MCP의 현황: 2026년 상반기 동안 변화한 모든 것
요약
2026년 상반기 동안 MCP는 Anthropic에서 Linux Foundation 산하 Agentic AI Foundation으로 거버넌스가 이전되며 중립적인 인프라로 자리 잡았습니다. SDK 다운로드 수가 폭발적으로 성장하며 실험 단계를 넘어 기업용 프로덕션 환경의 핵심 표준으로 진화하고 있습니다.
핵심 포인트
- Anthropic이 MCP를 중립적인 Agentic AI Foundation에 기부
- SDK 다운로드 수가 16개월 만에 약 4,750% 성장
- 오픈 소스 중심에서 기업용 프라이빗 서버 및 커넥터로 전환
- 에이전트-도구 연결(MCP)과 에이전트 간 통신(A2A)의 역할 분담
6개월 전, Model Context Protocol (MCP)은 흥미로운 신기술이었습니다. 2026년 중반에 이르러, 이는 흥미는 다소 줄었을지 모르나 훨씬 더 중요한 존재가 되었습니다. 즉, 현재 AI 생태계의 상당 부분이 의존하고 있는 인프라의 한 조각이 된 것입니다.
올해 상반기 동안 MCP는 주인이 바뀌고, 사용자 인터페이스 (UI)를 갖추었으며, 핵심 프로토콜이 재작성되었고, 수백만 명의 사람들이 무언가에 의존하기 시작할 때 흔히 나타나는 보안 문제에 직면했습니다. 이 중 그 어떤 것도 유망한 아이디어 단계에서 발생하는 문제들이 아닙니다. 이것들은 실제 작동하는 인프라에서 발생하는 문제들이며, 2026년 상반기는 MCP가 이러한 문제들을 다루기 시작한 시기입니다.
이 프로토콜이 처음이라면, 우리의 개요 — Model Context Protocol (MCP): A Unified Standard for AI Agents and Tools — 가 시작하기에 좋은 곳입니다. 이 글의 나머지 내용은 기초 지식을 알고 있다는 가정하에 실제로 무엇이 변했는지에 초점을 맞춥니다.
| 날짜 | 이벤트 |
|---|---|
| 2025년 12월 9일 | Anthropic이 MCP를 Agentic AI Foundation (Linux Foundation)에 기부 |
| ... |
거버넌스가 중립적인 재단으로 이동함
가장 중요한 변화는 이 기간의 시작과 동시에 일어났으며, 이후의 모든 흐름을 결정지었습니다.
2025년 12월 9일, Anthropic은 Linux Foundation 산하의 기금인 새로 설립된 Agentic AI Foundation에 MCP를 기부했습니다. Block과 OpenAI가 공동 설립자였으며, AWS, Google, Microsoft, Cloudflare, Bloomberg가 플래티넘 멤버로 참여했습니다.
이는 들리는 것보다 더 중요한 의미를 갖습니다. 단일 AI 연구소에 의해 제어되는 프로토콜은 이를 채택하는 모든 경쟁 연구소에게 리스크가 됩니다. 왜냐하면 해당 연구소가 자신들에게 유리한 방식으로 표준을 변경할 수 있기 때문입니다. MCP를 중립적인 재단에 넘김으로써 이러한 우려를 제거했습니다. 이제 변경 사항은 모든 주요 연구소와 클라우드 제공업체가 참여하는 공개 제안 프로세스를 거치게 되며, 그 어느 곳도 다른 곳을 위해 프로토콜을 깨뜨림으로써 이득을 얻지 않기 때문입니다.
Google의 A2A 프로토콜 또한 동일한 기반 아래로 이동하며 책임 소재를 명확히 구분했습니다. MCP는 에이전트(agent)를 도구(tool)에 연결하고, A2A는 에이전트 간의 통신을 조정합니다. 이 두 가지 움직임은 2025년 내내 생태계가 우려했던 파편화(fragmentation) 문제의 상당 부분을 해결했습니다.
