MCP 스펙이 스스로를 재작성했습니다: 2026년 7월 릴리스 후보(Release Candidate)에서 무엇이 바뀌었으며 왜 중요한가
요약
Model Context Protocol(MCP)의 2026년 7월 릴리스 후보(RC)가 발표되었습니다. 이번 업데이트는 상태 비저장 코어, 엔터프라이즈 인증 계층, 스트리밍 확장 기능을 포함하여 프로토콜의 근본적인 변화를 가져옵니다.
핵심 포인트
- HTTP 기반 상태 비저장 코어 도입으로 서버 확장성 및 배포 유연성 증대
- OAuth 및 RBAC를 포함한 엔터프라이즈 인증 기능으로 기업용 배포 가능
- 스트리밍 기능 추가를 통해 대규모 데이터 처리 시 점진적 결과 반환 지원
- 기존 상태 유지 방식에서 HTTP 엔드포인트 기반 방식으로 프로토콜 변화
5일 전, Model Context Protocol (MCP)이 2026년 7월 릴리스 후보(Release Candidate, RC)를 발표했습니다. 도구, 데이터베이스 또는 외부 API와 통신하는 AI 에이전트를 구축하고 있다면, 이 소식은 당신에게 매우 중요합니다. 이번 RC에는 상태 비저장 코어(stateless core), 엔터프라이즈 인증 계층(enterprise auth layer), 그리고 스트리밍 확장 기능(streaming extension)이 포함되어 있습니다. 여러분이 직접 읽을 필요 없도록 제가 스펙을 읽었으며, 여러분의 구축 방식을 실제로 변화시킬 세 가지 변경 사항을 알려드리겠습니다.
2026년 7월 RC가 이전 릴리스보다 더 중요한 이유
MCP는 2024년 말에 출시되었으며 빠르게 발전해 왔습니다. 하지만 지금까지의 진화 대부분은 생태계 수준이었습니다. 더 많은 서버, 더 많은 SDK 지원, OpenAI 및 Azure의 채택 등이 그것입니다. 프로토콜 자체는 거의 변하지 않았습니다.
2026년 7월 RC는 프로토콜을 변경합니다. 점진적인 변화가 아닙니다. 변경 로그(changelog)에는 세 가지 중대한 변경 사항(breaking changes)과 네 가지 새로운 기능이 표시되어 있습니다. MCP를 프로덕션 환경에서 운영하고 있다면, 업그레이드하기 전에 무엇이 달라졌는지 반드시 알아야 합니다.
가장 중요한 세 가지 변경 사항은 다음과 같습니다:
- HTTP 기반의 상태 비저장 코어 (Stateless core over HTTP) — MCP 서버를 이제 SSE 스트림을 사용하는 장기 실행 프로세스뿐만 아니라 일반 HTTP 엔드포인트로 실행할 수 있습니다.
- OAuth + RBAC + 감사 로깅(audit logging)을 포함한 엔터프라이즈 인증 — 이를 통해 Fortune 500 기업의 배포가 가능해졌습니다.
- 점진적 결과를 위한 스트리밍 (Streaming for incremental results) — 이제 대규모 데이터셋이 처리되는 동안 부분적인 결과를 반환할 수 있습니다.
각 변경 사항이 실제 환경에서 무엇을 의미하는지 자세히 살펴보겠습니다.
변경 사항 1: HTTP 기반의 상태 비저장 코어 (Stateless Core Over HTTP)
기존 MCP 스펙은 서버가 연결을 계속 유지하는 상태 유지(stateful) 프로세스라고 가정했습니다. 이는 로컬 개발에는 적합했지만, 규모가 커지면 한계가 있습니다.
2026년 7월 RC에서 코어는 이제 상태 비저장(stateless) 방식입니다. MCP 서버를 Cloudflare Workers, Vercel Edge Functions 또는 JSON-RPC 프로토콜을 사용하는 모든 HTTP 엔드포인트에 배포할 수 있습니다. 프로토콜은 지속적인 연결을 유지하는 대신 요청/응답 헤더를 통해 세션 상태를 처리합니다.
실제 사례는 다음과 같습니다. 2026년 1월의 간단한 FastMCP 서버 예시입니다:
# 구형 방식 (2026년 7월 RC 이전)
from fastmcp import FastMCP
...
2026년 7월 RC에서는 동일한 서버가 HTTP 핸들러 (HTTP handler)를 노출할 수 있습니다:
# 새로운 방식 (2026년 7월 RC)
from fastmcp.server.http import FastMCPHTTP
from fastmcp import FastMCP
...
FastMCPHTTP 클래스는 FastMCP 3.0 (2026년 1월)과 함께 출시되었으며, 2026년 7월 RC는 이를 뒷받침하는 공식 스펙 (formal spec)을 추가했습니다. 여러분에게 바뀌는 점은 다음과 같습니다: 이제 여러분의 MCP 서버는 SSE (Server-Sent Events)나 WebSocket 요구 사항 없이 일반적인 HTTP 인프라 위에서 확장(scale)할 수 있습니다. 이는 운영 측면에서 매우 의미 있는 단순화입니다.
만약 SSE의 운영 오버헤드 (operational overhead) 때문에 MCP 도입을 피하고 있었다면, 이제 그 장애물은 제거되었습니다.
변경 사항 2: 엔터프라이즈 인증 계층 (Enterprise Auth Layer)
이것은 엔터프라이즈 도입의 병목을 해결한 핵심 요소입니다. 2026년 7월 RC는 이전에는 커스텀 구현이 필요했던 세 가지 사항을 처리하는 표준화된 인증 계층 (auth layer)을 탑재했습니다:
- OAuth 2.0 통합 (OAuth 2.0 integration) — 클라이언트가 기존의 IdP (Identity Provider)를 통해 인증합니다.
