MCP 2026 스펙 RC가 바꾸는 것
2026-07-28 확정 예정인 MCP 스펙 RC는 stateless 코어, Tasks, MCP Apps, 그리고 RFC 9207 기반 iss 검증 의무화를 담습니다. stateless 코어는 세션 상태를 서버에 묶지 않아 수평 확장과 장애 복구를 단순화하고, Tasks는 장기 실행 작업의 진행·취소를 표준화합니다. 운영 관점의 최대 변화는 인가 계층으로, 토큰 응답의 iss(발급자) 값을 클라이언트가 반드시 검증하도록 강제한다는 점입니다.
RFC 9207 iss 검증 의무화
RFC 9207은 OAuth 인가 응답에 iss 파라미터를 실어 응답이 어느 인가 서버에서 왔는지 확정합니다. 여러 인가 서버를 혼용하는 환경에서 발생하는 믹스업(mix-up) 공격을 차단하는 장치입니다. iss 검증이 없으면 공격자가 정상 서버의 응답을 다른 흐름에 끼워 넣어 토큰을 탈취할 수 있습니다. 검증 실패 시에는 토큰을 폐기하고 흐름을 중단하는 것이 기본 분기입니다.
레지스트리에서 관찰된 실패 패턴
공식 레지스트리에는 3월 기준 3,012개 서버가 등록돼 있으나 OAuth를 실제로 쓰는 서버는 8.5%뿐입니다. 나머지 다수는 인증 없이 노출되거나 정적 토큰에 의존합니다. 최근 1년간 CVSS 9.6 원격 코드 실행(RCE)을 포함해 CVE 7건이 보고됐고, 상당수가 입력 검증 누락과 과도한 도구 권한에서 비롯됐습니다.
A4 분량 상세 가이드: 기획부터 운영까지
기획·요구 정의 단계에서는 노출할 도구와 권한 범위를 먼저 고정하고 목표 지표를 수치로 못 박습니다. 예를 들어 iss 검증 통과율 100%, 인가 위반 0건, 도구 호출 p95 지연 800ms 이하, 일시 실패 재시도 성공률 95% 이상을 합격선으로 둡니다. 이 기준이 없으면 도구 추가나 인가 서버 교체 때 품질 회귀를 감지하기 어렵습니다.
실패 패턴과 복구 전략은 분기별로 미리 정의합니다. iss 불일치는 토큰 폐기 후 즉시 중단, 토큰 만료는 조용한 재발급으로 1회 재시도하고 재실패 시 사람 확인으로 넘깁니다. 도구 응답이 스키마를 위반하면 원문 대신 안전 축약본만 반환하고 원본은 격리 로깅합니다. 상위 권한을 요구하는 도구 호출은 자동 실행을 막고 사람 승인 게이트를 거칩니다.
중단 조건도 명시합니다. 연속 실패 3회, 비정상 페이로드 감지, iss 검증 실패가 임계치를 넘으면 세션을 격리하고 알림을 발송합니다. 자동 재시도는 최대 2회로 제한해 비용과 지연이 함께 폭주하는 것을 막습니다.
운영 체크리스트와 품질관리에서는 모든 도구 호출에 표준 로그(요청 id, 도구명, 인자 해시, iss, 지연, 결과 코드)를 남기고 로그·응답에서 PII를 마스킹합니다. 정적 토큰은 금지하고 최소 권한을 적용하며, 레지스트리 서버는 핀된 버전·해시로 고정해 공급망 변경을 차단합니다.
지속 개선 루프는 주간 단위로 돌립니다. CVE 피드와 레지스트리 변경을 점검하고 iss 검증 통과율, 재시도 성공률, 차단 건수를 대시보드로 추적합니다. 회귀 테스트에 mix-up 공격 시나리오를 넣어 스펙 확정 전에 검증 로직을 미리 굳혀 둡니다.
실행 요약
MCP 도입의 핵심은 iss 검증 통과율 100%·인가 위반 0건을 합격선으로 두고, 실패마다 재시도·사람 확인·안전 축약·중단 조건을 미리 나눠 두는 것입니다. 정적 토큰을 걷어내고 표준 로그와 PII 마스킹을 기본값으로 삼으면 RFC 9207 의무화 전환을 무리 없이 넘길 수 있습니다.