AWS, 에이전트코어 게이트웨이 MCP에 OAuth 인증 코드 플로우 적용법 공개

AWS가 자사 AI 에이전트 완전관리형 서비스 아마존 베드록 에이전트코어의 게이트웨이에서, MCP 서버에 대한 인바운드 인증을 OAuth 인증 코드 플로우로 구현하는 방법을 공개했다. 키로(Kiro) IDE 같은 에이전트형 코딩 어시스턴트가 원격 도구와 서비스에 접근할 때, 사용자 신원이 검증된 안전한 연결을 보장하는 것이 목표다.

에이전트형 코딩 어시스턴트 사용이 늘면서 기업은 어시스턴트와 사내 MCP(모델 컨텍스트 프로토콜) 서버 사이에 견고한 인증 체계를 요구하고 있다. AI 어시스턴트가 게이트웨이를 거쳐 MCP 서버에 요청을 보내면 처리 전에 요청을 검증하는 인바운드 인증을 거쳐야 하며, 이를 통해 권한이 있는 사용자와 에이전트만 MCP 서버가 노출한 도구에 접근할 수 있다.

아마존 베드록 에이전트코어는 프로덕션 환경에서 AI 에이전트를 배포하고 관리하며 확장하는 완전관리형 서비스로, 그 핵심 구성요소인 에이전트코어 게이트웨이는 에이전트와 도구 간 통신을 중앙에서 라우팅하고 보호하는 진입점 역할을 한다. 이번 구성에서 게이트웨이는 OAuth 리소스 서버로서 토큰을 검증하고 요청을 MCP 서버로 프록시한다.

인증 흐름에는 사용자 인증과 토큰 발급을 맡는 IdP(아마존 코그니토, 옥타, 마이크로소프트 엔트라 ID 등), 신원이 검증되는 최종 사용자, OAuth 클라이언트 역할을 하는 키로 IDE, 백엔드 도구를 제공하는 MCP 서버가 참여한다. 어시스턴트와 IdP, MCP 서버 사이의 사양 표준화를 메우는 MCP OAuth 프록시는 선택적으로 쓸 수 있다.

인증 코드 플로우는 다음과 같이 진행된다. 키로 IDE가 게이트웨이의 MCP 엔드포인트에 연결을 시도하면, 게이트웨이는 유효한 토큰이 없음을 감지하고 HTTP 401 응답과 함께 OAuth 보호 리소스 메타데이터 엔드포인트를 가리키는 www-authenticate 헤더를 돌려준다. 이는 MCP 사양의 보호 리소스 메타데이터(PRM) 패턴을 따른다.

이어 클라이언트는 메타데이터를 가져와 IdP의 인증 서버 디스커버리 URL을 확인하고, 사용자의 시스템 브라우저를 열어 PKCE 챌린지와 함께 IdP 인증 엔드포인트로 리디렉션한다. 사용자가 로그인하고 동의하면 IdP는 인증 코드를 로컬 콜백 URL로 돌려주며, 클라이언트는 이 코드와 PKCE 검증값을 토큰 엔드포인트로 보내 액세스 토큰과 선택적 리프레시 토큰을 발급받는다.

이후 클라이언트는 모든 후속 요청의 Authorization 헤더에 액세스 토큰을 실어 보내고, 게이트웨이는 토큰의 서명과 만료, 발급자, 대상을 검증한 뒤 요청을 대상 MCP 서버로 프록시해 실행한다.

설정은 세 구성요소로 나뉜다. IdP에는 인증 코드와 리프레시 토큰 그랜트를 활성화한 OIDC 웹 애플리케이션을 만들고, 게이트웨이는 인바운드 인증을 JWT로 설정해 IdP 발급자의 디스커버리 URL을 가리키게 한다. 키로 IDE에는 설정의 커넥터 항목이나 CLI로 게이트웨이 URL을 추가하면, 게이트웨이가 401을 반환할 때 OAuth 플로우가 자동으로 시작된다. AWS는 액세스 토큰 수명을 1시간, 리프레시 토큰 수명을 90일로 설정할 것을 권장했다.