본문 바로가기
서버구축 (WEB,DB)

LLM 에이전트의 숨은 백엔드, MCP 서버로 연결하는 자동화 시대

by 날으는물고기 2025. 12. 12.

LLM 에이전트의 숨은 백엔드, MCP 서버로 연결하는 자동화 시대

728x90

MCP 서버 개념과 현재 표준 현황

💡 MCP(Model Context Protocol) 은 LLM이 외부 시스템(파일, DB, 클라우드, 보안 장비 등)에 표준화된 방식으로 접근하게 해주는 공개 표준입니다. Claude, ChatGPT, Cursor 같은 도구들이 MCP 서버에 붙어서 “도구 호출”을 하는 구조죠. (Model Context Protocol)

🧩 MCP는 크게 세 가지 역할로 나눌 수 있습니다.

  1. 호스트(Host) – Claude Desktop, ChatGPT, Cursor 같은 MCP 클라이언트
  2. 서버(Server) – 특정 시스템 또는 API를 MCP 형식으로 감싼 백엔드
  3. 툴(Tool) – 서버 내에서 노출되는 실제 기능(예: run_playbook, list_firewall_policies 등)

2025년에는 MCP가 Linux Foundation 산하 표준으로 넘어가고, OpenAI·Google·Microsoft·AWS 등이 참여하는 Agentic AI Foundation(AAIF) 가 만들어지면서 사실상 “에이전트 표준” 역할을 하고 있습니다.

“전체 MCP 서버” 생태계 큰 그림

1. Anthropic / 공식 레퍼런스 서버

GitHub modelcontextprotocol/servers 저장소에는 MCP 레퍼런스 서버와 커뮤니티 서버 링크가 함께 정리되어 있습니다.

300x250

대표적인 레퍼런스 서버 유형

  1. Everything
    • 여러 도구와 리소스를 한 번에 테스트할 수 있는 “종합 데모 서버”
  2. Fetch
    • HTTP(S) 콘텐츠 가져오기, HTML → 텍스트/JSON 변환 등
  3. Filesystem
    • 로컬/컨테이너 내 파일 읽기·쓰기, 디렉터리 탐색 (경로 기반 접근제어 가능)
  4. Git
    • Git 리포지토리 클론, 브랜치 정보, diff 조회 등
  5. Memory / Knowledge Graph 계열
    • LLM 관점의 “장기 메모리”를 그래프/스토어로 관리
  6. Sequential Thinking
    • 복잡한 문제를 단계별로 쪼개서 추론·실행하는 워크플로우
  7. Time
    • 시간대 변환, 현재 시각 조회, 일정 계산 등

👉 이 레퍼런스 서버들은 “MCP 서버를 이렇게 설계하라” 는 모범 사례 역할을 합니다. 실무적으로는 여기 코드를 베이스로 사내용 서버(AWX, Firewall, 사내 DB 등)를 만드는 패턴이 많습니다.

2. 공식 기업·제품 통합 서버

여러 벤더가 공식/준공식 MCP 서버를 제공하거나 문서화하고 있습니다.

  • Elasticsearch MCP 서버: Elastic에서 직접 MCP 서버 예시와 함께 “MCP 현황”을 정리한 글을 공개함.
  • Stripe / 결제 계열: Stripe Agent Toolkit이 MCP를 포함한 여러 에이전트 프레임워크와 Stripe API를 연결하는 도구 제공.
  • 클라우드 / SaaS
    • 여러 디렉터리에 AWS, GCP, Azure, Databricks, Snowflake, Cloudflare 등 클라우드 인프라용 MCP 서버들이 다수 등재되어 있음.

이런 서버들은 대체로 벤더 문서 + GitHub 리포 + 디렉터리 등록 3종 세트로 노출됩니다.

3. 커뮤니티 서버 – 카테고리별로 보면

여러 디렉터리를 교차해 보면(아래 3장에서 설명), 커뮤니티 MCP 서버는 적어도 수백~수천 개 규모입니다.

