 단계별 실행 방법
Step 1. 권한 경계 정의 (반나절)
도구를 읽기/쓰기/관리 3단계로 나누고 스코프를 분리합니다. 예: docs.read, docs.write, admin.rotate_keys.
Step 2. 토큰 브로커 배치 (1일)
MCP 서버 앞단에 브로커 API를 두고, 브로커만 IdP와 통신하게 만듭니다. 에이전트는 브로커에 단기 토큰 발급 요청만 수행합니다.
Step 3. 토큰 정책 설정 (반나절)
Access Token TTL 5~15분, Refresh Token 회전(1회성), audience 고정, 발급시 jti 기록을 기본값으로 둡니다.
Step 4. 도구별 정책 강제 (1일)
MCP tool registry에 스코프 매핑을 강제합니다. 예: tool=export_finance_csv는 finance.export 없으면 403 반환.
Step 5. 운영 검증 (2~3일)
침해 가정 리허설(토큰 탈취/재사용/권한상승) 3종을 수행하고, 탐지 시간(MTTD)·차단 시간(MTTR)을 계측합니다.
예시 정책(요약)
{
"tool": "crm.update_contact",
"required_scopes": ["crm.write"],
"token_ttl_sec": 600,
"aud": "mcp-gateway",
"deny_if_user_context_missing": true
}
4) 실수/함정(Pitfalls)
- 함정 1: 스코프를 "*"로 시작 — 예방: 초기부터 최소 권한 템플릿(읽기/쓰기/관리)으로 분리하고, 신규 도구는 기본 거부(deny-by-default) 정책을 적용합니다.
- 함정 2: 토큰 TTL을 길게 설정 — 예방: 내부망이라도 15분 이내를 기본으로 두고, 실패 시 자동 재발급 로직으로 UX를 보완합니다.
- 함정 3: 감사로그에 사용자/에이전트 구분 없음 — 복구:
sub,act(actor),tool,scope,jti를 한 이벤트로 남겨 추적 가능성을 확보합니다.
5) 실행 체크리스트
- 도구별 required scope가 문서와 코드에 동일하게 반영되었는가?
- Access Token TTL이 15분 이하로 설정되었는가?
- Refresh Token 회전/폐기 정책이 활성화되었는가?
- 토큰 audience와 issuer 검증이 모든 API 게이트웨이에서 강제되는가?
- 403/401 로그에서 tool·scope·actor를 확인할 수 있는가?
- 권한상승 시도(없는 scope) 테스트가 CI 보안 테스트에 포함되었는가?
Definition of Done: 2주 파일럿 기간 동안 "과다권한 호출 0건"과 "토큰 재사용 공격 차단율 100%"를 충족하면 운영 전환 완료로 본다.
6) 참고자료
- IETF OAuth 2.1 Draft (확인일: 2026-02-25)
- RFC 9700: OAuth 2.0 Security Best Current Practice (확인일: 2026-02-25)
- Model Context Protocol Specification (2025-06-18) (확인일: 2026-02-25)
- OWASP OAuth 2.0 Cheat Sheet (확인일: 2026-02-25)
- Auth0 Docs: Refresh Token Rotation (확인일: 2026-02-25)
7) 작성자 관점(Author Viewpoint)
제 추천은 명확합니다. 프로덕션 MCP 환경에서는 정적 키 공유를 끝내고 토큰 브로커 패턴으로 전환해야 합니다. 초기 구현비가 늘더라도, 사고 대응 비용(보안 사고·감사 대응·고객 신뢰 훼손) 대비 기대손실을 크게 줄입니다.
비추천은 "내부망이니까 안전하다"는 가정입니다. 예외적으로 완전 분리된 단기 PoC는 서비스 계정 단일 토큰으로 시작할 수 있지만, 고객 데이터나 다부서 접근이 시작되는 순간 OAuth 2.1 최소권한 모델로 전환해야 합니다.
공유하기
관련 글
Cohere Command A+ 해설: 에이전트 모델은 벤치마크보다 H100 2장 운영 경계와 도구 호출 통제를 먼저 봐야 하는 이유
코히어 Command A+ 공개는 단순한 새 오픈 모델 소식이 아니라, 기업이 에이전트 모델을 자체 인프라에서 어디까지 운영할 수 있는지 묻는 사건입니다. 218B MoE, 25B 활성 파라미터, W4A4 양자화, 도구 호출, RAG, 멀티모달을 기준으로 도입 판단 기준을 정리합니다.
Cloudflare AI Search 해설: RAG 앱은 프롬프트보다 인덱스 한도·크롤링·과금 경계를 먼저 설계해야 하는 이유
Cloudflare AI Search의 built-in storage, vector index, web crawling, 관리형 마이그레이션을 기준으로 RAG 앱의 한도·비용·검색 품질 경계를 실무 관점에서 정리했습니다.
공공기관 AI-레디 데이터 해설: LLM을 붙이기 전에 표준·메타데이터·품질 치료 루프부터 고정해야 하는 이유
AI타임스가 보도한 우리데이터클리닉 V1.0 출시를 계기로, 공공기관 데이터가 AI에 바로 쓰이려면 왜 일반 기업 데이터 정제와 다른 기준이 필요한지 실무 도입 절차로 정리했습니다.
AQ 테스트 해보기
지금 내 AI 활용 능력이 어느 수준인지 3분 안에 확인해보세요. 인지력, 활용력, 검증력, 통합력, 윤리감을 한 번에 진단하고 맞춤형 인사이트를 받아볼 수 있습니다.
무료 AQ 테스트 시작하기