최근 AI 코딩 에이전트(Claude Code, Cursor, Codex 등)가 개발자의 코딩 작업을 상당 부분 대체하면서, 이들이 생성하는 코드의 보안 및 정책 준수 여부가 새로운 과제로 떠오르고 있습니다. 개발팀은 AI의 도움으로 생산성을 높이고 싶지만, 보안팀은 AI가 조직의 엄격한 보안 정책을 제대로 따를지 우려합니다. 이러한 문제 해결을 위해 'Security MCP'라는 새로운 오픈소스 서버가 등장했습니다.
Security MCP는 조직의 보안 정책 문서, 위험 컨텍스트, 표준 개발 경로(paved roads), 그리고 보안 도구들을 코딩 에이전트에게 API 형태로 노출하는 범용 마스터 제어 프로그램(MCP) 서버입니다. 이 서버는 에이전트가 개발 루프의 모든 단계에서 호출할 수 있는 API를 제공함으로써, 보안팀이 에이전트의 '뇌'를 직접 프로그래밍하는 대신, 에이전트가 참조할 '컨텍스트'를 프로그래밍할 수 있게 합니다. 예를 들어, 'policy_tool'을 통해 정책 문서를, 'risk_index'를 통해 위험 컨텍스트를, 'paved_road_tool'을 통해 표준 개발 경로를 에이전트에게 제공하며, 'tool_registry'를 통해 다양한 등록된 도구를 호출할 수 있습니다. 각 컬렉션은 로컬 저장소, HTTP 서비스, GitHub 등 다양한 소스를 혼합하여 사용할 수 있어 유연성이 높습니다.
이러한 접근 방식은 AI 기반 개발 환경에서 보안을 내재화하는 중요한 전환점을 제시합니다. 개발자는 AI 에이전트의 도움을 받아 빠르게 코드를 작성하면서도, 에이전트가 자동으로 조직의 보안 정책과 표준을 준수하도록 유도할 수 있습니다. 이는 보안팀이 개발 프로세스에 직접 개입하지 않고도 보안 규정 준수를 강화하고, 잠재적인 보안 취약점을 사전에 방지하는 데 기여합니다. 결과적으로 개발 생산성과 보안이라는 두 마리 토끼를 동시에 잡을 수 있는 효과적인 솔루션이 될 것으로 기대됩니다.