  • PulseMCP 디렉터리는 2600+ MCP 서버를 일일 업데이트 기준으로 유지하고 있고
  • MCPlist는 775+ MCP 서버를 검증·수집해 제공한다고 밝히고 있으며
  • 다른 디렉터리와 mcp.so까지 합치면, 중복을 감안해도 전체 생태계는 수천~1만 단위 수준으로 추정됩니다.

주요 카테고리는 대략 다음과 같습니다.

  1. 금융/결제 – Stripe, PayPal, Binance, Coinbase 등 결제·거래소·구독 API 래핑 서버들
  2. 데이터·분석 – BigQuery, Elasticsearch, Kafka, ClickHouse, Tableau 등 데이터 플랫폼에 대한 질의/관리 서버
  3. 보안·코드 보안 – Snyk, Semgrep, GitGuardian, Cycode 등 SAST·SCA·시크릿 탐지 서비스 연동 서버
  4. 웹·브라우저 제어 – Browser MCP, Puppeteer/Playwright 기반 웹 자동화 서버
  5. 클라우드 인프라 – AWS 리소스 관리, GCP, Azure DevOps, Kubernetes 클러스터 제어 서버들
  6. 협업·업무 도구 – Slack, Discord, Notion, Jira, Linear, Asana, GitHub, GitLab 등
  7. AI & ML – OpenAI, Anthropic, Hugging Face, LangChain 등 AI 모델/파이프라인 제어
  8. 생산성/노트 – Obsidian, Evernote, 개인 노트/지식관리 MCP 서버 등

“전체 MCP 서버 목록”을 보는 디렉터리/허브 정리

실제로 전부를 한 화면에 나열하는 건 불가능하고, 다음과 같은 디렉터리 사이트 + GitHub 레포를 조합해서 보는 게 현실적인 방법입니다.

1. 공식 측 / 표준 계열

  1. GitHub: modelcontextprotocol/servers
    • 레퍼런스 서버 + 커뮤니티 MCP 서버 링크 모음.
    • README에서 “MCP Registry” 링크를 통해 외부 디렉터리로도 연결.
  2. 공식 Example Servers 페이지
    • 파일, 브라우저, DB 등 MCP 서버 예제를 모아둔 공식 페이지.
    • “새 MCP 서버를 설계할 때 참조할만한 디자인 패턴” 관점에서 유용.
  3. MCP 표준 문서/소개
    • modelcontextprotocol.io에서 MCP 개념 및 구조, 호스트·서버·툴 설명.

2. MCP 서버 디렉터리 / 마켓

  1. PulseMCP (pulsemcp.com / mcpservers.directory 등)
    • “MCP Server Directory: 2600+ updated daily” 라고 명시된, 꽤 큰 디렉터리.
    • 카테고리·인기·업데이트 시각 등을 기반으로 필터링 가능.
  2. MCP Market
    • MCP 서버와 연계된 AI 워크플로우, 마케팅 스택, 에이전트 예제 등을 함께 다루는 마켓 형태.
  3. mcp.so
    • “largest collection of MCP Servers”를 표방하는 사이트.
    • GitHub, PulseMCP 등 다른 소스의 서버도 함께 인덱싱.
  4. MCPServers.com
    • 카테고리, 태그(브라우저, 데이터, 개발툴 등) 기반 Browsing.
    • 예: Browser MCP, MiniMax-MCP, Stripe Agent Toolkit 등.
  5. MCPlist.ai
    • “775+ MCP servers, every server verified”라고 명시.
    • 인증 방식(공식/커뮤니티), 언어, 인증방식, 문서 품질, 평판 등을 기준으로 필터링 제공.
  6. MCP Resource Hub (mcpnodes.com)
    • 서버·툴·커뮤니티를 통틀어 링크 허브 역할.
  7. MCP Servers Schemas Explorer
    • 각 MCP 서버의 스키마(어떤 tools, 어떤 인자)를 웹에서 바로 열람 가능한 사이트.
    • “이 MCP 서버가 어떤 API를 제공하는지”를 보안 검토 시에도 빠르게 확인 가능.
  8. 국내 블로그 가이드 (서기랑, Picory 등)
    • 한국어로 여러 MCP 디렉터리와 사용법을 정리한 블로그 글들.
    • 특히 PulseMCP 디렉터리를 중심으로 “어디서 MCP 서버를 찾아야 하는지” 정리한 글이 있음.