채택률의 지속적인 상승
| 지표 | 2026년 상반기 기준 현황 |
|---|---|
| 월간 SDK 다운로드 수 | 약 9,700만 건, 출시 당시 약 200만 건에서 증가 (16개월 동안 약 4,750% 성장) |
| ... |
이를 비교해 보자면, React npm 패키지가 MCP가 16개월 만에 달성한 다운로드 수에 도달하는 데는 약 3년이 걸렸습니다.
이러한 성장의 구성은 그 규모만큼이나 시사하는 바가 큽니다. 공개 서버의 5% 미만이 수익화되어 있으므로 생태계는 여전히 대부분 오픈 소스(open source) 상태로 남아 있으며, 모멘텀은 커뮤니티의 실험 단계에서 벤더(vendor)가 구축한 커넥터(connector) 및 기업 내부용 프라이빗 서버로 이동하고 있습니다. 요컨대, MCP는 개발자들이 시도해 보는 단계에서 기업들이 프로덕션(production) 환경에서 운영하는 단계로 넘어가고 있습니다.
프로토콜의 성숙
두 번의 릴리스를 통해 MCP는 유망한 설계 단계에서 확장성(scale)을 갖춘 체계로 거듭났습니다.
첫 번째는 프로토콜의 첫 번째 공식 확장 기능(extension)으로 1월에 출시된 MCP Apps입니다. 이는 도구가 대화창 내에서 직접 렌더링되는 대화형 HTML 인터페이스(예: 대시보드, 양식 또는 실시간 시각화 도구)를 반환할 수 있게 하며, 이 모든 것은 샌드박스(sandboxed) iframe 내에서 실행됩니다. Figma는 이를 사용하여 인라인 컴포넌트 편집 기능을 제공했고, Hex는 필터링 가능한 대시보드를 렌더링하는 데 사용했습니다. 주목할 점은 Anthropic과 OpenAI가 이 확장 기능을 공동 개발했으며, 출시 첫날부터 Claude, ChatGPT, Goose, 그리고 VS Code에서 지원되었다는 것입니다.
두 번째는 5월에 확정된 2026-07-28 릴리스 후보(release candidate)로, 이는 프로토콜 출시 이후 가장 큰 규모의 개정입니다. 핵심적인 변화는 MCP가 상태를 유지하지 않는 무상태(stateless) 방식으로 전환된다는 점입니다.
-
initialize핸드셰이크(handshake)와Mcp-Session-Id헤더가 사라졌습니다. 이제 프로토콜 버전(Protocol version), 클라이언트 정보, 그리고 기능(capabilities)은 모든 요청의_meta필드를 통해 전달됩니다. -
이것이 중요한 이유는 무상태(stateless) 서버가 스티키 라우팅(sticky routing), 세션 저장소(session store), 유지해야 할 장기 스트림(long-lived streams) 없이 일반적인 로드 밸런서(load balancer) 뒤에 위치할 수 있기 때문입니다. 바로 이 점이 MCP가 표준 HTTP 인프라 위에서 확장(scale)할 수 있게 해줍니다.
-
이번 릴리스에는 게이트웨이가 트래픽을 라우팅할 수 있게 해주는 필수
Mcp-Method및Mcp-Name헤더와, 디스커버리(discovery) 응답에 포함된 HTTP 스타일의 캐싱(caching) 필드를 포함한 운영 기능들이 추가되었습니다. -
마지막으로, 공식적인 지원 종료(deprecation) 정책이 도입되었습니다. Roots, Sampling, Logging 기능은 지원 종료(deprecated)되었으나, 최소 12개월 동안은 아무것도 삭제되지 않습니다.
대부분의 기존 서버는 변경 없이 계속 작동합니다. 하지만 이번 릴리스의 의도는 명확합니다. MCP는 예측 가능하고 눈에 띄지 않도록 재설계되고 있으며, 이것이 바로 신뢰할 수 있는 인프라가 갖춰야 할 모습입니다.
채택 속도에 맞춘 보안 강화
급격한 성장은 대가를 수반했습니다. 지난 1월과 2월에만 CVSS 척도에서 9.6점으로 평가된 원격 코드 실행(remote-code-execution) 결함을 포함하여, 30개 이상의 MCP 관련 CVE가 보고되었습니다.
