에이전트 전용 가입 표준 auth.md의 등장과 작동 원리

새로운 서비스에 가입할 때마다 이메일 주소를 입력하고 인증 메일의 링크를 클릭하는 과정은 번거롭다. 이름과 연락처 같은 기본 정보를 반복해서 입력하는 폼 작성 단계는 사용자가 서비스를 시작하기 전 이탈하게 만드는 원인이 된다. 이러한 수고를 덜기 위해 인공지능 에이전트가 사용자를 대신해 서비스에 가입시키는 오픈 프로토콜 auth.md가 공개되었다.

서비스 운영자가 도메인 루트(웹사이트 최상위 경로)에 auth.md 파일을 호스팅하면 에이전트를 위한 표준 안내서가 마련된다. 에이전트는 이 파일에서 서비스가 지원하는 등록 방식(flow), 요구하는 권한 범위(scope), 구체적인 등록 절차를 파악한다. 에이전트가 서비스 제공자가 정한 규칙을 미리 읽고 수행하므로, 사용자는 복잡한 회원가입 폼을 직접 채우지 않고도 계정을 생성할 수 있다.

이 프로토콜은 기업용 인증 솔루션 기업 WorkOS가 작성했으며, MIT 라이선스로 제공되어 특정 회사의 인프라에 종속되지 않는다. 다양한 서비스 제공자가 각자의 개발 환경에 맞춰 이 표준을 도입해 에이전트가 쉽게 접근할 수 있는 가입 환경을 구축할 수 있다.

사용자 개입을 최소화하는 세 가지 등록 방식과 인증 구조

auth.md에서는 사람의 개입 없이도 계정을 만들 수 있는 세 가지 방식을 지원한다. 첫째, 신원 확인 기관(IdP)이 사용자를 보증하는 'Agent verified' 방식이다. 둘째, 에이전트가 화면에 보여준 코드를 사용자가 로그인 후 확인하는 'User claimed' 방식으로, RFC 8628 스타일의 디바이스 플로우를 따른다. 셋째, 에이전트가 임시 권한인 pre-claim scope로 활동하다가 사용자가 소유권을 주장하면 정식 post-claim 토큰으로 승격되는 'Anonymous Registration' 방식이다.

이 과정은 표준 OAuth 위에서 설계되어 기존 API 인증 체계를 활용한다. ID-JAG를 발급받은 뒤 RFC 7523 JWT-bearer grant를 거쳐 access_token으로 교환하는 구조다. 서버는 `/.well-known/oauth-authorization-server` 경로의 디스커버리 설정을 통해 인증 서버를 찾아 동작한다. 에이전트에게는 수명이 짧고 폐기 가능한 scoped access token이 발급되어 접근 권한 범위를 최소화하고 보안 위험을 낮췄다.

프로토콜을 구성하는 세 가지 주체와 실제 도입 사례

auth.md 프로토콜은 효율적인 가입 처리를 위해 에이전트, 에이전트 프로바이더, 서비스라는 세 가지 주체를 정의한다. 에이전트는 사용자를 대신해 실제 가입 동작을 수행하는 대리인이다. 에이전트 프로바이더는 사용자가 누구인지 증명하는 디지털 신분증인 ID-JAG(신원 어서션)를 발급하는 IdP 역할을 맡는다.

서비스는 에이전트 프로바이더가 발급한 ID-JAG를 확인하고, 해당 서비스의 계정에 접근해 기능을 사용할 수 있는 자격 증명을 내어준다. 에이전트는 이들 사이에서 신분증을 전달하고 권한을 받아오는 모든 과정을 전담한다.

현재 Cloudflare, Firecrawl, Resend, monday.com 등이 이 표준을 도입했다. 서비스 제공자가 에이전트가 읽고 쓸 수 있는 가입 환경을 구축함에 따라 사용자가 새로운 도구를 시작할 때 겪는 물리적 허들이 낮아지고 있다. 이는 에이전트가 사용자를 대신해 가입하는 경로가 실제 서비스에 적용되기 시작했음을 의미한다.

이메일 인증 메일을 기다리고 링크를 클릭하던 과정은 이제 선택의 영역이 된다. auth.md 프로토콜이 제안하는 토큰 교환 방식과 등록 절차를 도입하면, 사용자는 가입 폼을 채우는 대신 에이전트에게 권한만 넘기면 된다.

결국 서비스의 성장은 에이전트가 얼마나 쉽게 진입할 수 있는 환경을 구축했느냐에 따라 결정된다. 가입의 주도권이 사람에서 에이전트로 넘어가는 변화다.