모델 컨텍스트 프로토콜(MCP)이 기업 환경에 최적화된 '기업 관리형 인증(Enterprise-Managed Authorization, EMA)' 확장을 안정화했습니다. 이 새로운 접근 방식은 기업이 MCP 서버 접근 권한을 중앙에서 관리하고, 최종 사용자는 한 번의 로그인으로 필요한 모든 허가된 MCP 서버에 자동으로 연결될 수 있도록 지원합니다. 이는 기존의 사용자별, 서버별 개별 OAuth(개방형 인증) 승인 방식이 기업 환경에서 야기했던 여러 불편함과 보안 취약점을 해결하기 위한 중요한 진전입니다.
기존 MCP 권한 모델은 사용자 개인이 자신의 데이터 접근 대상을 결정하는 소비자 시나리오에 적합했지만, 기업 환경에서는 여러 한계가 있었습니다. 직원 온보딩 시 서비스별 수동 연결이 필요했고, 보안팀은 중앙 제어나 감사 추적 없이 각 사용자의 개별 승인에 의존해야 했습니다. 또한, 사용자가 개인 계정을 업무 도구에 연결하는 문제도 발생했습니다. EMA는 이러한 문제들을 해결하기 위해 조직의 ID 공급자(IdP)를 권한 결정 주체로 삼습니다. 관리자가 정책을 한 번 정의하면, 사용자는 기존 조직 계정으로 로그인하여 필요한 MCP 연결을 자동으로 상속받게 됩니다. 이 과정에서 SSO(단일 로그인) 중 발급된 ID-JAG(Identity Assertion JWT Authorization Grant)가 MCP 서버의 인가 서버에서 액세스 토큰으로 교환되므로, 사용자는 서버별 동의 화면으로 리다이렉트될 필요가 없습니다.
이번 안정화에는 Okta, Anthropic, Visual Studio Code, Asana, Atlassian, Canva, Figma, Granola, Linear, Supabase 등 주요 ID 공급자, 클라이언트, 서버들이 초기 지원에 참여했습니다. 특히 Okta는 Cross App Access(XAA) 프로토콜을 MCP의 EMA 확장에 내장하여 중앙 거버넌스 평면을 구축하고, 보안팀에는 컴플라이언스 제어를, 사용자에게는 매끄러운 경험을 제공합니다. 이는 MCP의 기업 도입을 가속화하고, AI 에이전트와 같은 새로운 기술이 기업 환경에서 더욱 안전하고 효율적으로 활용될 수 있는 기반을 마련할 것으로 보입니다. EMA는 단순한 인증 편의성을 넘어, 기업의 보안 및 규제 준수(컴플라이언스) 요구사항을 충족시키면서도 사용자 경험을 혁신하는 중요한 단계로 평가됩니다.