보안 인프라 계열 – MCP 서버/통합 현황 업데이트

초기에 검색했을 때는 없었지만, 2025년 현재는 이미 여러 프로젝트가 나와 있습니다.

1. AWX / Ansible Tower

  • Ansible Tower MCP 서버: Ansible Tower(또는 AWX)에 대해 자연어로 작업을 수행하게 해주는 MCP 서버 예제가 존재합니다.
  • AWX MCP Server: awx-mcp-server라는 이름으로 AWX를 MCP로 묶는 리포지토리도 존재하며, mcp.so 디렉터리에 등록되어 있습니다.

의미: LLM에게 “이 플레이북 실행해줘”, “특정 인벤토리에 등록된 호스트 목록 보여줘” 같은 작업을 MCP 레벨에서 시킬 수 있는 기반이 이미 있습니다. 다만 대부분 커뮤니티 프로젝트이므로, 코드 검토가 필수입니다.

2. Kandji → Iru MDM (Apple MDM 계열)

  • Kandji가 Iru로 리브랜딩 되었고,
  • “MCP Server for Iru API (Previously Kandji API)”라는 MCP 서버가 GitHub/디렉터리들에 등록되어 있습니다. 

의미: Apple 디바이스 MDM 자산(Kandji/Iru)을 LLM이 직접 제어(디바이스 정보 조회, 정책 확인 등)할 수 있는 “MDM MCP 서버”가 이미 존재합니다.

3. FireEye HX / NX / ETP

  • Google의 mcp-security 프로젝트에서 FireEye HX/NX/ETP에 대한 통합 문서를 제공합니다.
    • HX: 호스트, 알림, IOC 조회 및 조작
    • NX: IPS 정책 예외, 알림 아티팩트 다운로드 등
    • ETP: Email Threat Prevention 연결 테스트 등

→ 이것들은 “SOAR 통합용 MCP 보안 모듈” 개념에 가깝고, FireEye를 MCP로 제어하는 액션 집합을 제공하는 형태입니다. 운영 관점에서는 “MCP 기반 SOAR 플러그인”에 가깝다고 보시면 됩니다.

4. FortiGate (Fortinet)

  • FortiGate MCP Server: FortiGate 장비를 MCP로 관리하기 위한 fortigate-mcp-server 프로젝트가 GitHub 및 여러 MCP 스토어에 등록되어 있습니다.
    • 정책 조회, 인터페이스 상태, 세션 정보 등 여러 관리 기능을 MCP 툴로 노출

→ 내부에서 FortiGate를 많이 쓰신다면, 이 MCP 서버를 기반으로 사내 표준 MCP 서버를 포크하여 하드닝하는 방식이 현실적입니다.

5. iptables

  • iptables 자체는 MCP 서버가 아니라, MCP 서버를 보호하기 위한 네트워크 제어 수단으로 공식적으로 권장됩니다.
  • MCP Security Operations 가이드에서는, iptables / 네임스페이스 / 트래픽 리다이렉션을 이용해 MCP 서버의 네트워크를 샌드박싱하는 방법을 설명합니다.

→ “iptables MCP 서버”가 필요한 게 아니라, “MCP 서버를 iptables로 감싸는 보안 아키텍처”가 핵심입니다.

6. SEPM (Symantec Endpoint Protection Manager)

  • Broadcom 공식 문서에서는 SEPM 서버 구성·관리 내용만 있고, MCP 서버나 MCP 통합에 대한 언급은 현재까지 없음입니다.