결정적인 문제는 도구 오염(tool poisoning)이었으며, 이는 특정 서버의 버그라기보다 구조적인 문제입니다. 도구의 설명(description)은 서버가 제어하는 텍스트이며, 이는 모델의 컨텍스트(context)에 마치 신뢰할 수 있는 지침인 것처럼 전달됩니다. 악의적인 서버는 해당 설명 안에 지침을 숨길 수 있습니다. 예를 들어, 모델에게 사용자의 SSH 키를 읽어서 파라미터(parameter)로 전달하라고 명령하는 식입니다. 그러면 지침을 따르는 모델(instruction-following model)은 이에 응합니다. 도구 설명은 인터페이스에 표시되지 않기 때문에 사용자는 해당 지침을 절대 볼 수 없습니다.
근본적인 약점은 신뢰의 격차입니다. 도구의 설명은 에이전트가 처음 연결될 때 한 번 검토되지만, 그 이후 도구의 응답은 그에 상응하는 검증 없이 모델로 흘러 들어갑니다. 이에 대응하여 계층화된 방어책들이 등장했습니다. 도구의 메타데이터와 응답을 정화(sanitizing)하고, 높은 권한을 가진 도구를 격리하며, 서버 매니페스트(server manifests)를 스캔하고, 확인 없이 도구를 실행하는 “항상 허용(always allow)” 설정을 비활성화하는 방식입니다.
이것은 소수의 틈새 시장(niche)이 아닌, 널리 사용되는 프로토콜이 겪는 문제입니다. 3월 로드맵은 기업용 준비성(enterprise readiness) — 감사 추적(audit trails), 단일 로그인(SSO), 게이트웨이 지원 — 을 최우선 과제로 삼아 이에 직접적으로 대응했으며, 이는 핵심(core)의 변경보다는 주로 확장(extensions)을 통해 제공될 예정입니다.
이것이 시사하는 바
종합해 보면, 2026년 상반기는 하나의 일관된 이야기를 들려줍니다. MCP는 한 기업이 소유한 영리한 아이디어에서 재단(foundation)이 관리하는 공유 인프라로의 이동을 마쳤으며, 그에 걸맞게 동작하기 시작했습니다.
이 시기가 이례적인 이유는 이 모든 일이 동시에 일어났기 때문입니다. 기록적인 채택이 이루어지는 동시에, 재작성(rewrite)과 보안 작업을 통해 원래의 설계가 도달한 규모를 감당하도록 만들어지지 않았다는 솔직한 인정이 병행되었습니다. 이는 모순이라기보다 성숙함의 신호입니다. MCP는 흥미로운 단계(interesting stage)를 지나, 신뢰할 수 있어야 하는 더 까다로운 단계(demanding stage)로 진입했습니다.
SerpApi의 역할
만약 여러분이 MCP를 기반으로 에이전트를 구축하고 있다면, 실시간 검색(live search)은 에이전트에게 부여할 수 있는 가장 유용한 기능 중 하나이며, 커넥터(connector)를 직접 구축할 필요도 없습니다.
SerpApi MCP 서버는 단일 검색 도구(tool)를 제공하며, Claude Desktop, Cursor, VS Code 또는 사용자의 자체 에이전트와 같은 모든 MCP 클라이언트(client)가 이를 호출하여 100개 이상의 검색 엔진에 쿼리를 날리고 구조화된 JSON을 결과로 받을 수 있습니다. 또한 각 엔진의 스키마(schema)를 MCP 리소스(resource)로 공개하여, 도구 호출(tool call)의 정확도를 높였으며 이는 새로운 사양(specification)이 나아가고 있는 탐색(discovery) 및 캐싱(caching) 방향과도 잘 부합합니다.
만약 Claude Code 내에서 더 가벼운 설정을 선호한다면, SerpApi Claude Code 플러그인을 통해 별도의 서버를 실행할 필요 없이 단일 스킬(skill)로 Claude에게 네이티브 검색 기능을 부여할 수 있습니다. 여러 클라이언트를 넘나들며 작업할 때는 MCP가 더 나은 선택이며, 주로 하나의 클라이언트에서만 작업한다면 플러그인이 더 간편합니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기