"인공지능(AI) 에이전트 간 안전하고 일관된 협업은 필수입니다. 우리는 이를 지원하기 위해 제품 전반에 걸쳐 모델 컨텍스트 프로토콜(MCP)을 적용했습니다. AI가 사용자 대신 업무를 처리하더라도 통제 가능하고 신뢰할 수 있는 환경을 조성할 것입니다."

마이크로소프트 케빈 스콧 최고기술책임자(CTO)는 한국 시간으로 22일까지 미국 새너자이에서 열린 개발자 행사 '마이크로소프트 빌드 2025'를 통해 MCP 적용 방향과 보안 업데이트 내용을 공개했다.

MCP는 에이전트가 파일을 검색하거나 앱을 실행할 때 컴퓨터 내 다양한 프로그램과 정확히 소통할 수 있도록 만든 표준 방식이다. AI가 웹 브라우저부터 메모 앱, 파일 탐색기 등 다양한 환경에서 원활히 작동할 수 있게 돕는다. 이를 통해 특정 앱마다 방식이 달라 생기는 오류 없이 사용자 지시를 일관되게 수행할 수 있다.

현재 마이크로소프트는 깃허브와 MCP 운영 위원회에 합류했다. 윈도11를 비롯한 깃허브, 코파일럿 스튜디오, 다이내믹스 365, 애저, 애저 AI 파운드리, 시맨틱 커널, 파운드리 에이전트 등 에이전트 제품·서비스 전반에 걸쳐 MCP 1차 지원을 시작했다. 몇 달 내 MCP 기능을 포함한 개발자 전용 소프트웨어를 프리뷰로 제공할 예정이다.

스콧 CTO는 MCP의 보안 위협 가능성을 지적했다. 악성 명령으로 AI가 잘못된 판단을 하거나, 중요한 기능이 외부에 노출될 수 있다는 이유에서다. 또 교차 프롬프트 인젝션이나 도구 오염이 발생하면 시스템 전체가 위험해질 수 있다고 경고했다.

마이크로소프트는 이런 문제를 막기 위해 윈도11용 MCP 보안 아키텍처를 우선 개발했다. 이 아키텍처는 MCP 서버에 필요한 고유한 ID와 코드 서명을 기업이나 개발자에게 제공한다. 현재 어떤 작업을 하는지, 어떤 권한이 필요한지도 실시간 알린다. 중요한 작업은 반드시 기업·개발자 동의를 받으며, 모든 기록은 자동 저장한다. MCP 사용자와 서버는 윈도의 프록시로 통신한다. 이 프록시는 인증과 권한 부여를 중앙에서 관리하고, 이상 행동이 있을 때 이를 감지해 대응할 수 있다.

MCP 서버는 윈도에 등록되기 전 몇 가지 보안 조건을 만족해야 한다. 우선 실행 중에 기능이 바뀌면 안 되고, 필요한 권한은 미리 처리돼야 한다. 또 외부에 공개되는 기능은 보안 검사를 받아야 한다.

마이크로소프트는 MCP 서버를 쉽게 찾고 쓸 수 있도록 깃허브와 손잡고 공개 MCP 서버 목록을 만들었다. 누구나 서버를 등록하고 관리할 수 있으며, 서버의 정보와 설정을 한눈에 볼 수 있다. 두 기업은 앤트로픽과 협력해 MCP 인증 방식도 새로 설계했다. 사용자는 마이크로소프트 엔트라 ID나 다른 안전한 로그인 수단을 사용해 AI가 자신의 데이터에 접근하는 것을 직접 허락할 수 있다.

케빈 스콧 마이크로소프트 최고기술책임자(CTO)는 "AI 에이전트가 더 많이 쓰이는 시대에 맞춰, 운영체제 수준에서 보안을 기본으로 설계하는 것이 중요하다"며 "앞으로 사용자 통제를 중심에 두고 MCP 생태계를 넓혀가겠다"고 기조연설에서 강조했다.