 

결론

  • AWX / Ansible Tower → ✅ 커뮤니티 MCP 서버 존재
  • Kandji(Iru) → ✅ MCP 서버 존재
  • FireEye HX/NX/ETP → ✅ Google MCP Security 통합 모듈 존재
  • FortiGate → ✅ MCP 서버 존재
  • iptables → ✅ MCP 서버 보안용 공식 가이드 존재
  • SEPM → ⛔ 아직 별도의 MCP 서버/통합이 공개된 것은 보이지 않음 → 직접 MCP 서버를 구현하는 후보

보안 관점에서 MCP 서버 도입·운영 가이드

이제 보안 관점에서, 내부 사용자에게 줄 수 있는 정책·가이드·점검 포인트를 정리해보겠습니다.

1. 서버 선정 및 신뢰성 점검

  1. 디렉터리 출처 확인
    • 공식 GitHub (modelcontextprotocol/servers) 또는 신뢰 가능한 디렉터리(PulseMCP, MCPlist, MCPServers 등)에 등록되었는지 확인.
  2. 유지보수 상태
    • GitHub 기준: 최근 커밋 시점, Issue 대응 여부, Star/Fork, Maintainer 조직 확인
    • POC용인지, 프로덕션 운영을 염두에 둔 프로젝트인지 README에서 확인
  3. 라이선스 및 저작권
    • MIT/Apache-2.0 등 오픈소스 라이선스 여부, 상용 제약 여부 확인
    • 사내 정책상 허용된 라이선스인지 판단

2. 코드 검토 및 보안 분석

  1. 기본 코드 리뷰
    • 어떤 외부 API를 호출하는지 (하드코딩된 엔드포인트/토큰 존재 여부)
    • 입력 검증, 에러 처리, 로깅 방식 확인
  2. 정적 분석 / SAST
    • Semgrep 등으로 기본적인 보안 스캐닝 수행 (하드코딩 시크릿, 위험한 커맨드 실행, RCE 패턴 등)
  3. 동적 테스트 / 샌드박스
    • PoC 환경에 띄운 뒤, LLM이 MCP 서버를 통해 어떤 호출을 실제로 수행하는지 Fiddler/프록시·SIEM으로 캡처
    • 예상 범위를 벗어난 외부 접속, 파일 접근이 있는지 확인

3. 권한 설계 (API / 계정 / 데이터 범위)

  1. 최소 권한 API 키
    • FortiGate, AWX, FireEye, Iru(구 Kandji) 등 보안 시스템 API 키는 전용 읽기 전용 계정을 만들고, 꼭 필요한 리소스만 읽도록 범위를 최소화.
  2. 툴 단위 기능 제한
    • MCP 서버 내부에서
      • get_… (조회) / list_… (목록) 위주만 노출
      • delete_, update_, execute_ 계열은 별도 승인된 서버/환경에서만 사용
    • 예: “운영 FortiGate 변경은 허용 안 함, 테스트 장비(랩)용 FortiGate MCP 서버만 운영”
  3. 데이터 민감도 레벨링
    • LLM이 MCP를 통해 접근할 수 있는 데이터에 대해 등급부여:
      • L1: 공개 가능한 메트릭/로그 (학습용)
      • L2: 사내-only이지만 민감도 낮은 구성 정보
      • L3: 계정 정보, 고객 데이터, 개인 식별 정보 등 → MCP 접근 금지 또는 강력한 마스킹

4. 네트워크 통제 (iptables 등)

MCP Security Operation 가이드에서는 iptables 기반 Network Controls를 강하게 권장합니다.

  1. Egress Allowlist
    • MCP 서버 컨테이너/VM에서 나갈 수 있는 IP/Port를 화이트리스트로 제한
      • AWX MCP → 내부 AWX API, 사내 GitLab만
      • FortiGate MCP → 관리 인터페이스 주소만
      • 외부 인터넷 직접 접속 금지 (업데이트용 프록시만 허용)
  2. 네임스페이스/별도 서브넷
    • MCP 서버를 일반 애플리케이션 클러스터와 분리된 네임스페이스/서브넷에 배치
    • LLM 호스트(예: Claude Desktop)는 역으로 이 네임스페이스로만 접속 가능하도록 프록시 구성
  3. iptables 예시 개념
    • MCP 서버 → 특정 관리 IP(예: FortiGate 관리 IP)만 허용, 나머지 DROP
    • 로깅 활성화하여 의도치 않은 트래픽 감시