- 역할 기반 액세스 제어 (RBAC, Role-Based Access Control) — 각 역할이 호출할 수 있는 것을 정의합니다.
- 감사 로그 (Audit logging) — 모든 도구 호출 (tool call)이 호출자의 신원과 함께 기록됩니다.
다음은 인증 설정 구조입니다 (RC에서 새로 도입됨):
{
"auth": {
"provider": "oauth2",
...
실제로 이는 Fortune 500 기업의 팀들이 이제 MCP 서버를 배포할 수 있으며, 모든 도구 호출에 대해 별도의 커스텀 보안 검토를 거치지 않고도 법무/IT 부서의 승인을 받을 수 있음을 의미합니다. 감사 로그는 규제 산업에서 특히 중요합니다. 이제 LLM이 시작한 모든 데이터베이스 쿼리는 타임스탬프 및 RBAC 컨텍스트와 함께 특정 사용자에게까지 추적 가능합니다.
이것이 바로 AAIF가 2026년 4월에 MCP Dev Summit North America를 개최한 이유입니다. 엔터프라이즈를 위한 시나리오가 이제 현실이 되었습니다.
변경 사항 3: 점진적 결과를 위한 스트리밍 (Streaming for Incremental Results)
세 번째 변경 사항은 규모는 작지만 특정 유스케이스 (use cases)에서는 매우 중요합니다. MCP 서버는 이제 전체 결과가 나올 때까지 기다리는 대신, 결과를 클라이언트에 점진적으로 스트리밍 (stream)하여 보낼 수 있습니다.
# 스트리밍 도구 (2026년 7월 RC에서 신규 도입)
@mcp.tool()
async def process_large_csv(filepath: str) -> AsyncIterator[dict]:
...
데이터베이스 쿼리, 파일 처리, 배치 API 호출과 같이 대규모 데이터셋을 다루는 도구의 경우, 이는 사용자 경험을 "로딩 스피너를 기다리는 것"에서 "진행 상황이 차례로 표시되는 것을 지켜보는 것"으로 변화시킵니다. 클라이언트는 전체 응답을 버퍼링(buffering)하는 대신, 데이터가 처리되는 대로 행(rows)을 수신합니다.
이것이 귀하의 스택에 의미하는 바
2026년 7월 RC(Release Candidate)는 단순한 눈속임이 아닙니다. 상태가 없는(stateless) HTTP 코어는 MCP에 대한 가장 큰 운영상의 반대 요소(SSE 요구 사항)를 제거합니다. 엔터프라이즈 인증(enterprise auth) 레이어는 보안/컴플라이언스(compliance)에 대한 반대 요소를 제거합니다. 스트리밍(streaming) 확장은 대량 결과 처리에 대한 반대 요소를 해결합니다.
수행해야 할 세 가지 구체적인 사항:
-
이전 버전의 FastMCP를 사용 중이라면, FastMCP 3.0 이상으로 업그레이드하고 HTTP 전송(transport)을 테스트하세요. 기존의 데코레이터(decorators)는 변경 없이 그대로 작동합니다.
-
인증 문제 때문에 MCP 도입을 피하고 있었다면, 2026년 7월 RC의 인증 레이어를 재평가할 가치가 있습니다. 완벽하지는 않으며 v1 인증 스펙(auth spec) 수준이지만, 커스텀 구현이 아닌 실제 표준(standard)입니다.
-
Cloudflare 또는 Vercel에 배포 중이라면, 이제 MCP 서버는 일급 시민(first-class) 배포 대상입니다. 3개월 전에는 그렇지 않았습니다.
프로토콜이 성숙해지고 있습니다. 2026년 4월에는 "MCP 서버가 있는가?"가 질문이었다면, 2026년 7월에는 (AAIF 서밋 데이터에 따르면) 엔터프라이즈 AI 도구의 90% 이상이 MCP 서버를 출시함에 따라, 질문은 "어떤 MCP 스펙 버전을 지원하는가?"로 바뀌고 있습니다.
내가 배운 점
2026년 7월 RC 스펙을 읽으며, AI 툴링(tooling) 분야는 "현재의 베스트 프랙티스(best practice)"가 몇 달 만에 구식이 될 수 있는 속도로 움직인다는 사실을 다시 한번 깨달았습니다. SSE 기반 MCP 서버는 2024-2025년에는 괜찮았습니다. 하지만 이제 그것들은 레거시 전송(legacy transport) 방식이 되었습니다.
더 흥미로운 신호는 엔터프라이즈 인증 레이어가 MCP가 어디로 향하고 있는지에 대해 말해주는 바입니다. 스펙 작성자들이 더 많은 도구 유형이나 더 풍부한 컨텍스트(context) 메커니즘보다 OAuth + RBAC(역할 기반 액세스 제어)를 우선시했다는 사실은 시장의 압박이 어디에 있는지를 알려줍니다. 즉, 기능(capability)이 아니라 배포 준비성(deployment readiness)에 있습니다.
이는 "흥미로운 프로토타입 (prototype)"에서 "프로덕션 인프라스트럭처 (production infrastructure)"로의 전환입니다. 그리고 그것은 지금 일어나고 있습니다.
이 내용이 유용했다면, 2026년 7월 RC를 위한 SPEC.md는 blog.modelcontextprotocol.io에서 확인할 수 있습니다. 프로토콜 전문가가 아니더라도 훑어볼 가치가 있습니다. 변경 로그 (changelog) 섹션은 단 두 페이지뿐입니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기