AWS, Bedrock AgentCore Gateway에 OAuth 2.0 인증 코드 플로우 추가… AI 에이전트의 MCP 서버 보안 접속 지원

아마존웹서비스(AWS)가 Amazon Bedrock AgentCore Gateway에 OAuth 2.0 인증 코드 플로우(Authorization Code flow) 지원을 추가했다. 이번 업데이트로 AI 에이전트가 사용자 위임 방식의 보안 인증을 거쳐 엔터프라이즈 MCP 서버의 도구에 접근할 수 있게 됐다.

AgentCore Gateway는 조직 내 AI 에이전트가 다양한 도구와 MCP 서버에 연결되는 방식을 중앙에서 관리하는 계층이다. 인증, 관측성(observability), 정책 적용을 단일 엔드포인트로 통합해, 각 MCP 서버 연결을 개별적으로 구성하고 보호해야 하는 부담을 제거한다.

AWS는 기업들이 AI 에이전트 배포를 확장하면서 각 팀이 의존하는 MCP 서버 수가 빠르게 늘고 있다고 설명했다. 개발자들은 IDE마다 개별 MCP 서버를 설정하는 대신, 하나의 Gateway URL로 전체 MCP 도구 세트에 일관되게 접근하는 패턴을 채택하고 있다.

이 같은 중앙 집중 방식은 GitHub, Salesforce, Databricks 등 프로덕션급 서드파티 MCP 서버를 채택하는 팀이 늘면서 더욱 가속화되고 있다. 이들 MCP 서버 다수는 자체 인증 서버 또는 기본 ID 제공자를 통한 페더레이션 방식으로 보호되며, IDE 수준에서 연결·인증·라우팅을 관리하는 것이 점차 비현실적이 되고 있다.

새롭게 지원되는 인증 코드 플로우는 Amazon Bedrock AgentCore Identity를 통해 구현된다. 이를 통해 에이전트는 애플리케이션 코드에 인증 정보를 삽입하거나 토큰 수명주기를 수동으로 관리하지 않고도, 보호된 MCP 서버에 안전하게 접근할 수 있다.

AWS는 타겟 생성 시 두 가지 방식을 제공한다. 첫 번째는 관리자가 타겟 생성 과정에서 직접 인증 코드 플로우를 완료하는 암묵적 동기화 방식이다. 두 번째는 관리자가 도구 스키마를 직접 제공하는 방식으로, 타겟 생성이나 업데이트 중 사람의 개입이 불가능한 환경에 권장된다.

특히 두 번째 방식에서는 Gateway 사용자가 도구 목록을 조회할 때 모든 MCP 서버에 인증할 필요가 없다. 캐시된 도구 목록을 탐색한 뒤, 실제로 특정 서버의 도구를 호출할 때만 인증 코드 플로우가 실행되므로, 여러 MCP 서버가 하나의 Gateway에 연결된 환경에서 특히 유용하다.

보안 측면에서는 URL 세션 바인딩(URL Session Binding) 메커니즘이 도입됐다. AgentCore Identity가 인증 URL을 생성할 때 세션 URI도 함께 반환하며, 사용자가 동의를 완료하면 브라우저가 해당 세션 URI와 함께 콜백 URL로 리디렉션된다. 시스템은 인증을 시작한 사용자와 완료한 사용자가 동일한지 검증하여, 인증 URL이 실수로 공유되었을 때 다른 사람이 대신 동의를 완료하는 상황을 방지한다.

인증 URL과 세션 URI의 유효시간은 10분으로 제한되어 오용 가능성을 한층 줄였다. 이 세션 바인딩은 관리자 타겟 생성 시와 사용자 도구 호출 시 모두 적용된다.