MCP에서의 AuthZ 격차 해소: 정책 기반 도구 호출 제어 (Policy-Driven Tool Invocation Control)

@mcpsummit Mumbai 2026에서의 발표를 마쳤습니다 🎉

𝗖𝗹𝗼𝘀𝗶𝗻𝗴 𝘁𝗵𝗲 𝗔𝘂𝘁𝗵𝗭 𝗚𝗮𝗽 𝗶𝗻 𝗠𝗖𝗣: 𝗣𝗼𝗹𝗶𝗰𝘆-𝗗𝗿𝗶𝘃𝗲𝗻 𝗧𝗼𝗼𝗹 𝗜𝗻𝘃𝗼𝗰𝗮𝘁𝗶𝗼𝗻 𝗖𝗼𝗻𝘁𝗿𝗼𝗹 - 멋진 @sonali_talks 님과 함께 전달했습니다.

MCP는 AI 에이전트(AI agents)가 도구(tools)와 통신하는 방식을 표준화하는 데 놀라운 성과를 거두었습니다. 하지만 오늘날의 사양(spec)에는 여전히 답해지지 않은 질문이 하나 남아 있습니다:

👉 그 도구 호출(tool call)을 누가 승인했는가?

이를 위한 네이티브 프리미티브(native primitive)가 없습니다. 그리고 멀티 테넌트(multi-tenant) 운영 환경에서 이 격차는 실재합니다. 키노트(Keynote)에서 이 문제를 제기해 주신 Shannon Williams 님께도 감사드립니다.

저희는 우리가 목격한 네 가지 위협 패턴을 살펴보았습니다:
🔴 교차 테넌트 도구 호출 (Cross-tenant tool calls) - 에이전트 A가 확인 없이 테넌트 B의 데이터에 접근
🔴 유령 에이전트 신원 (Phantom agent identity) - 감사 로그(audit log)에 사람이 아닌 서비스 계정(service account)이 표시됨
🔴 제한 없는 파라미터 (Unconstrained parameters) - 에이전트가 운영 환경(prod)에 전달한 값을 아무도 검증하지 않음
🔴 권한 상승 체인 (Privilege escalation chains) - 각 단계(hop)를 거칠 때마다 원래 사용자의 컨텍스트(context)를 상실함

그런 다음 이에 대한 데모와 해결 방법을 보여드렸습니다.

기술 스택:
⚙️ containers/kubernetes-mcp-server - 변경 사항 없는 실제 MCP 서버
🛡️ @kyverno - CNCF graduated 정책 엔진 (policy engine)
🔗 모든 도구 호출을 Kubernetes CR로 모델링하는 AuthZ 프록시

세 가지 Kyverno 정책:
✅ 도구 화이트리스트 (Tool allowlist) - 에이전트별 기본 거부(deny by default)
✅ 테넌트 격리 (Tenant isolation) - 미들웨어가 아닌 구조적 격리
✅ 인간 신원 주입 (Human identity injection) - 승인 시점(admission time)에 변조 불가능한 감사 어노테이션(audit annotations) 적용

가장 좋은 점은 무엇일까요? MCP 서버의 코드를 단 한 줄도 수정하지 않았다는 것입니다.

공동 발표를 맡아준 Sonali 님과 활기찬 행사를 만들어준 MCP Dev Summit 팀에게 큰 감사를 드립니다 🙌

슬라이드: https://t.co/aUTYDVrSQ4

블로그 포스트: https://t.co/mnI9YJ3yBc

모든 매니페스트(manifests), 정책(policies), 설정 스크립트가 포함된 GitHub 저장소: https://t.co/Wl8op4mXoK

#mcpdevsummit #AIagents #mcp #kyverno