Anthropic의 셀프 호스팅 샌드박스(Self-Hosted Sandboxes)와 MCP 터널(MCP Tunnels) 분석: 엔터프라이즈

기업의 인공지능 (AI) 도입을 가로막는 가장 큰 장애물은 모델의 성능이 아니었습니다. 진짜 병목 현상은 언제나 보안이었습니다. 자율 에이전트 (Autonomous Agents)가 내부 데이터베이스, 독점적인 내부 API, 그리고 매우 민감한 고객 데이터에 접근해야 할 때

이 모델은 사이드 프로젝트, 공개 데이터 처리, 그리고 가벼운 자동화에는 완벽하게 작동합니다. 하지만 의료 분야, 금융 산업, 또는 엄격한 **컴플라이언스 및 감사 요구사항 (compliance and audit requirements)**이 있는 엔터프라이즈를 위한 애플리케이션을 구축하고 있다면, 이러한 기본 아키텍처는 프로덕션(production) 단계로 나아가는 것을 가로막습니다. 귀사의 보안 태세 (security posture)에 따라 독점 코드, 고객 기록, 그리고 내부 자격 증명 (credentials)은 보호된 네트워크 환경을 절대 벗어나서는 안 되기 때문입니다.

만약 클라우드 호스팅 에이전트 (cloud-hosted agent)가 내부 데이터베이스 쿼리를 실행하거나 로컬 파일 시스템을 파싱해야 한다면, 전통적인 방식은 인바운드 방화벽 포트를 개방하거나 민감한 데이터를 외부 서버로 복사해야 합니다. 이는 내부 서비스를 공용 인터넷에 노출시키며 기본적인 데이터 레지던시 (data residency) 원칙을 위반합니다. 엔지니어링 팀들은 놀라운 프로토타입을 만들어내고도 내부 보안 심의 위원회에서 즉각 거부당하는 끝없는 루프에 갇혀 있었습니다.

아키텍처 패러다임의 전환: 두뇌와 손의 분리

이 문제를 해결하기 위해, Anthropic은 시스템을 **제어 평면 (Control Plane)**과 **데이터 평면 (Data Plane)**으로 분리하는 탁월한 아키텍처 분할 방식을 도입했습니다.

이 새로운 모델에서 **오케스트레이션 계층 (orchestration layer)**은 작업의 두뇌를 나타냅니다. 여기에는 컨텍스트 관리 (context management), 오류 복구 (error recovery), 복잡한 추론 (complex reasoning), 그리고 지속적인 에이전트 루프 (agent loop)가 포함됩니다. 이 지능적인 오케스트레이션은 Anthropic의 클라우드 인프라에 안전하게 유지됩니다.

**실행 계층 (execution layer)**은 작업의 손을 나타냅니다. 이곳은 실제 작업이 수행되는 곳입니다. 여기에는 도구 실행 (tool execution), 파일 시스템 접근 (filesystem access), 프로세스 생성 (process spawning), 그리고 네트워크 이그레스 (network egress)가 포함됩니다. 새로운 업데이트를 통해, 이 실행 계층은 귀하가 제어하는 인프라 내부로 완전히 이동합니다.

이러한 분리된 아키텍처 (split architecture)는 귀하의 에이전트가 방대한 독점 데이터셋 (proprietary dataset)을 분석하기 위해 Python 스크립트를 작성하기로 결정했을 때, 모델은 단순히 작성해야 할 코드에 대해 추론 (reasoning)만 수행한다는 것을 의미합니다. 해당 Python 스크립트의 실제 실행은 귀하의 방화벽 내부에서 이루어집니다. 에이전트가 읽는 파일, 생성하는 프로세스, 그리고 접근하는 내부 서비스는 귀하의 내부 네트워크 정책 (network policies) 및 **감사 로깅 (audit logging)**에 의해 완전히 제한됩니다. 민감한 데이터는 Anthropic의 인프라에 절대 닿지 않습니다. 귀하는 엄격한 데이터 거주성 (data residency) 요구 사항을 결코 타협하지 않으면서도, 관리형 클라우드 지능 플랫폼 (managed cloud intelligence platform)의 놀라운 신뢰성과 반복 속도를 얻을 수 있습니다.