5. 인증·감사·로그

  1. 인증 방식 표준화
    • 모든 MCP 서버의 자격증명은 Vault/Secret Manager로 관리
    • .env, .mcp.json 등 평문 자격증명 저장 금지
  2. 로그 수집
    • “어떤 사용자가 / 어떤 LLM 세션에서 / 어떤 MCP 툴을 호출했는지”를
      • 중앙 로그(Elastic, Chronicle 등)로 수집
    • 특히 보안 계열(방화벽, EDR, MDM)에 대해서는 변경 작업을 별도 감사 로그로 이중 기록
  3. 에이전트 위협(프롬프트 인젝션 등) 인지
    • MCP 보안 연구에서는 prompt injection, data poisoning, 오용된 자동화 등이 주요 위협으로 지적됩니다.
    • 따라서 “LLM이 받은 프롬프트에 따라 갑자기 위험한 툴을 실행할 수 있다”는 것을 내부 사용자 교육에서 명확히 강조해야 합니다.

6. 내부 사용자용 간단 가이드(예시)

내부 공지/가이드 문서에 넣기 좋은 포인트 예시

  1. 승인된 MCP 서버만 사용
  2. 회사 계정과 개인 계정 분리 (예: 개인 GitHub/Notion MCP를 회사 자산에 붙이지 않기)
  3. 민감정보·고객데이터는 MCP를 통해 직접 조회/다운받지 않기
  4. “이 명령을 실행해도 되냐” 애매하면 보안팀/관리자에게 먼저 문의
  5. ⚠️ LLM이 “이 MCP 툴을 쓰자”고 제안해도 그대로 믿지 말 것 – 사람이 최종 승인

조직 내 MCP 서버 포트폴리오 설계 예시

보안 입장에서, 전체를 이렇게 나누어 관리하시면 그림이 깔끔합니다.

  1. Tier 1 – 사내 표준 MCP 서버(엄격 검토 + 운영)
    • AWX/Ansible, FortiGate, 사내 Git, 사내 Ticket 시스템 등 핵심 인프라
    • 코드 리뷰 + SAST + 네트워크 샌드박스 + 최소 권한 완료 후 “허용 목록”에 등록
  2. Tier 2 – 제한적 PoC MCP 서버
    • FireEye 통합, Kandji(Iru) MDM, 실험적 보안 도구, 신생 프로젝트 등
    • PoC용 네임스페이스에서만 사용, 프로덕션 데이터 접근 금지
  3. Tier 3 – 개인/로컬 MCP 서버
    • 사용자가 로컬 PC에서만 돌리는 Filesystem, Browser MCP 등
    • 회사 자산 접근 금지 + 정책상 “업무용으로는 참고 수준만 허용”
  4. 온보딩 체크리스트
    • “새 MCP 서버 도입 전 체크리스트”를 만들어
      • 디렉터리 출처, 코드 리뷰 여부
      • API 권한, 네트워크 통제, 로깅·감사 등
      • 데이터 민감도 레벨링
    • 을 점검한 뒤에만 사내 허용 목록에 올리는 프로세스 설계

다음 단계 제안

  • MCP 서버 생태계는 이미 수천 개 이상으로 폭발적으로 성장 중이며,
  • 여러 디렉터리(PulseMCP, MCPServers, MCPlist, mcp.so 등) 통해 “전체 목록에 가까운 지도”를 탐색할 수 있고,
  • AWX, FortiGate, Iru(구 Kandji), FireEye 등 주요 보안 인프라도 MCP 통합이 시작된 상태이며,
  • SEPM 같은 일부 솔루션은 아직 MCP 서버가 없어 직접 구현 후보입니다.
  • 보안 관점에서는 코드 검토 + 최소 권한 + 네트워크 샌드박스(iptables) + 로그·감사 + 사용자 교육이 핵심입니다.
728x90
그리드형(광고전용)
저작자표시 비영리 동일조건 (새창열림)

관련글

댓글

티스토리툴바