Molayo

© 2026 Molayo

Dev.to헤드라인2026. 05. 21. 07:20

Anthropic의 MCP 터널과 셀프 호스팅 샌드박스: 에이전트를 보안 경계 내에 유지하기

요약

Anthropic이 Claude 에이전트를 기업 보안 경계 내에서 안전하게 배포할 수 있도록 MCP 터널과 셀프 호스팅 샌드박스 기능을 출시했습니다. MCP 터널은 인바운드 포트 개방 없이 프라이빗 네트워크의 MCP 서버에 연결하며, 셀프 호스팅 샌드박스는 에이전트의 도구 실행 환경을 사용자의 인프라로 이동시켜 데이터 보안을 강화합니다.

핵심 포인트

  • MCP 터널은 아웃바운드 전용 연결과 3중 암호화 계층을 통해 프라이빗 네트워크를 안전하게 노출하지 않고도 Claude와 연결합니다.
  • 셀프 호스팅 샌드박스는 에이전트의 코드, 파일 시스템, 네트워크 이그레스를 사용자의 인프라 내에 격리하여 실행합니다.
  • MCP 터널은 Anthropic이 사용자 서버에 접근하는 방식을 제어하고, 셀프 호스팅 샌드박스는 도구가 실행되는 위치를 제어합니다.
  • Cloudflare, Daytona, Modal, Vercel 등을 위한 사전 구축된 워커를 지원하여 도입 편의성을 높였습니다.

Anthropic은 Claude 에이전트를 위한 두 가지 새로운 인프라 기능인 MCP 터널(MCP tunnels)과 셀프 호스팅 샌드박스(self-hosted sandboxes)를 조용히 출시했습니다. 이 중 어느 것도 Claude를 더 똑똑하게 만드는 것에 관한 것이 아닙니다. 두 기능 모두 실제 기업 보안 경계(security perimeter) 내에서 안전하게 배포하는 것에 관한 것입니다. 이들은 서로 다른 문제를 해결합니다. 하나가 필요할 수도 있고, 다른 하나가 필요할 수도 있으며, 혹은 둘 다 필요할 수도 있습니다.

실제로 무엇이 바뀌었을까요?

MCP 터널은 인바운드 방화벽 포트를 열거나 서비스를 공용 인터넷에 노출하지 않고도 Claude가 사용자의 프라이빗 네트워크에서 실행되는 MCP 서버에 연결할 수 있게 해줍니다. 이 메커니즘은 아웃바운드 전용 연결(Cloudflare를 전송 계층으로 사용)이며, 세 가지 독립적인 암호화 계층을 운반합니다: Anthropic과 터널 엣지(edge) 사이의 상호 TLS (mutual TLS), Anthropic의 백엔드와 사용자의 프록시 사이의 내부 TLS (inner TLS), 그리고 각 개별 MCP 서버에서의 OAuth 인증입니다. 결정적으로, Cloudflare는 연결 메타데이터(타이밍, 바이트 양, 서브도메인 등)는 볼 수 있지만, 프록시가 사용자만이 보유한 인증서를 사용하여 내부 TLS를 종료(terminate)하기 때문에 MCP 요청 또는 응답 페이로드를 읽을 수는 없습니다. 노출되는 각 프라이빗 MCP 서버는 사용자의 터널 도메인 아래의 호스트 이름(예: docs.<your-tunnel-domain>)을 할당받습니다. 이러한 호스트 이름을 콘솔(Console)의 Managed Agent 세션에 연결하거나 MCP 커넥터를 통해 Messages API로 전달할 수 있습니다.

"트래픽은 아웃바운드 전용 연결을 통해 흐르므로, 인바운드 방화벽 포트를 열거나, 서비스를 공용 인터넷에 노출하거나, 오리진(origin)에 Anthropic의 IP 범위를 화이트리스트에 추가할 필요가 없습니다." — Anthropic 문서

셀프 호스팅 샌드박스는 별개의 문제, 즉 에이전트의 코드가 실제로 어디에서 실행되는지를 해결합니다. 기본적으로 Claude Managed Agents는 Anthropic이 관리하는 클라우드 컨테이너 내부에서 도구(tools)를 실행합니다. 셀프 호스팅 샌드박스는 도구 실행을 사용자가 제어하는 인프라로 이동시키되, 오케스트레이션(orchestration)은 Anthropic 측에 유지합니다. 에이전트의 코드, 파일 시스템 및 네트워크 이그레스(egress)는 사용자의 환경을 절대 벗어나지 않습니다. 이 아키텍처는 사용자의 자체 인프라에서 실행하는 작은 "환경 워커(environment worker)" 프로세스로 구성됩니다.

이 프로세스는 Anthropic이 관리하는 작업 큐(work queue)를 폴링(poll)하고, 세션을 점유하며, 에이전트 기술(agent skills)을 다운로드하고, 도구 호출(tool calls)을 로컬에서 실행한 뒤 결과를 다시 게시합니다. Cloudflare, Daytona, Modal, Vercel을 위한 사전 구축된 워커(workers)가 존재합니다. CLI 및 SDK에는 상시 가동되는 폴러(pollers)와 웹훅 트리거(webhook-triggered) 아키텍처 모두를 위한 헬퍼(helpers)가 포함되어 있습니다. 이해할 가치가 있는 설계상의 차이점은 다음과 같습니다. 이들은 독립적인 제어 요소입니다: MCP 터널(tunnels)은 Anthropic이 사용자의 MCP 서버에 도달하는 방식을 제어합니다 — 즉, 포트를 개방하지 않고도 프라이빗 네트워크에 접근할 수 있게 합니다. 셀프 호스팅 샌드박스(Self-hosted sandboxes)는 에이전트의 도구가 실행되는 위치를 제어합니다 — 즉, Anthropic의 컨테이너가 아닌 사용자의 컴퓨팅 자원을 사용합니다. 클라우드 호스팅 에이전트 세션은 터널을 사용하여 프라이빗 MCP 서버에 도달할 수 있습니다. 셀프 호스팅 세션은 터널링된 MCP 서버 또는 퍼블릭 MCP 서버를 모두 사용할 수 있습니다. 실행과 도구 접근이 모두 사용자의 경계 내에 머물러야 할 때는 두 가지를 모두 사용하십시오. 타겟 대상은 명확합니다: 데이터 거주성(data residency), 네트워크 격리(network isolation), 감사 제어(audit controls)가 타협 불가능한 규제 산업(금융, 의료, 정부)이며,

AI 자동 생성 콘텐츠

본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.

원문 바로가기
0

댓글

0