심층 분석: 셀프 호스팅 샌드박스 (Self-Hosted Sandboxes)

이번 릴리스의 첫 번째 주요 구성 요소는 현재 퍼블릭 베타 (public beta)로 제공되는 **셀프 호스팅 샌드박스 (self-hosted sandbox)**입니다. 이 기능을 활성화하면, 민감한 파일, 독점 소프트웨어 패키지 및 백엔드 서비스를 귀하의 자체 인프라 내부 또는 신뢰할 수 있는 관리형 샌드박스 제공업체 내에 완전히 유지할 수 있습니다.

도구의 입력과 출력은 여전히 Anthropic 제어 평면 (control plane)으로 흘러가서 Claude 모델이 자신의 작업 결과를 확인하고 다음 논리적 단계를 결정할 수 있게 하지만, 실제 컴퓨팅 환경 (compute environment)은 귀하의 소유입니다. 귀하는 작업 큐 (work queue)를 능동적으로 폴링 (polling)하는 **환경 워커 (environment worker)**를 배포합니다. Claude가 도구를 호출해야 한다고 판단하면, 요청을 귀하의 로컬 워커로 라우팅합니다. 워커는 작업을 로컬에서 실행하고 최종 결과만을 모델에 반환합니다.

이 아키텍처는 귀하의 **런타임 구성 (runtime configuration)**에 대한 궁극적인 제어권을 제공합니다. 귀하가 환경을 소유하므로, 정확한 런타임 이미지 (runtime image), 사전 설치된 종속성 (dependencies), 사용 가능한 시스템 패키지를 직접 결정할 수 있습니다. 또한 리소스 크기 조정 (resource sizing)도 제어할 수 있습니다. 만약 귀하의 에이전트가 방대한 코드베이스를 컴파일하거나 복잡한 이미지를 생성하는 것과 같이 컴퓨팅 집약적인 워크로드 (compute-heavy workloads)를 실행하는 경우, 해당 작업에 필요한 정확한 CPU, 메모리 및 GPU 용량을 할당할 수 있습니다.

Anthropic은 출시 시점에 개발자들이 각자의 특정 워크로드 패턴에 따라 유연성을 가질 수 있도록 여러 매니지드 제공업체(managed providers)와 파트너십을 맺었습니다.

Cloudflare는 microVM 및 경량 격리(lightweight isolates)를 사용하여 엄청난 규모로 격리된 샌드박스(sandboxes)를 실행합니다. 이 옵션은 아웃바운드 네트워크 요청(outbound network requests)에 대해 매우 세밀한 제어가 필요한 상태 비저장(stateless) 작업에 완벽합니다. 제로 트러스트(zero-trust) 비밀 정보 주입(secrets injection)과 네트워크 송신(network egress)을 즉석에서 감사, 경로 재지정 또는 수정할 수 있는 맞춤형 프록시(proxies)를 제공합니다.

Daytona는 장시간 실행되고 완전히 상태 유지(stateful)가 가능한 완전한 구성 가능 컴퓨터(composable computers)를 제공함으로써 다른 접근 방식을 취합니다. 만약 에이전트가 며칠 동안 지속되는 환경이 필요하거나, 활성 SSH 연결이 필요하거나, 복잡한 백그라운드 프로세스를 유지해야 하는 경우 Daytona가 강력한 솔루션을 제공합니다.

Modal은 막대한 계산 능력을 요구하는 워크로드에 집중합니다. 만약 귀사의 엔터프라이즈가 무거운 데이터 과학 작업을 위해 CPU 또는 GPU 할당을 빠르게 확장해야 하는 인공지능 에이전트를 구축하고 있다면, Modal은 최적화된 인프라 계층을 제공합니다.

Vercel은 보안 샌드박스 격리(sandbox isolation)와 신속한 실행 환경을 결합하여 지원되는 파트너 라인업을 완성하며, 이를 통해 현대적인 웹 애플리케이션에 지능형 에이전트를 통합하는 것을 매우 쉽게 만들어 줍니다.

물론 개발자들이 이러한 제공업체들에 종속되는 것은 아닙니다. 플랫폼을 통해 원하는 모든 커스텀 샌드박스 클라이언트(sandbox client)를 가져올 수 있습니다. 환경 워커(environment worker)를 자체 보호 데이터 센터 깊숙한 곳에 있는 가상 머신(virtual machine)이나 베어 메탈(bare metal) Kubernetes 클러스터에 직접 배포할 수도 있습니다.

