MCP의 구조, 장점, 리스크를 대략적으로 이해하기

최근 「MCP」라는 단어를 듣게 되는 기회가 늘어나고 있습니다.

저 자신도 MCP에 대해서는 거의 아무것도 모르는 상태이기 때문에, 이번에는 MCP의 구조나 장점, 보안상의 리스크 등에 대해 조사하여 정리해 보았습니다.

MCP (Model Context Protocol) 란, AI 모델과 외부 서비스·도구를 연결하기 위한 표준 통신 규격입니다.

2024년 11월에 Anthropic이 오픈 소스(Open Source)로 공개하였으며, 현재는 Linux Foundation 산하의 Agentic AI Foundation (AAIF)가 사양을 관리하는 벤더 중립적인 표준 규격이 되었습니다.

자주 사용되는 비유는 「AI를 위한 USB Type-C」입니다.

USB Type-C가 등장하기 전에는 기기마다 서로 다른 케이블이 필요했습니다.

MCP가 등장하기 전의 AI 연동도 마찬가지로, 서비스마다 독자적인 API 통합이 필요했습니다. MCP는 그 접속을 표준화하여, 어떤 AI 도구에서든 동일한 방법으로 외부 서비스에 연결할 수 있는 구조입니다.

MCP는 「호스트 (Host)」, 「클라이언트 (Client)」, 「서버 (Server)」라는 세 가지 컴포넌트로 구성되어 있으며, JSON-RPC 2.0 프로토콜을 기반으로 통신이 이루어집니다.

AI 애플리케이션 본체입니다. Claude Desktop, Cursor, Windsurf 등이 MCP 호스트의 대표적인 예입니다. 사용자의 요청을 받아 적절한 클라이언트를 선택하여 호출하는 「사령탑」 역할을 합니다.

호스트와 서버 사이에 위치하는 중개자입니다. 호스트로부터의 요청을 MCP 통신 규약에 따라 서버로 보내고, 응답을 호스트에 반환합니다. 하나의 호스트가 여러 클라이언트를 가질 수 있지만, 각 클라이언트는 MCP 서버와 1대 1로 접속합니다.

특정 데이터 소스나 도구에 대한 액세스를 제공하는 경량 프로그램입니다. 예를 들어 파일 시스템, 데이터베이스, 외부 API 등에 대한 액세스를 제공합니다.

MCP 서버는 크게 나누어 다음 세 가지 종류의 기능을 외부에 공개할 수 있습니다.

AI가 실제로 「실행」할 수 있는 조작입니다. API 호출, 데이터베이스 쓰기, 코드 실행 등이 해당합니다. 도구(Tool)는 AI의 판단에 따라 자율적으로 호출되기 때문에 가장 강력한 기능입니다.

AI가 「읽기」할 수 있는 데이터입니다. 파일 내용, 데이터베이스 레코드, API 응답 등이 포함됩니다. 도구와 달리 부작용(데이터의 변경)이 발생하지 않는 정보 제공에 특화되어 있습니다.

서버가 미리 정의한 재사용 가능한 프롬프트 템플릿입니다. 특정 조작 패턴을 정형화해 두어, 사용자가 매번 같은 지시를 쓰지 않아도 되는 구조입니다.

2026년 4월 시점에서 공개된 MCP 서버는 10,000개 이상에 달합니다. 여기서는 대표적인 것을 용도별로 소개합니다.

서버명	개요
GitHub MCP Server	리포지토리 조작, Issue·PR 관리, 코드 검색 등을 AI로부터 실행
...
서버명	개요
---	---
Slack MCP Server	채널의 대화를 AI가 읽기·쓰기. 정보 정리나 자동 답장에 활용
Notion MCP Server	Notion 워크스페이스에 대한 읽기·쓰기를 AI로부터 실행

서버명	개요
PostgreSQL MCP Server	PostgreSQL 데이터베이스에 대한 질의를 AI를 통해 실행
Google Drive MCP Server	Google 드라이브 내의 파일을 AI가 검색·취득

GitHub MCP Server는 기능이 급속히 확장되고 있으므로, 이용 시에는 항상 공식 문서에서 최신 사양을 확인하는 것을 권장합니다.

2026년 시점에는 이미 셀 수 없을 정도로 많은 클라이언트가 MCP에 대응하고 있습니다. 대표적인 것은 다음과 같습니다.

