AWS, 기업용 MCP 겨냥해 베드록 에이전트코어 게이트웨이 기능 확장

AWS가 기업의 모델 컨텍스트 프로토콜(MCP) 서버 운영을 겨냥한 '아마존 베드록 에이전트코어 게이트웨이(Amazon Bedrock AgentCore Gateway)'에 새로운 기능들을 추가한다고 밝혔다. 에이전트코어 게이트웨이는 MCP 서버와 이를 사용하는 클라이언트 사이에 위치해 자격증명 관리, 관찰가능성(observability), 보안 연결을 하나의 신뢰된 진입점으로 통합한다.

이번에 확장되는 기능은 확장된 MCP 도구 스키마 지원, MCP 프롬프트와 리소스의 1급(first-class) 지원, MCP 서버를 런타임에 탐색하는 동적 목록(dynamic listing), 상태 유지 실시간 상호작용을 위한 스트리밍·세션 관리, 실행 도중 입력을 요청하는 일리시테이션(elicitation), 위임 인증을 위한 OAuth 2.0 온비핼프오브(on-behalf-of) 토큰 교환 등이다.

중앙 게이트웨이가 없으면 조직이 만드는 모든 MCP 서버가 각자 자격증명, 정책 집행, 사설 연결, 로깅을 따로 처리해야 한다. 법무팀의 계약 검토 서버, 재무팀의 데이터 조회 서버, 운영팀의 사고 대응 서버가 모두 같은 인프라 부담을 떠안고 보안팀은 서버를 개별 검토하게 된다. 게이트웨이는 모든 MCP 트래픽이 흐르는 단일 진입점을 만들어 이런 중복을 줄인다.

게이트웨이는 MCP 서버뿐 아니라 REST API, AWS 람다(Lambda) 함수 등 여러 대상 유형의 기능을 한데 모은다. 리소스 기반 정책(RBP)으로 누가 게이트웨이를 호출할 수 있는지 제어하고, 서비스 제어 정책(SCP)으로 조직 내 운영 방식을 관리한다. 네트워크 격리를 위해 컨트롤·데이터 플레인 모두 AWS 프라이빗링크(PrivateLink)를 지원해 트래픽이 VPC 경계 안에 머무르게 한다.

게이트웨이는 MCP의 세 가지 기본 요소인 도구(tools), 프롬프트(prompts), 리소스(resources)를 모두 지원한다. 클라이언트는 20개의 개별 연결을 관리하는 대신 하나의 통합 도구 카탈로그, 하나의 프롬프트 라이브러리, 하나의 리소스 네임스페이스를 보게 된다. 도구와 프롬프트에는 대상 이름이 접두어로 붙지만, 리소스 URI는 접두어 없이 하위 MCP 서버의 원래 URI가 그대로 전달된다.

목록 방식은 기본(default)과 동적(dynamic) 두 가지 중에서 고를 수 있다. 기본 모드는 도구·프롬프트·리소스를 캐시에 담아두고 목록 요청 시 서버를 거치지 않고 캐시에서 응답하며, 캐시는 SynchronizeGatewayTargets API로 명시적으로 갱신할 수 있다. 동적 모드는 목록 요청을 호출 사용자의 신원으로 MCP 서버에 실시간 전달해, 권한에 따라 도구를 다르게 노출하는 서버의 접근 제어를 그대로 유지한다.

여러 대상이 같은 리소스 URI를 노출할 때를 대비해 1에서 1000 사이의 리소스 우선순위(resourcePriority) 값을 지정할 수 있으며, 충돌이 생기면 값이 가장 낮은 대상의 리소스가 반환된다. 우선순위를 정하지 않으면 기본값 1000이 적용된다.

다만 AWS는 리소스 URI가 게이트웨이에서 검증·정제되지 않으므로 신뢰할 수 없는 대상에는 주의해야 한다고 경고했다. 악의적이거나 침해된 MCP 서버가 내부 엔드포인트나 로컬 파일 경로를 가리키는 URI를 반환할 수 있는 만큼, URI를 따라가기 전에 검증·정제하고 신뢰할 수 없는 대상의 URI는 자동으로 가져오거나 렌더링하지 말라고 권고했다.