심층 분석: MCP 터널(MCP Tunnels)

셀프 호스팅 샌드박스(self-hosted sandboxes)가 에이전트가 코드를 실행하는 위치를 제어한다면, 두 번째 주요 기능은 다른 네트워킹 과제를 다룹니다. **모델 컨텍스트 프로토콜(Model Context Protocol, MCP)**은 개발자가 내부 시스템, API 및 데이터베이스를 지능형 에이전트가 호출할 수 있는 도구(tools)로 노출할 수 있게 해주는 표준화된 프로토콜입니다.

문제는 이러한 내부 **MCP 서버 (MCP servers)**가 공용 인터넷에 절대 노출될 수 없는 기업의 프라이빗 네트워크 (private enterprise networks) 내에 존재할 때 발생합니다. 전통적으로 클라우드 기반 에이전트를 프라이빗 네트워크에 연결하려면 네트워크 관리자가 인바운드 방화벽 규칙 (inbound firewall rules)을 열고 특정 IP 범위를 화이트리스트 (allowlist)에 추가해야 했습니다. 모든 개방된 인바운드 포트는 잠재적인 공격 벡터 (attack vector)가 되며, 이는 이러한 접근 방식을 거대한 보안 취약점 (security liability)으로 만듭니다.

Anthropic은 현재 리서치 프리뷰 (research preview)로 제공되는 **MCP 터널 (MCP tunnels)**의 도입을 통해 이 문제를 훌륭하게 해결했습니다. 이 기능은 전통적인 연결 모델을 완전히 뒤집습니다. Anthropic이 들어올 수 있도록 방화벽을 설정하는 대신, 프라이빗 네트워크 내부에 경량 소프트웨어 게이트웨이 (lightweight software gateway)를 배포합니다. 이 게이트웨이는 Cloudflare의 오픈 소스 터널 커넥터 (open-source tunnel connector)를 사용하여 터널 엣지 (tunnel edge)로 보안이 유지되는 아웃바운드 전용 (outbound-only) 연결을 시작합니다.

연결이 네트워크 내부에서 시작되어 외부를 향하기 때문에, 단 하나의 인바운드 방화벽 포트도 열 필요가 없습니다. 어떤 서비스도 공용 인터넷에 노출할 필요가 없습니다. 경량 게이트웨이는 Anthropic 라우팅 프록시 (routing proxy)로부터 암호화된 트래픽을 내부 서버로 직접 전달합니다.

이 방식을 통해 내부 도구를 노출하면, 지정된 터널 도메인 (tunnel domain) 하에 보안 호스트 이름 (secure hostname)을 할당받게 됩니다. 사용자는 단순히 콘솔의 세션에 이러한 호스트 이름을 연결하거나 애플리케이션 프로그래밍 인터페이스 (API)를 통해 프로그래밍 방식으로 전달하기만 하면 됩니다. **MCP 터널 (MCP tunnels)**은 프라이빗 리소스의 프라이버시를 유지하면서도, 권한을 부여받은 자율 에이전트 (autonomous agents)가 완전히 접근할 수 있도록 보장합니다.

하지만 네트워크를 연결하는 것은 문제의 절반에 불과합니다. 규제가 엄격한 산업 분야의 기업들은 액세스 제어 (access control) 및 ID 관리 (identity management)와 관련하여 추가적인 과제에 직면해 있습니다. 터널은 인프라를 연결하지만, 어떤 직원이 어떤 도구를 사용할 수 있는지를 본질적으로 제어하지는 않습니다. 바로 이 지점에서 엔터프라이즈 커뮤니티가 나섰습니다. Stacklok과 같은 플랫폼은 이미 필수적인 클라이언트 측 거버넌스 (client-side governance) 계층을 제공하고 있습니다. 터널 뒤에 ID 관리 계층을 배포함으로써, Microsoft Entra ID 또는 Google Workspace와 직접 통합할 수 있습니다. 이를 통해 제품 관리자(product manager)가 에이전트를 사용할 때는 Jira나 Google Drive와 같은 도구에만 접근할 수 있도록 보장하는 한편, 정확히 동일한 에이전트를 사용하는 시니어 엔지니어는 GitHub 및 Datadog에 대한 접근 권한을 자동으로 얻게 할 수 있습니다.