• Claude Desktop / Claude Code
• Cursor
• Windsurf
• VS Code (GitHub Copilot 경유)
• Gemini CLI
• ChatGPT

OpenAI, Google, Microsoft, AWS 등 업계를 대표하는 기업들이 대응을 완료하였으며, 벤더 중립적인 표준 규격으로서 널리 침투해 있습니다.

MCP 서버를 한 번 구현해 두면, Claude Desktop에서도 Cursor에서도 VS Code에서도, MCP 대응 도구라면 그대로 사용할 수 있습니다. 도구마다 구현을 다시 작성할 필요가 없습니다.

단순한 "질문에 대한 답변"뿐만 아니라, 데이터베이스의 검색·갱신, Slack으로의 게시, GitHub의 PR(Pull Request) 생성과 같은 실제 업무 조작을 AI가 대신 실행할 수 있게 됩니다.

GitHub, Slack, Notion, Google Drive 등 이미 사용 중인 서비스의 MCP 서버를 추가하는 것만으로, AI가 해당 서비스의 데이터를 활용할 수 있습니다.

Claude Desktop을 예로 들어, MCP 서버를 추가할 때의 대략적인 흐름을 보여드립니다. 세부 절차는 각 서버의 공식 문서(Official Documentation)를 참조하십시오.

• 사용하려는 MCP 서버를 설치한다 (대부분 npm이나 pip로 제공)
• Claude Desktop의 설정 파일(claude_desktop_config.json)에 서버 접속 정보를 JSON 형식으로 기술한다
• Claude Desktop을 재시작하면 AI가 해당 서버의 툴(Tool)·리소스(Resource)를 인식할 수 있게 된다

{
"mcpServers": {
"filesystem": {
...

위는 공식 Filesystem MCP Server를 설정할 때의 예시입니다. /path/to/allowed/dir 부분에는 AI에게 액세스를 허용할 디렉토리 경로를 지정합니다.

MCP는 편리한 반면, 외부 시스템에 대한 액세스 권한을 AI에게 부여한다는 성질상 보안 리스크도 존재합니다. 도입 전에 이해해 두어야 할 주요 리스크를 소개합니다.

MCP 서버의 툴 정의(메타데이터나 설명문)에 악의적인 지시를 심는 공격 수법입니다. 사용자에게는 무해해 보여도, AI가 해당 메타데이터를 읽었을 때 의도하지 않은 동작을 실행해 버릴 가능성이 있습니다. 신뢰할 수 있는 소스의 MCP 서버만을 사용하는 것이 중요합니다.

GitHub의 모든 리포지토리를 커버하는 것과 같은 광범위한 액세스 토큰(Access Token)을 설정하면, 의도하지 않은 데이터가 유출될 리스크가 있습니다. 툴별·세션별로 필요 최소한의 권한으로 제한한 토큰을 사용하는 것이 원칙입니다.

조사에 따르면, 공개 상태인 MCP 서버 중 인증이나 암호화가 이루어지지 않은 것이 다수 확인되고 있습니다. MCP 서버를 인터넷에 공개할 경우에는 적절한 인증(OAuth 2.1 등)과 액세스 제한을 반드시 설정하십시오.

설정 파일에 API 키나 토큰을 직접 작성하는 것은 피하십시오. 환경 변수(Environment Variable)나 시크릿 매니저(Secret Manager)를 사용하여 관리하는 것이 안전한 방법입니다.

MCP를 한마디로 표현하자면 "AI에게 손발을 달아주는 표준 규격"입니다.

• MCP는 AI와 외부 툴을 연결하는 오픈 표준 프로토콜(Open Standard Protocol)
• 호스트(Host)·클라이언트(Client)·서버(Server)의 3계층 구조로 JSON-RPC 2.0 통신
• GitHub, Slack, Notion, DB 등 폭넓은 서비스의 서버가 공개 중
• 2026년 4월 시점에서 공개 서버는 10,000개 이상
• 보안 리스크(툴 포이즈닝(Tool Poisoning)·과잉 권한·인증 미비)에는 주의가 필요
• 사양은 활발히 업데이트 중이므로 항상 공식 문서를 확인하는 것이 중요

AI가 "생각"할 뿐만 아니라 "실행"하는 툴로 진화하는 가운데, MCP는 그 기반을 담당하는 중요한 기술입니다.

우선 공식에서 제공하는 Filesystem MCP Server나 GitHub MCP Server를 시도해 봄으로써 MCP의 가능성을 실감할 수 있을 것입니다.