로컬에서 Claude나 Cursor에 MCP 서버 붙여봤다면 알겠지만, STDIO 트랜스포트에는 인증이 없다. 그냥 아예 없다. HTTP 쪽도 구현마다 제각각이고. 이 상태로 월 9,700만 다운로드를 찍었다. 4월 2-3일 뉴욕에서 열린 첫 MCP Dev Summit은 이 불편한 현실을 정면으로 다뤘다.
2M에서 97M까지, 16개월의 질주
MCP의 성장 곡선은 솔직히 비정상적이다. 2024년 11월 Anthropic이 내놓았을 때 월 200만 다운로드. OpenAI가 2025년 4월 Assistants API에 얹으면서 2,200만으로 뛰었고, Microsoft Copilot Studio가 7월에 합류하며 4,500만. AWS Bedrock과 Google이 연말에 올라타면서 6,800만을 넘겼다. 그리고 2026년 3월, 9,700만.
ChatGPT, Claude, Cursor, Gemini, VS Code, Copilot — 모든 메이저 AI 플랫폼이 지원한다. 서버 생태계도 5,800개를 돌파했다. 프로토콜 전쟁은 끝났다. MCP가 이겼다.
근데 이긴 다음이 문제다.
인증이라는 코끼리
Summit에서 인증 관련 세션만 6개가 잡혔다. OAuth 2.1 스펙 저자 Aaron Parecki가 직접 왔고, Microsoft의 Emily Lauber는 "Mix-Up Attacks in MCP: Multi-Issuer Confusion and Mitigations"를 발표했다. 제목만 봐도 현재 상태가 어떤지 감이 올 거다.
상황을 정리하면:
STDIO 서버 — 인증 제로. "로컬이니까 괜찮다"는 논리는 에이전트가 원격 MCP 서버를 호출하는 순간 깨진다. 그리고 그 순간은 이미 오고 있다.
HTTP 서버 — OAuth 쓰는 곳, API 키 쓰는 곳, 아무것도 안 쓰는 곳. 표준? 없다.
에이전트 SSO — "Cross-App Access"(XAA/ID-JAG)라는 프로젝트명만 존재한다. 초기 단계.
Anthropic의 Paul Carleton이 발표한 "One Spec, Ten SDKs, Zero Excuses" 세션이 아마 Summit에서 가장 무게감 있었을 거다. 멀티 에이전트 환경에서 "누가 누구 권한으로 뭘 호출하는가"라는 질문은 간단해 보이지만, 기존 웹의 인증 패러다임으로는 깔끔하게 풀리지 않는다. 에이전트는 사람이 아니고, 세션도 없고, 리다이렉트도 못 따라간다.
2026 로드맵에 Q2 OAuth 2.1 + IdP 통합(Okta, Azure AD)이 잡혀있긴 하다. 늦었지만 안 하는 것보단 낫다.
Python SDK, 63일째 동결
이건 Summit 전부터 커뮤니티에서 쌓이던 불만이다. Python SDK가 v1.26.0에서 멈춘 지 63일째다. 같은 기간 TypeScript SDK는 여러 차례 릴리스를 밀어넣었다.
Anthropic의 Max Isbey가 "Path to V2 for MCP SDKs"를 발표했다. v2 로드맵이 공식석상에서 처음 언급된 자리다. mcp.server.auth 모듈에 큰 변화가 올 수 있다는 힌트가 나왔고, 기존 구현과의 호환성은 아직 미지수다.
Python으로 MCP 서버를 운영 중이라면? mcp.server.auth 쪽 커스텀 코드가 많을수록 v2 마이그레이션 비용이 올라갈 가능성이 높다. 지금 할 수 있는 건 해당 모듈 의존도를 파악해두는 정도다.
OpenAI가 던진 떡밥
4월 3일 키노트에서 OpenAI의 Nick Cooper가 "MCP x MCP"라는 의미심장한 제목으로 올라왔다. OpenAI agents SDK에 list_resources()와 read_resource() 지원이 최근 추가됐고, Anthropic Python SDK에도 관련 PR이 대기 중이다. MCP의 세 핵심 프리미티브 — Tools, Resources, Prompts — 중 Resources가 양대 플랫폼에서 완전히 표준화되는 흐름이다.
이게 왜 중요하냐면, Resources는 에이전트가 외부 데이터를 "읽는" 방식이다. Tools가 "행동"이라면 Resources는 "맥락 수집"에 해당한다. 양쪽 생태계에서 동일한 인터페이스로 리소스를 탐색하고 읽을 수 있게 되면, 멀티 모델 에이전트 아키텍처의 실용성이 크게 달라진다.
이긴 프로토콜의 숙제
2026 로드맵은 네 가지를 말하고 있다. 트랜스포트 수평 확장과 .well-known 기반 서버 디스커버리. Tasks 프리미티브(SEP-1686)의 안정화와 재시도·만료 정책. 워킹 그룹 중심의 거버넌스 분산. 그리고 엔터프라이즈 — 감사 로그, SSO, 게이트웨이, 설정 이동성.
흥미로운 건 엔터프라이즈 부분이 "의도적으로 미정의"로 남겨졌다는 점이다. 현장 실무자 입력을 받겠다는 뜻이지만, 뒤집어 보면 아직 엔터프라이즈가 뭘 원하는지 정확히 모른다는 뜻이기도 하다. 9,700만 다운로드 중 실제 프로덕션 비중이 얼마인지도 모른다.
MCP는 프로토콜 전쟁에서 이겼다. 그런데 이긴 프로토콜에 걸맞은 인프라는 반쯤만 지어져 있다. 인증, SDK 안정성, 엔터프라이즈 기능 — 전부 올해 안에 풀어야 하는 숙제다. 빠듯하다.