궁극의 보안 에이전트 아키텍처 (The Ultimate Secure Agent Architecture)

이 두 가지 독립적인 기능을 통합된 아키텍처로 결합할 때, 이번 출시의 진정한 위력이 명확해집니다.

당신이 대형 은행을 위한 금융 감사 에이전트 (financial auditing agent)를 구축하고 있다고 가정해 봅시다. 이 에이전트는 매우 기밀인 거래 로그 (transaction logs)를 분석하고, 이를 내부 컴플라이언스 (compliance) 문서와 대조하며, 사기 패턴을 탐지하기 위해 특화된 Python 스크립트를 실행해야 합니다.

**셀프 호스팅 샌드박스 (self-hosted sandbox)**를 활용하면, 복잡한 Python 스크립트가 은행의 로컬 데이터 센터 내부에 위치한 보안 서버에서만 독점적으로 실행되도록 보장할 수 있습니다. 독점적인 거래 로그는 절대로 사업장 외부로 유출되지 않습니다.

**MCP 터널 (MCP tunnels)**을 활용하면, 에이전트가 은행의 내부 SQL 데이터베이스에 안전하게 쿼리하고 로컬화된 내부 위키 (internal wiki)에서 컴플라이언스 규칙을 검색할 수 있도록 허용할 수 있습니다. 에이전트는 아웃바운드 암호화 스트림 (outbound encrypted stream)을 통해 이러한 리소스와 통신하므로, 은행의 네트워크 보안 팀은 엄격한 방화벽 정책을 변경할 필요가 없습니다.

Claude 모델은 순수하게 지능적인 코디네이터 (coordinator) 역할을 수행합니다. 모델은 프롬프트 (prompt)를 수신하고, 목표를 이해하며, 보안 터널 (secure tunnel)을 통해 데이터를 요청하고, 데이터를 분석하기 위한 스크립트 (script)를 작성한 뒤, 실행을 위해 로컬 샌드박스 (local sandbox)로 해당 스크립트를 전송합니다. 은행은 데이터 레지던시 (data residency), 액세스 제어 (access control), 감사 가능성 (auditability)에 대한 절대적인 통제권을 유지하는 동시에, 시장에서 가장 진보된 추론 모델 (reasoning model)을 활용할 수 있습니다.

더 큰 그림: 진정한 AI 해자 (Moat)가 존재하는 곳

당장 눈에 보이는 기술적 이점을 넘어, Anthropic의 이번 업데이트는 인공지능 인프라의 근본적인 경제 구조가 거대한 변화를 맞이하고 있음을 보여줍니다. 지난 몇 년간 업계의 가정은 인공지능의 핵심 가치가 모델 자체와 이를 실행하는 데 필요한 컴퓨팅 파워 (computational power)에 있다는 것이었습니다.

실행 계층 (execution layer)을 고객 측으로 적극적으로 밀어냄으로써, Anthropic은 원시 실행 (raw execution)과 로컬 샌드박싱 (localized sandboxing)이 빠르게 범용화 (commoditized)되고 있다는 신호를 보내고 있습니다. 컨테이너 (container) 내부에서 Python 스크립트를 안전하게 실행하는 것은 이미 해결된 문제입니다. 진정한 독점적 우위, 즉 진정한 경제적 해자 (economic moat)는 오케스트레이션 계층 (orchestration layer) 내에 존재합니다.

인공지능 분야의 미래 승자는 단순히 가장 똑똑한 베이스 모델 (base models)을 가진 기업들이 아닙니다. 궁극적인 승자는 오케스트레이션 (orchestration), 기관 메모리 (institutional memory), 검증 패턴 (verification patterns), 그리고 **라이프사이클 관리 (lifecycle management)**를 마스터하는 플랫폼이 될 것입니다. 실행 환경의 운영 부담을 사용자에게 넘김으로써, Anthropic은 모든 엔지니어링 리소스를 컨트롤 플레인 (control plane)을 더 똑똑하고, 빠르고, 회복 탄력성 있게 만드는 데 집중할 수 있습니다.